首页 > 其他分享 >SIEM

SIEM

时间:2024-05-17 11:43:38浏览次数:13  
标签:安全事件 部署 安全 SIEM 日志 数据

背景和介绍

SIEM(Security Information and Event Management,简称SIEM)安全信息和事件管理,最初是被设计为一个工具,辅助企业实现合规和特定行业的规定。从时间维度上讲,SIEM是已经存活了近20年的技术。
其结合安全信息管理(security information management, SIM)和安全事件管理(security event management, SEM)并且提供网络威胁检测的基础。
SIEM技术通过收集和分析log数据、安全事件和其他事件或数据源帮助处理安全事件。SOC(security operations center, SOC)分析专家使用SIEM工具迅速处理安全事件、检测并响应潜在威胁。
根据Gartner,如今,寻求SIEM的企业需要一种解决方案来实时收集安全事件日志和遥测数据用于威胁检测,事件响应和合规用例。
他们也需要能力去分析遥测数据检测攻击和其他被标记的活动。SIEM还提供了调查事件、报告活动以及存储相关事件和日志的能力。
总之,SIEM解决方案在帮助安全团队增强网络安全工作方面起到关键性作用。

SIEM工作原理

SIEM通过收集企业内网络的多源安全相关数据如防火墙日志,IDS日志,服务器和应用日志发挥作用。这些数据聚合到数据中台进行存储,在这里实现关联分析来识别模式,异常以及潜在安全事件。
SIEM对这些事件生成告警,允许安全分析师调查和响应。它还提供合规性需求的报告功能,并与外部威胁情报源集成以增强其检测能力。
注意一点,SIEM是实时运行,持续监控网络,适应及学习新的模式来提高检测准确性。

SIEM解决方案的部署

SIEM解决方案可以差异化部署,这依赖企业组织的需求和资源。以下是常见的部署选项:

  • 本地部署
    这种部署方式,是企业local模式,也就是SIEM解决方案部署在企业组织内,作为基础设施,通常是那种政府事业单位。通常涉及搭建专用硬件或虚拟机来托管SIEM软件。企业完全掌控基础设施,包含数据存储和运维,但是需要必备的硬件和软件许可,以及专业化的管理和运行SIEM系统。
  • 基于云部署
    SIEM解决方案也能部署在云,利用基础设施即服务(infrastructure as a service, IaaS)或者软件即服务模型(software-as-a-service models)。基于云的部署,组织利用供应商的基础设施,消除了本地硬件和维护开销。SIEM供应商负责硬件供应、软件更新和可伸缩性,而组织则专注于配置和管理SIEM平台。
  • 混合部署
    组织可以采用混合方法即混合本地部署和云端部署。他们也许选择在本地保留关键敏感数据或核心系统,而同时利用云做扩展或某些特定应用。这种方式具有灵活性并且允许组织调整SIEM适应其特定需求。
  • 安全管理服务供应商(Managed security service providers, MSSPs)
    某些组织也喜欢外包其SIEM部署和管理给MSSPs。MSSPs提供专业化服务在部署、配置和运维SIEM解决方案。他们监控并管理SIEM基础设施,分析安全事件并提供可操作的洞察给组织的安全团队。这种解决方案适合与资源有限或者寻求外部专业技能增强其安全运行的组织。

注意一点:部署SIEM,组织通常会考虑的因素很多,例如IT基础设施,数据敏感性、合规需求、可扩展性需求、预算、专业知识。评估每种部署选项的优点和优缺点,以确定最适合其特定环境的方法,这一点至关重要。

SIEM Logging

SIEM日志是指在IT环境使用SIEM系统进行多源数据收集、存储和分析日志的过程。此过程是SIEM系统操作的基础,因为它使SIEM系统能够执行安全监视、事件关联和事件响应等核心功能。下面是SIEM日志记录的各个方面:

  • 1.收集:SIEM系统从网络设备、服务器和安全系统如防火墙收集日志。
  • 2.存储:日志存储在中心系统,易访问和分析。
  • 3.分析:系统利用一些技术如模式识别分析这些日志识别潜在安全威胁。
  • 4.可视化:提供报告和dashboard来帮助可视化和解释安全数据。

SIEM日志对有效安全管理是至关重要的,因为其提供了数据支持所有其他SIEM功能,更有效地使能组织企业来检测、调查和响应安全事件。

SIEM功能


SIEM的主要功能是聚合数据负载,并将其整合到一个系统中,以实现可搜索性和报告目的。SIEM提供的对企业最有用的关键功能包括:

  • 获取用于监控,告警,调查和特别搜索的数据
  • UEBA(User and entity behavior analytics, UEBA)用户实体行为分析检测异常行为或可疑活动,特别针对用户、实体或应用。UEBA分析模式和正常行为偏移来识别内部威胁或失陷账号。
  • 从多源如网络设备,服务器,终端,应用和安全工具收集和聚合数据,并进行中心化存储和安全相关数据分析。
  • 日志分析和取证功能允许安全团队调查和分析安全事件。它们提供了历史log数据,检索功能和可视化工具来了解攻击时间线,受影响系统和潜在根因。
  • 实时持续监控事件,分析日志和应用预定义的规则和关联技术针对潜在安全事件或异常提供及时告警和提示。
  • 通过利用高级分析、机器学习和行为分析识别模式,异常和潜在安全威胁。通过从多源关联事件和纳入威胁情报,SIEM增强高级攻击的检测。
  • 从数据中搜索和报告实现高级漏洞分析
  • 提供工作流和自动化功能,以促进事件响应,并使安全团队能够在事件解决过程中跟踪和管理事件、分配任务和有效协作。
  • 与各种安全工具(如防火墙、入侵检测系统(IDS)和漏洞扫描器)集成,以收集额外的上下文信息并丰富安全事件分析。与编排平台的集成支持自动响应和修复操作。
  • 通过在集中存储库中收集和存储日志、提供预定义的遵从性规则、生成报告和协助审计来满足遵从性需求。
  • 通过提供度量、趋势和执行摘要的可定制指示板和报告功能,有效地可视化和交流安全洞察,以展示安全状态并支持决策。
  • 长期存储历史日志数据不仅可以帮助遵守法规,还可以随着时间的推移使数据相互关联,以便在发生数据泄露时帮助安全分析师进行取证和调查。

