鑒于正確實施、 管理和利用安全信息和事件管理 (SIEM) 系統(tǒng)對組織的安全基礎結構環(huán)境的重要性，很明顯破壞SIEM系統(tǒng)可能是攻擊者用來避免檢測或破壞環(huán)境安全管理的一種成功方法。

有哪些潛在影響會使SIEM系統(tǒng)受損，又有哪些防御措施可供企業(yè)找來保護其SIEM系統(tǒng)呢？這些都是我們會設法在此回答的問題。

將SIEM系統(tǒng)視為可用性高的企業(yè)資源

從安全操作的角度分析，我們應該認識到SIEM系統(tǒng)是安全基礎結構的重要組成部分，也是托管企業(yè)環(huán)境中的眾多系統(tǒng)之一。為此，我們應該對SIEM系統(tǒng)進行定期輪詢以確保其正常的運行和操作。SIEM系統(tǒng)部署計劃之一就是確保 SIEM 系統(tǒng)作為企業(yè)環(huán)境中的關鍵系統(tǒng)能夠被大家認可，并保證其運行的硬件和軟件系統(tǒng)被視為高風險，進行配置和管理。

我們也要考慮SIEM系統(tǒng)的適應能力。因為，下一代SIEM系統(tǒng)會注重功能的設計，像自適應路徑選擇，若一條安全事件傳遞路徑不被阻斷，那么會有其他的路徑跟上來，或者帶外信號到中心節(jié)點之間的傳輸信道至少有一條是可用的。

目前實現 SIEM 系統(tǒng)安全的有效步驟

雖然這些下一代 SIEM 保護功能被納入未來 SIEM 系統(tǒng)產品，現在還是有很多方法可以確保 SIEM 安全。將一種典型的安全檢測方法應用于 SIEM 系統(tǒng)本身，可以有效地實施安全事件收集過程：

◆從身份驗證和訪問控制的角度來看，我們應該對SIEM系統(tǒng)的訪問進行精心設置和管理。與企業(yè)的 LDAP（輕量級的目錄訪問協(xié)議）目錄服務相集成的方法可以確保 SIEM 系統(tǒng)看起來不是孤島，而是托管環(huán)境的組成部分。對系統(tǒng)的訪問應該是有限制的，盡可能采用"權限分離"的方法對系統(tǒng)訪問進行限制，尤其是特權訪問，即任何個人或管理員都不能單獨操作系統(tǒng)。

◆ 我們必須考慮安全信息的保密性和完整性，特別是信息收集代理/聚集點和中央管理節(jié)點之間的信息傳播方式。信息的存儲－－例如，中央節(jié)點的數據庫需要考慮其保密性。隱私也要考慮，但這取決于安全事件運用的地點和方式。

◆在某些情況下，匿名被應用于安全事件，因此可以確定一個大體的趨勢－－尤其是管理站外或跨多個客戶端時－－在組織的控制和管理下，只有有限范圍將這種管理轉變?yōu)槭聦崱?/p>

◆可以考慮用不可否認性來確保經授權的或其他的開發(fā)者無法否認已對項目操作的事實。然而，只有考慮到SIEM事件在初始系統(tǒng)中如何進行集中存儲，才確保可以收集充分的操作證據。

◆最后，系統(tǒng)的可用性也是一個安全問題，對SIEM系統(tǒng)來說也同樣存在問題。從架構來看，未來的 SIEM 產品將有自我修復、 自適應類型的功能。在此期間，業(yè)務的災難恢復方面應確保 SIEM 系統(tǒng)運行在高效的基礎設施之上，相對于同時修復的其他關鍵任務系統(tǒng)，要優(yōu)先保證SIEM 的有序監(jiān)測和觀察。歸根結底，要看造成運行中斷或災難的原因是什么，最重要的是讓安全系統(tǒng)首先運行起來，這樣可以確保任何突發(fā)的模式、警報、 事件或事故是可見的，并且是可以進行調查和反饋追蹤的。

仔細的部署可以增強 SIEM 系統(tǒng)的安全，但這需要更多的時間來創(chuàng)建增強SIEM產品適應力的架構，而將它們作為整體管理系統(tǒng)中高可用的關鍵系統(tǒng)則可以馬上做到。