SIEM(安全信息和事件管理)是一个由不同的监视和分析组件组成的安全和审计系统。最近网络攻击的增加,加上组织要求更严格的安全法规,使SIEM成为越来越多的组织正在采用的标准安全方法。
为什么我们需要SIEM?
毫无疑问,对计算机系统的攻击不断增加。Coinmining, DDoS, ransomware,恶意软件,僵尸网络,网络钓鱼——这只是今天那些正义之战所面临的威胁的一部分。
SIEM组件
SIEM不是一个单独的工具或应用程序(尽管有一些工具可以帮助部署SIEM系统,见下文),而是一组不同的构建块,它们都是系统的一部分。没有标准的SIEM协议或已建立的方法,但是大多数SIEM系统将包含本节中描述的大部分(如果不是全部的话)元素。
聚合
日志表示在数字环境中运行的进程的原始输出,是提供实时发生的事情的准确图像的最佳来源,因此是SIEM系统的主要数据源。
无论是防火墙日志、服务器日志、数据库日志,还是在您的环境中生成的任何其他类型的日志,
SIEM系统都能够收集这些数据并将其存储在一个中心位置以进行扩展的保留。此收集过程通常由代理或应用程序执行,部署在监视的系统上,并配置为将数据转发到SIEM系统的中央数据存储。
处理和标准化
在SIEM上下文中收集数据的最大挑战是克服各种日志格式。从本质上说,SIEM系统将从大量层(服务器、防火墙、网络路由器、数据库)中提取数据,每种记录的格式都不同。
关联
一旦收集、解析和存储,SIEM系统中的下一步将负责连接这些点并关联来自不同数据源的事件。这种关联工作基于各种SIEM工具提供的规则、为不同的攻击场景预定义的规则,或者由分析人员创建和调整的规则。
