過去幾年里，安全信息和事件管理(SIEM)技術(shù)一直備受指責(zé)。其復(fù)雜性和對專業(yè)服務(wù)的過度需求招致了很多抱怨，很多企業(yè)都對其部署SIEM進(jìn)行安全監(jiān)控的經(jīng)歷感到失望。

[[109093]]

但那是以前，現(xiàn)在已經(jīng)不同。公平地說，技術(shù)已經(jīng)不再是企業(yè)難以成功部署SIEM的原因。領(lǐng)先的SIEM平臺已經(jīng)經(jīng)歷了“大腦移植”，遷移到特定目的的數(shù)據(jù)存儲，這些數(shù)據(jù)存儲能夠提供足夠的性能和規(guī)模。曾經(jīng)笨重且不可靠的系統(tǒng)連接器和日志聚合器現(xiàn)在更有效，使數(shù)據(jù)收集變得相對簡單。

但SIEM仍然面臨著很多困難，所有依賴基于規(guī)則的政策的技術(shù)都是如此。SIEM必須知道它要尋找什么。神奇的SIEM產(chǎn)品并不會自動地發(fā)現(xiàn)利用新方法或罕見漏洞的攻擊。

要知道，SIEM在攻擊檢測中發(fā)揮著重要作用。但要成功檢測出已知甚至是未知攻擊類型，企業(yè)必須建立一套策略來尋找其環(huán)境中的攻擊情況和指標(biāo)，并持續(xù)監(jiān)控這些情況。

那么，到底該如何建立這種策略呢?當(dāng)然，等待它自己出現(xiàn)并不現(xiàn)實。下面我們看看建立有效SIEM政策的簡單過程。

在合理范圍內(nèi)收集所有數(shù)據(jù)

如果沒有收集足夠的數(shù)據(jù)，SIEM就無法進(jìn)行全面分析。所以第一步是收集正確的數(shù)據(jù)。這意味著什么呢?先從明顯的數(shù)據(jù)開始，例如網(wǎng)絡(luò)、安全和服務(wù)器設(shè)備日志。這些數(shù)據(jù)很多，且容易獲得。接著，從應(yīng)用基礎(chǔ)設(shè)施(數(shù)據(jù)庫、應(yīng)用)獲取日志信息。當(dāng)然，SIEM還需要各種其它數(shù)據(jù)源，包括身份數(shù)據(jù)、網(wǎng)絡(luò)流量、漏洞掃描結(jié)果以及配置數(shù)據(jù)。

對于SIEM系統(tǒng)而言，數(shù)據(jù)越多越好。如果可以的話，收集所有數(shù)據(jù)。如果需要對收集的數(shù)據(jù)進(jìn)行優(yōu)先排序，應(yīng)該先考慮從最重要的技術(shù)資產(chǎn)(即受保護(hù)環(huán)境中的設(shè)備以及處理受監(jiān)管數(shù)據(jù)的設(shè)備)收集的數(shù)據(jù)。另外還要注意處理關(guān)鍵知識產(chǎn)權(quán)的系統(tǒng)。

構(gòu)建規(guī)則

建立SIEM規(guī)則庫是一個迭代的過程。這意味著這個過程相對較慢，需要長期的細(xì)化或調(diào)整。很多人在開始這個過程時出現(xiàn)“分析癱瘓”，因為有數(shù)百萬種可能建立的規(guī)則。因此，我們建議首先要明確應(yīng)該被定義的規(guī)則。

在建模過程中，從重要資產(chǎn)開始。將你自己放在攻擊者的角色，并開始監(jiān)視你會想竊取的數(shù)據(jù)。

模擬威脅：如果你是攻擊者，你會如何入侵和竊取數(shù)據(jù)呢?模擬這種威脅，然后在SIEM工具中列舉這些攻擊向量。不要忘了滲出，因為這為企業(yè)在數(shù)據(jù)被竊前提供了檢測攻擊的另一個機(jī)會。用現(xiàn)實的態(tài)度進(jìn)行這個過程，因為威脅模型并不完全準(zhǔn)確，它可能是不完整或者不全面的。最重要的是簡單地開始威脅建模過程，這是很好的開端。

完善規(guī)則：對你自己發(fā)動攻擊。有很多現(xiàn)成的工具可用來攻擊你的環(huán)境，你可以試試。然后監(jiān)控你的SIEM的活動。它是否發(fā)出正確的警報，是否在適當(dāng)?shù)臅r間?警報是否提供足夠的信息來協(xié)助響應(yīng)者弄清楚發(fā)生了什么并采取行動?如果答案是否定的，請回到第一步，完善規(guī)則。

優(yōu)化閾值：隨著時間的推移，你會逐漸了解SIEM警報是否過于頻繁或者不足夠。根據(jù)這一點，適當(dāng)調(diào)整閾值。這是一個平衡，如果閾值過于緊，警報會減少，但這更容易錯過攻擊。反之亦然，如果警報過于頻繁的話。

清洗、漂洗、重復(fù)：在針對特定攻擊的規(guī)則集部署和優(yōu)化后，移動到下一個攻擊向量，在建模每種威脅時，重復(fù)這個過程。

順便說一句，這個過程永遠(yuǎn)不會結(jié)束?？倳行鹿粜枰＃轮笜?biāo)需要監(jiān)測。企業(yè)必須密切關(guān)注安全新聞來了解哪種攻擊很流行。最新威脅研究報告(例如Mandiant公司的APT1報告)包含明確的指標(biāo)，每個企業(yè)都可以(而且應(yīng)該)考慮將這些指標(biāo)加入其SIEM。有了威脅情報和全面的數(shù)據(jù)收集環(huán)境，你就找不到借口了：現(xiàn)在是時候開始尋找不斷涌現(xiàn)的高級攻擊了。

也請記住，隨著時間的推移，你需要添加新的數(shù)據(jù)類型到SIEM，這將需要重新考慮所有的SIEM規(guī)則。例如，如果捕捉網(wǎng)絡(luò)數(shù)據(jù)包流量并發(fā)送到SIEM，這將會提供大量可供分析的新信息。如果能夠查看實際網(wǎng)絡(luò)流量，這會給查找某種攻擊帶來什么影響?我們可以添加哪些其他規(guī)則來更快地檢測攻擊?這些都不是瑣碎的問題。每次添加(或刪除)一種數(shù)據(jù)源，檢查SIEM規(guī)則可以幫助提高攻擊檢測速度。

這個過程最重要的是保持一致性。SIEM并不是“一次設(shè)置,終身無憂”的技術(shù)。它需要悉心的照顧和對待--不只是現(xiàn)在，而是它的整個生命周期。如果你對此有任何僥幸心理，你最終會很失望。