网站开发需求说明书模板,建设广州公司网站,建建设人才市场官方网站,北京网站建设 性价比来源#xff1a;https://logz.io/blog/what-is-siem/
SIEM(安全信息和事件管理)是一个由不同的监视和分析组件组成的安全和审计系统。最近网络攻击的增加#xff0c;加上组织要求更严格的安全法规#xff0c;使SIEM成为越来越多的组织正在采用的标准安全方法。
但是SIEM实…来源https://logz.io/blog/what-is-siem/
SIEM(安全信息和事件管理)是一个由不同的监视和分析组件组成的安全和审计系统。最近网络攻击的增加加上组织要求更严格的安全法规使SIEM成为越来越多的组织正在采用的标准安全方法。
但是SIEM实际上涉及到什么呢?它由哪些不同的部分组成?SIEM实际上如何帮助减轻攻击?本文试图提供一种SIEM 101。后续文章将深入探讨一些可用于实际实现SIEM的解决方案。
1、为什么我们需要SIEM?
毫无疑问对计算机系统的攻击不断增加。Coinmining, DDoS, ransomware恶意软件僵尸网络网络钓鱼——这只是今天那些正义之战所面临的威胁的一部分。
有趣的是正如赛门铁克(Symantec)在其2018年互联网安全威胁报告中所指出的那样不仅攻击数量在上升使用的途径和方法也在上升:
“从WannaCry和Petya/NotPetya的突然传播到造币商的迅速增长2017年再次提醒我们数字安全威胁可能来自新的和意想不到的来源。”随着时间的推移不仅威胁的数量在不断增加而且威胁的范围也变得更加多样化攻击者会更加努力地寻找新的攻击途径并在此过程中隐藏自己的踪迹。
系统和网络监控在帮助组织保护自己免受这些攻击方面一直发挥着关键作用多年来已经发展了一些相关的方法和技术。然而网络犯罪性质的变化意味着一些攻击往往会被忽视这一点很快就变得显而易见。数据融合即来自多个数据源的数据的聚合和不同事件之间的相关性以及长时间保留这些数据的能力变得至关重要。
网络攻击的增长导致合规要求更加严格。健康保险流通与责任法案(HIPAA),支付卡行业数据安全标准(PCI DSS),萨班斯-奥克斯利法案(SOX),和一般的数据保护监管(GDPR)——所有的这些都需要组织来实现一组全面的安全控制,包括监测、审计和报告,所有这些都促进了SIEM系统。
2、定义与演变
简单地说SIEM是一个由多个监视和分析组件组成的安全系统旨在帮助组织检测和减轻威胁。
如上所述SIEM将许多其他安全规程和工具结合在一个综合的框架下:
日志管理(LMS)——用于传统日志收集和存储的工具。
安全信息管理(SIM)——集中于从多个数据源收集和管理与安全相关的数据的工具或系统。例如这些数据源可以是防火墙、DNS服务器、路由器和防病毒应用程序。
安全事件管理(SEM)——基于主动监视和分析的系统包括数据可视化、事件相关性和警报。
SIEM是今天的术语管理系统,所有上述合并到一个层,知道如何从分布式自动收集和处理信息的来源,将它存储在一个集中位置,不同事件之间的关联,并根据这些信息生成警报和报告。
3、SIEM组件
SIEM不是一个单独的工具或应用程序(尽管有一些工具可以帮助部署SIEM系统见下文)而是一组不同的构建块它们都是系统的一部分。没有标准的SIEM协议或已建立的方法但是大多数SIEM系统将包含本节中描述的大部分(如果不是全部的话)元素。
3.1聚合
日志表示在数字环境中运行的进程的原始输出是提供实时发生的事情的准确图像的最佳来源因此是SIEM系统的主要数据源。
无论是防火墙日志、服务器日志、数据库日志还是在您的环境中生成的任何其他类型的日志SIEM系统都能够收集这些数据并将其存储在一个中心位置以进行扩展的保留。此收集过程通常由代理或应用程序执行部署在监视的系统上并配置为将数据转发到SIEM系统的中央数据存储。
3.2处理和标准化
在SIEM上下文中收集数据的最大挑战是克服各种日志格式。从本质上说SIEM系统将从大量层(服务器、防火墙、网络路由器、数据库)中提取数据每种记录的格式都不同。
看看下面的例子:
