什么是SIEM？如何發(fā)揮出SIEM的價(jià)值？

SIEM只是一個(gè)為事件響應團隊與數字取證團隊標準化安全工作流的工具而已——這些團隊的成員會(huì )使用SIEM來(lái)確保網(wǎng)絡(luò )的安全。

SIEM一般被認為是一個(gè)日志聚合的設備。然而，SIEM的主要能力是提供威脅檢測，最好還能夠實(shí)現事件調查、加速事件響應時(shí)間，同時(shí)還能有統一、整體的基礎設施視角。SIEM只是保護和監控網(wǎng)絡(luò )和系統的拼圖之一;而從Michael Oberlaender看來(lái)，這塊拼圖由十層堆棧組成(OSI七層，加上用戶(hù)、管理和金錢(qián))，在剛開(kāi)始的時(shí)候，會(huì )看上去很?chē)樔恕?/p>

在一個(gè)略微更加深入的層面，一個(gè)SIEM一般會(huì )提供以下能力：

• 事件與日志收集：從網(wǎng)絡(luò )中各個(gè)來(lái)源聚合事件和日志數據，從而更方便監控。
• 面板：頻繁地從收集到的數據處做出表格，從而更容易地識別環(huán)境模式以及非正?；顒?dòng)。
• 關(guān)聯(lián)：基于常見(jiàn)屬性將事件連接到一起，從而將數據轉化為能夠關(guān)聯(lián)的有價(jià)值組合。
• 告警：自動(dòng)化分析關(guān)聯(lián)事件，提供可持續的驗證、趨勢與審計。• 取證分析：能夠基于特定的標準，在不同的階段和時(shí)間段上搜索全日志。
• 合規：：自動(dòng)化收集應用中的合規數據，基于現有的安全、治理以及審計流程生成相對應的報告。
• 留存：長(cháng)時(shí)間存儲歷史數據，使長(cháng)時(shí)間的數據關(guān)聯(lián)更為容易;同時(shí)滿(mǎn)足應用合規。
• 映射：將計算機化的術(shù)語(yǔ)轉化為可讀的數據，更便于展示，并且能夠映射到用戶(hù)以及廠(chǎng)商定義的分類(lèi)和方法中。

SIEM不應該是一個(gè)購入以后就被遺忘的設備。如果企業(yè)做的僅僅是購買(mǎi)了SIEM，連上網(wǎng)，然后認為SIEM將所有的安全需求都達成了——那就會(huì )陷入許多哦麻煩中。SIEM只是一個(gè)為事件響應團隊與數字取證團隊標準化安全工作流的工具而已——這些團隊的成員會(huì )使用SIEM來(lái)確保網(wǎng)絡(luò )的安全。

這只是使用SIEM的原因之一，其他部署SIEM的原因還包括：

• 滿(mǎn)足HIPAA、SOX、PII、NERC、COBIT 5、PCI、FISMA等合規要求。
• ISO 27000、ISO 27001、ISO 27002和ISO 27003等認證。
• 日志管理與留存。
• 事件響應與持續監控。
• 事例管理以及工單系統。
• 策略實(shí)施驗證以及監測策略違反情況。

許多企業(yè)過(guò)去部署SIEM的主要原因是為了合規。SIEM的功能不僅僅能保護敏感信息，還提供一種能夠滿(mǎn)足合規要求的手段。企業(yè)可以通過(guò)SIEM避免審計失敗，因為SIEM的存留和報告功能能夠驗證自身的合規情況是否和法律法規的要求一致。

然而，就像之前提到的那樣，一個(gè)企業(yè)不能單純地部署了SIEM，讓員工去監測SIEM的情況，然后就再也不關(guān)心系統了。要讓一個(gè)SIEM有用哪個(gè)，尤其是對于事件響應和威脅檢測系統有用，其告警以及事件和日志收集流程必須進(jìn)行調整。如果告警太多，相關(guān)團隊會(huì )錯過(guò)關(guān)鍵數據，迷失在噪音之中;如果告警太少，那嚴重的安全事故可能永遠也無(wú)法被檢測到。這一條調整的過(guò)程需要在人工側發(fā)生，需要依賴(lài)那些十分熟悉網(wǎng)絡(luò )環(huán)境，并且盯著(zhù)SIEM以及其監測的系統，然后基于業(yè)務(wù)和網(wǎng)絡(luò )需求進(jìn)行更新。這一周期，可以參考Gartner的預測、預防、檢測和響應的四階段模型。

簡(jiǎn)而言之，SIEM遵從GIGO原則(garbage in, garbage out;輸入的如果是垃圾，輸出的也是垃圾)。SIEM會(huì )反應出用戶(hù)以及用戶(hù)安全團隊對其的輸入內容——缺乏對SIEM必要的審閱、觀(guān)察、調整，SIEM就會(huì )停滯，并最終成為一個(gè)負擔。SIEM解決方案應該由業(yè)務(wù)驅動(dòng)，以流程為核心——像ITIL框架這樣的就可以協(xié)助決定哪些流程或者進(jìn)程可以被合并、修改、或者完全舍棄。

那么從哪里開(kāi)始?試著(zhù)用一個(gè)服務(wù)目錄，如果自己沒(méi)有，就用一些基礎的用例，從那里開(kāi)始，沒(méi)有必要從零開(kāi)始。

