SIEM功能如何用于實時分析?
很多企業主要依靠安全信息和事件管理技術(SIEM)來生成周期性、集中的安全報告,這些報告用于合規性目的以及對攻擊事件事后檢測及調查。不過,大多數SIEM平臺其實還能夠執行實時分析。
這意味著它們可接收最新安全事件日志數據、持續監測和分析所有最近收集的數據,以及確定需要采取進一步行動的事件。這可能涉及更密切地監控特定網絡連接、生成警報讓安全運營中心人員作出回應,或者調配其他企業安全控制來阻止正在進行的攻擊。
現在很多企業正在利用SIEM產品的實時分析功能來更快速檢測和阻止攻擊,這可幫助減少重大數據泄露和其他攻擊活動。下面讓我們看看在評估SIEM系統用于實時分析時應考慮的三個因素:
多種分析技術。不同的情況需要不同的分析技術或技術組合。例如,通過基于簽名的技術來檢測攻擊可能比其他方法更快,但這也很容易被攻擊者繞過,讓其失去效用。
SIEM平臺應該支持可查找異常事件、用戶行為模式改變、統計異常和其他突發性活動的技術。此外,SIEM產品還應該為每種情況使用正確的技術。
事件關聯功能。SIEM最大優勢之一是它可發現單個事件的關聯部分或者多個日志的相關事件,并結合這些來看到整個局面。例如,網絡入侵防御系統可能檢測到服務器正受到攻擊,但需要訪問服務器的操作系統和應用日志來確定攻擊是否成功以及發生了什么。
而SIEM平臺可自動分析所有這些日志,它們可更詳細描述發生了什么。在某些情況下,SIEM平臺可發現一系列相關事件,讓人類分析師可追蹤攻擊者在整個公司的活動。
威脅情報支持和使用。威脅情報源可提供有關最新檢測到的威脅的信息,例如攻擊其他企業的設備的IP地址。SIEM利用威脅情報信息可顯著提高其實時分析能力,讓攻擊檢測更快更準確,并讓SIEM平臺可更好地優先排序其操作。
有些SIEM平臺使用供應商提供的威脅情報;其他平臺還支持使用第三方威脅情報。這種威脅情報的質量非常重要,質量包括更新頻率、是否全面以及精確度。同樣重要的是考慮SIEM產品如何利用這些威脅情報,這應該是實時分析考慮的因素之一。不平衡的做法可能會顯著增加誤報或漏報率,讓實時分析事倍功半。
