鑒于正確實施、 管理和利用安全信息和事件管理 (SIEM) 系統對組織的安全基礎結構環境的重要性，很明顯破壞SIEM系統可能是攻擊者用來避免檢測或破壞環境安全管理的一種成功方法。

有哪些潛在影響會使SIEM系統受損，又有哪些防御措施可供企業找來保護其SIEM系統呢？這些都是我們會設法在此回答的問題。

將SIEM系統視為可用性高的企業資源

從安全操作的角度分析，我們應該認識到SIEM系統是安全基礎結構的重要組成部分，也是托管企業環境中的眾多系統之一。為此，我們應該對SIEM系統進行定期輪詢以確保其正常的運行和操作。SIEM系統部署計劃之一就是確保 SIEM 系統作為企業環境中的關鍵系統能夠被大家認可，并保證其運行的硬件和軟件系統被視為高風險，進行配置和管理。

我們也要考慮SIEM系統的適應能力。因為，下一代SIEM系統會注重功能的設計，像自適應路徑選擇，若一條安全事件傳遞路徑不被阻斷，那么會有其他的路徑跟上來，或者帶外信號到中心節點之間的傳輸信道至少有一條是可用的。

目前實現 SIEM 系統安全的有效步驟

雖然這些下一代 SIEM 保護功能被納入未來 SIEM 系統產品，現在還是有很多方法可以確保 SIEM 安全。將一種典型的安全檢測方法應用于 SIEM 系統本身，可以有效地實施安全事件收集過程：

◆從身份驗證和訪問控制的角度來看，我們應該對SIEM系統的訪問進行精心設置和管理。與企業的 LDAP（輕量級的目錄訪問協議）目錄服務相集成的方法可以確保 SIEM 系統看起來不是孤島，而是托管環境的組成部分。對系統的訪問應該是有限制的，盡可能采用"權限分離"的方法對系統訪問進行限制，尤其是特權訪問，即任何個人或管理員都不能單獨操作系統。

◆ 我們必須考慮安全信息的保密性和完整性，特別是信息收集代理/聚集點和中央管理節點之間的信息傳播方式。信息的存儲－－例如，中央節點的數據庫需要考慮其保密性。隱私也要考慮，但這取決于安全事件運用的地點和方式。

◆在某些情況下，匿名被應用于安全事件，因此可以確定一個大體的趨勢－－尤其是管理站外或跨多個客戶端時－－在組織的控制和管理下，只有有限范圍將這種管理轉變為事實。

◆可以考慮用不可否認性來確保經授權的或其他的開發者無法否認已對項目操作的事實。然而，只有考慮到SIEM事件在初始系統中如何進行集中存儲，才確保可以收集充分的操作證據。

◆最后，系統的可用性也是一個安全問題，對SIEM系統來說也同樣存在問題。從架構來看，未來的 SIEM 產品將有自我修復、 自適應類型的功能。在此期間，業務的災難恢復方面應確保 SIEM 系統運行在高效的基礎設施之上，相對于同時修復的其他關鍵任務系統，要優先保證SIEM 的有序監測和觀察。歸根結底，要看造成運行中斷或災難的原因是什么，最重要的是讓安全系統首先運行起來，這樣可以確保任何突發的模式、警報、 事件或事故是可見的，并且是可以進行調查和反饋追蹤的。

仔細的部署可以增強 SIEM 系統的安全，但這需要更多的時間來創建增強SIEM產品適應力的架構，而將它們作為整體管理系統中高可用的關鍵系統則可以馬上做到。