这两个日志消息报告的是同一个事件——特定用户(您的真实用户)和客户机IP的身份验证失败。注意时间戳字段的格式、用户的日志记录方式和实际消息的不同。
为了能够跨不同源和事件相关性高效地解释数据SIEM系统能够规范化日志。这个规范化过程包括将日志处理为可读的结构化格式从日志中提取重要数据并映射日志中包含的不同字段。
3.3关联
一旦收集、解析和存储SIEM系统中的下一步将负责连接这些点并关联来自不同数据源的事件。这种关联工作基于各种SIEM工具提供的规则、为不同的攻击场景预定义的规则或者由分析人员创建和调整的规则。
简单地说关联规则定义了一个特定的事件序列该序列可能表示安全性受到了破坏。例如可以创建一个规则来确定在一段时间内从特定IP范围和端口发送的请求数量何时超过x。
环境中记录的数据量非常大。即使是中小型组织也很可能每天发送数十gb的数据。实际上规则通过消除干扰并指向可能有意义的事件帮助将数据压缩为更易于管理的数据集。
大多数SIEM系统还提供生成报告的内置机制。这些报告可以用于管理、审计或合规性原因。例如可以将详细描述触发警报或规则的每日报告嵌入到仪表板中。
3.4呈现
可视化数据和事件的能力是SIEM系统中的另一个关键组件因为它允许分析人员方便地查看数据。包含多个可视化或视图的仪表板有助于识别趋势、异常情况并监控环境的总体健康或安全状态。一些SIEM工具将附带预先制作的仪表板而另一些工具将允许用户创建和调整自己的仪表板。
3.5缓解和修复
一旦相关规则就位并监视构建的仪表板以提供系统的全面概述SIEM系统的最后一个关键组件就是一旦识别事件如何处理。
大多数SIEM系统支持自动包含和减轻安全事件的机制。例如根据相关规则可以将SIEM系统配置为自动启动内部升级流程——执行脚本这些脚本通过触发警报、打开票证等来启动包含进程并将球传递到组织中的正确资源。
4、那么SIEM如何提供帮助呢?
我们已经定义了什么是SIEM并且对组成SIEM系统的主要组件有了大致的了解。但是SIEM系统实际上是如何帮助安全分析人员识别和阻止攻击的呢?
4.1可见性
对于安全分析人员来说SIEM系统是他们所保护的IT环境的焦点。SIEM系统集中收集来自所有相关数据源的安全数据存储大量信息可以使用这些信息了解实时发生的事件和流程。
获得的可见性程度直接受到作为SIEM系统一部分的日志聚合和收集过程的影响。如上所述如果没有适当的处理和解析日志数据将缺乏结构因此将更加难于分析。
SIEM系统的另一个主要优点是能够将事件关联起来并在仪表盘中可视化数据这为分析人员提供了一种获得实时可见性的方法。
4.2事件检测和缓解
许多事件不会被第一行安全设备注意到因为它们没有更广泛的上下文。SIEM相关规则以及围绕它们构建的报告机制可以帮助组织在发生这些事件时得到通知。
在DDoS攻击的例子中防火墙很可能报告异常的网络流量而web服务器请求则报告来自特定ip组的请求的404响应。
在这种情况下缓解可能只是指示防火墙阻止来自这些ip的通信可以将SIEM规则配置为在这两个事件之间进行关联并向相关资源发出警报以便在早期阻止攻击。
4.3合规
当今大多数合规性类型如HIPAA、PCI DSS、SOX和GDPR都要求组织遵守一系列的安全控制。这些控制包括:日志收集、监视、审计和警报。
不用说从上面的描述中已经很清楚SIEM系统为所有这些文章提供了支持这也是SIEM成为实现安全性和合规性的行业标准的原因之一。
5、下一个什么?
这篇文章更多的是理论而不是实践。组织正在实现SIEM以保护其环境并遵从越来越多的合规类型。一旦组织将SIEM的需求内在化下一个自然阶段就是规划技术实现。
可以使用各种工具和平台来实现SIEM包括专有的(AlienVault、QRadar、LogRhythm)和开源的(OSSIM、OSSEC、ELK)。在以后的文章中我们将讨论这个精确的主题概述不同的解决方案及其优缺点。 0人点赞 随笔 作者Threathunter 链接https://www.jianshu.com/p/f7330951e1ef 来源简书 著作权归作者所有。商业转载请联系作者获得授权非商业转载请注明出处。