以上这些功能共同使安全团队能够有效检测,响应和缓解安全事件,使组织主动防护数字资产和基础设施。

其他安全产品与SIEM对比

标签:安全事件,部署,安全,SIEM,日志,数据
From: https://www.cnblogs.com/bonne-chance/p/18197539

相关文章

  • 在Linux中,什么是安全信息和事件管理(SIEM)?
    安全信息和事件管理(SecurityInformationandEventManagement,简称SIEM)是一种集中式的日志分析解决方案,用于实时监控、分析和报告IT基础设施中的安全事件和日志数据。SIEM系统的主要目标是提高组织的安全性,通过自动化的日志分析和事件关联,快速检测和响应潜在的安全威胁。1.SIEM......
  • Siemens 西门子 S7协议及报文格式详解
    一、简介S7Comm(S7Communication)是西门子专有的协议,是西门子S7通讯协议簇里的一种。S7通信协议是西门子S7系列PLC内部集成的一种通信协议,是S7系列PLC的精髓所在。它是一种运行在传输层之上的(会话层/表示层/应用层)、经过特殊优化的通信协议,其信息传输可以基于MPI网络、PRO......
  • Siemens 西门子 PLC Modbus写入float字节排列
    写保存寄存器功能码16示意:在西门子PLC中,实数,float,的保存方式遵循“高字节低地址,低字节高地址”的方式。假设使用16功能码向PLC的40005写入一个float,先利用BitConverter.GetBytes(f)得到要写的float的byte[]A。根据PLC中的存储方式,要想获得正确的float,在字40005的低......
  • 西门子人机界面维修SIEMENS 6AV6 644-0BA01-2AX1 MP 377工控机
    SIMATICHMI面板–轻松实现面向机器的操作当人们需要使用机器和设备执行各种任务时,就需要监控和操作员控制设备。在面向机器的操作和监控方面,SIMATICHMI面板始终是首选。SIMATICHMI面板产品组合:适应性强、可扩展、面向未来在人与机器或操作员与流程之间的接口处,数字......
  • "ManageEngine荣获Gartner SIEM客户选择四连冠"
    我们非常激动地宣布,ManageEngine已经连续第四次被认定为GartnerPeerInsights‘VoiceoftheCustomer’:安全信息与事件管理(SIEM)中的客户选择。这不仅是对我们卓越SIEM解决方案承诺的肯定,也延续了ManageEngine在行业的声望。同时,我们还连续六次被认定为2023年Gartner®MagicQuad......
  • SIEM系列|一文读懂 Linux 日志安全分析之文件监控
    摘自:https://zhuanlan.zhihu.com/p/259808863背景介绍在Linux操作系统中,所有内容都是以文件的形式保存和管理的,包括普通文件、目录、网络通信资源等都是文件,即“一切皆文件”。基于这种机制,针对Linux系统层的攻击方式,本质上往往是通过各种方式,对某些敏感文件进行篡改,使入侵......
  • Siemens和Codesys关于OPC UA 服务器的基础配置
    西门子配置步骤如下打开设备属性——>OPCUA 激活OPCUA服务 设备URL地址 通用设置端口:设置服务器的端口号,默认4840,允许范围:1024-49151之间最大会话超时时间:指定在不进行数据交换的情况下OPCUA服务器关闭会话之前的最大时长。默认30s,允许范围:1-600000s之......
  • Siemens Solid Edge 2022中文版下载 中文特别版
    SolidEdge是最完整的混合2D/3DCAD系统,采用同步技术加速设计和编辑过程,增强了对重用导入几何的支持。SolidEdge是Velocity系列解决方案组合的关键组成部分。它是一个优秀的工具,用于建模零件和绘图设计、透明数据管理和集成有限元分析模块,可以让您成功应对设计产品日益复杂的问题。软......
  • Siemens 西门子触摸屏SMART LINE如何通过下拉栏指定画面跳转?
    在跟学员的交流中发现有一些同学对于西门子去切换页面这一块有些需求,并且提到了有时画面很多用传统按钮切换的方法但有很多不好排版。针对这个问题有没有一些好的其他的方式实现多画面的一个切换呢。那在这里给大家介绍另外一种方式是通过下拉栏去切换画面。01前提条件......
  • Siemens 西门子1200PLC支持的通信协议
    西门子系列PLC产品,功能比较强大。而在通信这块也是独树一帜,那么对于初学者来说,面对西门子1200PLC如此强大的通信功能,那在实际项目中该如何选择通信协议呢?本文我们将来了解1200PLC的通信功能。S7-1200CPU本体上集成了一个PROFINET通信口(CPU1211C-CPU1214C)或者两......