對于暴露在Internet上的信息，許多組織都有密碼驗證系統。然而最近的研究表明，憑據濫用、可猜測密碼和強力攻擊仍然是危害組織網絡的行為中最常用的方法。安全信息與事件管理(SIEM)技術可以幫助企業的昂貴數據避免因為可猜測密碼或濫用憑據的行為被盜。每個組織，特別是那些擁有面向Internet的IT資產并支持密碼認證(如VPN設備、Web服務器、SSH和其它遠程訪問)的組織，應該充分利用他們的SIEM技術來幫助企業防御未授權的訪問。

自動登錄跟蹤可以幫助發現來自內部和外部的惡意活動。SIEM是唯一適合自動化這個艱巨任務的技術。它可以收集和分析來自多個系統的成功和失敗的記錄，以此確定攻擊者何時接管賬戶憑據。

SIEM用來監視未經授權的訪問嘗試所需要的數據相對簡單。系統需要收集所有平臺的登錄信息，包括認證記錄。重要的是，所有系統、設備和應用中無論是成功還是失敗的登錄信息都需要收集。登錄失敗意味著安全系統在起防御作用，當然，登錄成功就意味著現在有人進入了你的系統。在這個密碼被盜、快速CPU破解加密文件的時代，登陸成功并不等同于是“授權訪問”。

相關規則和警報

一個SIEM相關規則可以用來使部分系統登錄和身份驗證檢測過程自動化。以下是確保訪問監控有效的相關規則的例子：

◆當攻擊者試圖在一個系統中使用所有憑據時，這是一個單一系統攻擊

◆幾次登錄失敗之后，突然登錄成功

◆身份驗證掃描攻擊(在所有系統嘗試使用同一個憑據)

◆在不尋常的時間登錄成功(對于用戶或系統來說)

◆在不尋常的地點登錄成功(對于用戶或系統來說)

視圖和報告

常規報告和指示性視圖對于這個案例很有用，如下：

◆頂級系統登錄失敗

◆登錄失敗/成功率變高趨勢

◆登錄失敗趨勢

◆用戶在多個系統登錄失敗

注意，無論是基于規則或基線，報告并不能代替警告。在大多數情況下，當一個人審查報告，發現一些新的、不尋常或可疑的事物時，惡意活動就被發現了。審查報告的頻率可以從每天(這是理想化的，并且一些外部要求，如PCI DSS，也規定如此)到每周，甚至每月。只要你的組織滿意“檢測差距”(即事件發生和事件在審查報告過程中被發現之間的時間差距)，那么這個頻率就是可以接受的。

當攻擊者猜測到密碼時，SIEM技術可以自動收集數據并發送警告。然而，組織必須確保SIEM技術支持有效的事件響應流程和程序(再次強調，這些流程和程序應該要實際存在!)。在某些自動響應情況下，無論是通過人工分析和修補都需要發送警告，如一個通過DLP、其它防火墻或數據泄露產品的整合響應系統。想要發送恰當的警告，那么SIEM系統需要非常了解正常的登錄日志基線和典型活動，這不僅僅要求實現SIEM技術，還需要配備一個熟練的SIEM技術操作者，熟練的操作者對于整個系統高效工作非常有用。除了部署SIEM技術，收集登錄日志、運行報告和使用相關觸發警報，操作程序還需要一個有效地服務器訪問監控過程。例如，當系統管理員發現同一時間，用戶在兩個不同地方登錄時，管理員應該做什么?管理員是否有權利終止會話、禁用賬戶、與用戶管理器溝通并采取措施?可操作程序可以讓這些動作重復化，快速且有效，也確保持續的跟蹤和改進。