購買SIEM產(chǎn)品前 你需先想清楚這7個問題
在本文中,專家Karen Scarfone介紹了企業(yè)評估安全信息和事件管理(SIEM)產(chǎn)品的重要標準。
安全信息和事件管理(SIEM)產(chǎn)品及服務負責從大量企業(yè)安全控件、主機操作系統(tǒng)、企業(yè)應用和企業(yè)使用的其他軟件收集安全日志數(shù)據(jù),并進行分析和報告。有些SIEM還可以試圖阻止它們檢測到正在進行的攻擊,這可能幫助阻止破壞或者限制成功攻擊可能造成的損壞。
現(xiàn)在有很多可用的SEIM系統(tǒng),包括“輕量級”SIEM產(chǎn)品—專門針對負擔不起或感覺他們不需要全功能SIEM的企業(yè)。對于企業(yè)來說,確定要評估哪些產(chǎn)品已經(jīng)是相當大的挑戰(zhàn),更遑論選擇最適合特定企業(yè)或部門的產(chǎn)品。SIEM評估過程應包括創(chuàng)建標準清單,以列出企業(yè)特別需要考慮的SIEM功能。
本文中提供了一些標準(也就是問題)以幫助企業(yè)進行SIEM評估。由于 “輕量級”產(chǎn)品提供較少的功能,它們更容易評估,所以它們不在本文的討論范圍。這篇文章中探討的是“常規(guī)”SIEM中值得特別關注的方面。
1. SIEM能為相關日志來源提供多少本地支持?
如果SIEM無法接收和理解來自所有企業(yè)感興趣的日志產(chǎn)生源的日志數(shù)據(jù),那么,SIEM沒有那么多價值。其中最常見的是企業(yè)安全控件,例如防火墻、虛擬專用網(wǎng)、入侵防御系統(tǒng)、電子郵件和網(wǎng)絡安全網(wǎng)關,以及反惡意軟件產(chǎn)品。SIEM應該可以本地了解任何主要產(chǎn)品或這類云服務產(chǎn)生的日志文件。
此外,SIEM應該對企業(yè)使用的操作系統(tǒng)品牌和版本產(chǎn)生的日志文件提供本地支持。其中的例外是移動設備操作系統(tǒng),這通常不提供任何安全日志記錄功能。SIEM還應該本地支持企業(yè)的主要數(shù)據(jù)庫平臺,以及讓多個用戶與敏感數(shù)據(jù)交互的任何企業(yè)應用。對企業(yè)使用的其他軟件提供本地SIEM支持也不錯,但并不是必要功能。
如果SIEM無法本地支持日志源,那么,企業(yè)通常可以開發(fā)自定義代碼來提供必要的支持,或者使用沒有日志來源數(shù)據(jù)的SIEM。
2. SIEM能否補充現(xiàn)有日志記錄功能?
企業(yè)使用的特定應用和其他軟件可能缺乏強大的日志記錄功能。有些SIEM產(chǎn)品和服務可通過代表其他軟件執(zhí)行其自己的監(jiān)控來補充這些功能。從本質(zhì)上來說,這擴展了SIEM,讓它不只是集中式日志收集、分析和報告解決方案,同時也可代表其他主機產(chǎn)生原始日志數(shù)據(jù)。
3.SIEM可如何有效地利用威脅情報?
大多數(shù)SIEM能夠獲取威脅情報信息。這些情報信息通常是通過單獨訂閱各種服務而獲取,其中包括世界各地發(fā)現(xiàn)的最新威脅活動情報,包括哪些主機正被用于發(fā)起攻擊,以及這些攻擊有什么特性等。在SIEM中使用這些威脅情報的最大價值在于能夠更準確地發(fā)現(xiàn)攻擊,以及做出更明智的決策,通常還可自動確定需要阻止哪些攻擊,以及阻止它們的最佳方法。
當然,在供應商之間,威脅情報的質(zhì)量各不相同。當評估威脅情報有效性時需要考慮的因素包括威脅情報更新的頻率,以及威脅情報供應商如何表達對每個威脅惡意性質(zhì)。