就像SIEM的使用需要持續的適應，這些方式也一樣，以下這些內容也會(huì )不斷改變：

• 合規要求
• 流程
• 進(jìn)程
• 威脅
• 脆弱點(diǎn)和CVE
• 人員
• 客戶(hù)/用戶(hù)期望
• SLA

每個(gè)企業(yè)應用SIEM的方式不一定會(huì )相同，甚至自身的競爭對手或者同類(lèi)企業(yè)的使用方式都會(huì )大相徑庭——最終還是需要看哪些適合自己的環(huán)境和業(yè)務(wù)。創(chuàng )建一個(gè)路線(xiàn)圖作為向導可能會(huì )有所幫助——從“為什么”或者使用SIEM的目的開(kāi)始，會(huì )更容易識別相關(guān)資產(chǎn)以及優(yōu)先級。

在確定了資產(chǎn)和優(yōu)先級以后，下一步就是定義范圍。這事確保SIEM解決方案能適合的關(guān)鍵。SIEM的能力范圍在除了支持和保護業(yè)務(wù)之外，還需要能夠助力業(yè)務(wù)。

高效的技術(shù)、網(wǎng)絡(luò )運營(yíng)以及安全運營(yíng)團隊在某種進(jìn)程和流程之下協(xié)作來(lái)識別：

• 數據分類(lèi)
• 關(guān)鍵資產(chǎn)
• 進(jìn)出點(diǎn)(包括網(wǎng)絡(luò )和物理層面)
• 必須的合規要求
• 內部IP機制

一旦有了這些，還必須有一些流程，包含責任和追責制度。另外，還需要有固定的來(lái)源，對一些問(wèn)題進(jìn)行回答，或者能夠獲得答復：可以是人、團隊，甚至可以是一個(gè)內部的頁(yè)面。

為了確保實(shí)踐一致性，可以將SOC或者SIEM圍繞ITIL實(shí)踐展開(kāi);并且鑒于ITIL專(zhuān)注于管理，可以將其作為一個(gè)向導或者路線(xiàn)圖。

戰略管理

定義自己對SIEM的愿景，或者SIEM解決方案可以整體提供的服務(wù)。這個(gè)定義可以是簡(jiǎn)單的，也可以是復雜的，但最好從一些簡(jiǎn)單的東西開(kāi)始，定義一些對象的“常識”。十個(gè)常見(jiàn)用例可以在早期聯(lián)系起來(lái)，作為一個(gè)好的開(kāi)始。

服務(wù)設計

一旦分析了業(yè)務(wù)需求，就可以開(kāi)始將SIEM/SOC的期望以及部署的初心和業(yè)務(wù)關(guān)聯(lián)。這里的目標是創(chuàng )建一個(gè)“SIEM服務(wù)目錄”，用一系列的指標作為SIEM在業(yè)務(wù)中的核心功能。

服務(wù)與技術(shù)管理實(shí)踐

SOC或者SIEM運維人員需要注意環(huán)境中的變化。這看似是一個(gè)很顯而易見(jiàn)的事，但需要真正落地。SOC或者SIEM的運維人員如果不知道一個(gè)新的PC加入了網(wǎng)絡(luò )，或者某個(gè)數據中心暫時(shí)下線(xiàn)了，會(huì )導致誤報、審計失敗、無(wú)效的報告等。

這一步驟也需要實(shí)踐在“服務(wù)設計”階段中描述的功能，包括定義責任、溝通、SLA，甚至OLA等。這一步尤其需要標注趨勢、修復行為、每日活動(dòng)，以及配置和存貨改變。

持續改進(jìn)

這一步對企業(yè)而言經(jīng)常是最困難的一步，但也是最必要的一步。在這一階段，數據會(huì )被審閱，并且用于之前建立的指標來(lái)重新定義或者改善服務(wù)、流程和進(jìn)程。這一階段是確認和驗證人工或者GRC收集的數據的大好機會(huì )。使用持續改進(jìn)記錄也能提供一定幫助。

到這里，應該能夠了解為什么需要SIEM，以及理解它能夠給業(yè)務(wù)帶來(lái)的許多價(jià)值中的一部分。但是要記得，優(yōu)先級、方式和方案都會(huì )基于環(huán)境而改變——從簡(jiǎn)單的 開(kāi)始，隨著(zhù)對SIEM的理解逐漸開(kāi)始增加復雜性。使用已經(jīng)被證明有效的框架和已經(jīng)被證明有價(jià)值的資源作為輔助工具，可以幫助在一些最初的需求上做需求。

點(diǎn)評

SIEM的價(jià)值在于通過(guò)對于各類(lèi)事件的整合，進(jìn)行安全分析，從而實(shí)現對威脅的發(fā)現、對安全問(wèn)題的響應、對已發(fā)生攻擊的溯源取證等等。而另一反面來(lái)看，SIEM也是一個(gè)“難對付”的產(chǎn)品：需要通過(guò)一系列的流程和制度，才能有效地使用其各種功能;需要根據業(yè)務(wù)不斷地調整相關(guān)的配置，才能將其功能的價(jià)值發(fā)揮到最大。

原文地址：https://mp.weixin.qq.com/s?__biz=MzkxNzA3MTgyNg==&mid=2247490903&idx=1&sn=e9c659c339a3bf39ac719b7c5edf7436&chksm=c1476feaf630e6fcaff82ab0c1134df79dcf8c3b21dd28ea0226039dff11dddd47873947e135&mpshare=1&s