隨著組織對其 IT 基礎設施進行現代化改造并增加云服務的采用，安全團隊在人員配置、預算和技術方面面臨著新的挑戰。為了跟上步伐，安全計劃必須不斷發展，以保護現代 IT 環境，利用有限的資源抵御快速發展的威脅。這需要重新思考傳統的安全策略，并將投資重點放在云安全、人工智能驅動的防御和技能開發等能力上。前進的道路要求安全團隊在技術和網絡風險的變化中保持敏捷、創新和戰略性。

為了滿足這些安全需求，安全團隊必須重點關注三個關鍵轉型：

1. 從封閉的供應商生態系統演變為開放、協作、社區驅動的防御
2. 通過人工智能和自動化擴展安全專業知識
3. 從以工具為中心的防御演變為以分析師為動力的結果

實現安全運營計劃現代化最有效的步驟之一是升級核心 SIEM 平臺。作為 SOC 團隊的中樞神經系統，SIEM 收集、關聯和分析整個 IT 環境中的數據以檢測威脅。通過實施云原生 SIEM 或增強本地系統來優化此功能，為擴展安全工作奠定了數字基礎。

通過升級的 SIEM 獲得安全警報和事件的高保真視圖，組織可以獲得識別和響應網絡風險（無論來源如何）所需的可見性和上下文。優先考慮改進可以加速將孤立的安全實踐轉變為集成的、智能驅動的功能，以應對當前和新興的挑戰。

開放防御：尋找隱藏在“安全數據大海撈針”中的真正“威脅針”

數據爆炸增加了攻擊面——這是一個最顯著的副作用，會產生代價高昂的連鎖反應。更多數據。更多警報。需要更多時間來篩選警報。

SIEM 在分析這些數據方面發揮著關鍵作用，但是，將如此大量的數據發送到 SIEM 進行分析的現實變得越來越具有挑戰性，尤其是跨多個云。在某些情況下，發送所有數據是不必要的。隨著云以及云中身份和數據安全工具的發展，通常只需要從這些系統收集警報并將其導入到SIEM，而不是攝取所有數據。

當今的 SIEM 應圍繞開放標準和技術進行設計，以便它們可以輕松地僅收集關鍵見解，同時仍然為安全團隊提供在需要時訪問底層遙測數據的權限。

在許多情況下，不需要進行此類檢測；在其他情況下，安全團隊只需要收集數據即可進行進一步的特定威脅分析。在這些情況下，具有實時數據收集、專為分析云規模數據而設計的數據倉庫功能、針對實時分析和亞秒級搜索時間進行優化的 SIEM 就是解決方案。組織需要訪問本地和云中的數據，而無需處理供應商和數據鎖定。

這種開放式 SIEM 方法可幫助組織利用數據湖、日志平臺和檢測技術方面的現有投資。它還確保組織在安全基礎設施成熟時能夠靈活地選擇正確的數據保留和安全工具。

但是，提高數據可見性只是解決方案的一部分。安全團隊需要準確且最新的檢測邏輯來發現威脅，因為安全團隊目前在及時檢測威脅的技能方面面臨挑戰。結合定期更新的威脅情報使分析師能夠加快威脅檢測速度。而且，利用 SIGMA 等通用、共享的檢測規則語言，隨著威脅的發展，客戶可以快速導入直接從安全社區眾包的新的、經過驗證的檢測。

人工智能和自動化加速威脅檢測和響應

大多數組織都在 SIEM 或其他威脅檢測技術（例如 EDR 中檢測惡意行為，但事實上，SOC 專業人員可以根據最近的全球調查，他們在一個典型工作日內應該查看的警報不到一半 (49%)。利用自動化和人工智能可確保建議和見解的透明度和來源，從而幫助安全團隊解決高優先級警報并交付預期結果。

為此，SIEM 需要采用基于風險的創新分析以及由圖形分析、威脅情報和洞察、聯合搜索和人工智能提供支持的自動調查。有效的 SIEM 平臺必須利用人工智能來增強人類認知。自調整功能可減少嘈雜的警報，將分析師的注意力集中在最需要的地方。虛擬協助可以幫助處理例行分類，使安全專家能夠實施戰略計劃，而強大的機器學習模型可以發現基于規則的系統隱藏的攻擊模式和事件錯過。一些最先進的 SIEM 豐富并關聯了整個組織環境中的發現，因此分析會自動集中于最重要的攻擊。</span>

為了與安全團隊建立所需的信任，SIEM 需要在其建議和見解中提供透明度和來源。通過將可解釋性納入每次評估的方式中，安全分析師可以有信心信任建議，并針對環境中的威脅更快、更果斷地采取行動。

供應商在開發當今的 SIEM 時需要考慮的另一個方面是將決策和響應操作轉移給由響應者執行初始警報分析的分析師。在許多情況下，他們希望在風險平衡適合組織的情況下實現完全自動化。傳統上，此類流程和決策是在單獨的SOAR 系統中進行適當協調和定制的，在某些情況下是與不同的團隊進行協調和定制的。今天的 SIEM 需要能夠實現更敏捷的左移，以將完整的 SOAR 功能納入 SIEM 工作流程和 UX 中。這種方法使組織能夠根據風險平衡幾乎完全自動化響應流程，并在需要時將安全團隊引入流程以驗證建議的操作。

從以工具為中心的防御演變為以分析人員為中心的防御

早期的 SIEM 平臺以收集和關聯大量安全數據為中心。這些第一代系統在日志聚合方面表現出色，但由于大量警報充斥著誤報，使分析人員負擔過重。為了跟上步伐，團隊添加了新工具來管理事件、跟蹤威脅和自動化任務。但這種技術驅動的方法創造了復雜、分散的環境，降低了生產力。

現代 SIEM 解決方案將重點轉移到人類分析師在整個威脅生命周期的體驗上。下一代平臺不是產生更多數據點，而是利用人工智能在噪音中尋找信號。基于云的分析可以發現難以識別的攻擊模式，以提供預測功能并豐富整個組織環境中的發現結果，以便分析師可以專注于最重要的攻擊。為了在分析師工作流程中有效地工作，開放式架構和集成系統可見性必須嵌入到每個 SIEM 中。

在現代 SIEM 的例子中，工具和技術是為分析師服務的，而不是相反。