4. SIEM產(chǎn)品可提供哪些取證功能?
傳統(tǒng)上來講,SIEM只收集其他日志源提供的數(shù)據(jù)。然而,最近有些SIEM產(chǎn)品添加了各種取證功能,可收集它們自己有關可疑活動的數(shù)據(jù)。常見的例子是SIEM產(chǎn)品能夠?qū)阂饣顒酉嚓P的網(wǎng)絡連接進行全數(shù)據(jù)包捕獲。假設這些數(shù)據(jù)包未加密,SIEM分析師可更密切地審查其內(nèi)容,以更好地了解這些活動的性質(zhì)。取證的另一個方面是主機活動日志記錄;這種日志記錄可在任何時候執(zhí)行,或者當發(fā)現(xiàn)涉及特定主機的可疑活動時觸發(fā)。
5. SIEM產(chǎn)品提供哪些功能來協(xié)助執(zhí)行數(shù)據(jù)分析?
用于事件檢測和/或處理的SIEM產(chǎn)品應該提供功能來幫助人們審查和評估SIEM自己的日志數(shù)據(jù),以及SIEM自己的警報和其他發(fā)現(xiàn)。其中一個原因是,即使是高度精確的SIEM偶爾也會誤報事件,所以人們需要有一種方法來驗證SIEM的結(jié)果。另一個原因是調(diào)查事件的人們需要可用的界面來方便這些調(diào)查。這種界面的例子包括高級搜索功能和數(shù)據(jù)可視化功能等。
6. SIEM自動響應功能是否及時、安全和有效?
評估SIEM產(chǎn)品的自動響應功能是企業(yè)需要做的工作,因為這非常涉及企業(yè)的網(wǎng)絡架構(gòu)、網(wǎng)絡安全控件和安全的其他方面。例如,特定SIEM產(chǎn)品可能不能導向企業(yè)的防火墻或其他網(wǎng)絡安全控件來終止攜帶惡意活動的連接。除了確保SIEM產(chǎn)品可將其需求傳達到其他主要安全控件外,同樣重要的是要考慮以下幾個特征:
• 及時性:SIEM檢測攻擊和引導適當?shù)陌踩丶碜柚构粢嚅L時間?
• 安全性:SIEM和其他安全控件之間的通信如何受到保護以防止竊聽和篡改?
• 有效性:SIEM產(chǎn)品在損壞發(fā)生前阻止攻擊的有效性如何?
7. 具有內(nèi)置報告的SIEM支持哪些安全合規(guī)要求?
大多數(shù)SIEM提供高度定制的報告功能。很多這些產(chǎn)品還提供內(nèi)置支持以生成符合各種安全合規(guī)要求的報告。每個企業(yè)應確定哪些舉措適用于它,然后確保SIEM產(chǎn)品支持盡可能多的合規(guī)要求。對于SIEM不支持的合規(guī)要求,確保其報告功能可很容易地進行定制,以滿足這些合規(guī)報告要求。
做好你的工作以及評估
SIEM是復雜的技術,它需要與企業(yè)安全控件以及各種主機的全面整合。為了評估最適合你企業(yè)的SIEM產(chǎn)品,你應該定義基本評估標準。并沒有適合所有企業(yè)的單個最佳SIEM產(chǎn)品;每個環(huán)境都有自己的IT特征和安全需求。即使是部署SIEM的主要目的,都可能非常不同,例如滿足合規(guī)報告要求或者協(xié)助事件檢測。
因此,每個企業(yè)在購買SIEM產(chǎn)品或服務前都應該進行自己的評估工作。本文中介紹了一些企業(yè)在評估中應該考慮的標準,但這并不是說其他標準都沒有必要。企業(yè)應將本文列出的標準作為出發(fā)點,以根據(jù)自己的需求構(gòu)建自己的SIEM標準清單。這將幫助確保企業(yè)選擇最佳SIEM產(chǎn)品。
