企業(yè)需要動態(tài)的情報驅(qū)動型防御措施來有效識別以前沒有見過的惡意行為;這些異常行為最終可能帶來危險的零日攻擊——這種攻擊每天在互聯(lián)網(wǎng)上肆虐。而企業(yè)防御的關(guān)鍵組成部分是安全信息和事件管理(SIEM)產(chǎn)品，SIEM為企業(yè)提供了中央存儲庫來收集和監(jiān)控網(wǎng)絡(luò)行為。

不幸的是，糟糕的部署和供應(yīng)商的過度銷售讓SIEM留下了不好的名聲。與此同時，很多企業(yè)部署SIEM只是為了滿足合規(guī)性報告要求，很少有企業(yè)充分利用該技術(shù)的事件管理功能。

然而，第二代SIEM產(chǎn)品可能會改變這種狀況。第二代SIEM具有先進的安全分析，并且數(shù)據(jù)收集也擴大了范圍及規(guī)模，這意味著很多不同的事件可以用來實時找出異?；顒?。

企業(yè)創(chuàng)造了海量的數(shù)據(jù)：電子郵件、文檔、社交媒體交互、音頻、網(wǎng)絡(luò)流量、點擊流、被訪問文件的日志信息、注冊表變更以及被啟動和停止的進程，這些數(shù)據(jù)可以用于發(fā)現(xiàn)異?；顒?。同時，系統(tǒng)信息(例如處理器和內(nèi)存利用率)也可以用來發(fā)現(xiàn)系統(tǒng)中意想不到的變化。面對這龐大的數(shù)據(jù)，在評估下一代SIEM產(chǎn)品時，可擴展性、強大的分析工具以及對異構(gòu)事件源的支持是最重要的功能，特別是當(dāng)涉及時間敏感型程序(例如欺詐檢測)時。另一個關(guān)鍵因素是用于可視化和探索這些數(shù)據(jù)的工具，還有基于業(yè)務(wù)方面的可操作情報，這樣企業(yè)就可以發(fā)現(xiàn)并優(yōu)先處理構(gòu)成最大風(fēng)險的威脅。

為了充分利用所有這些數(shù)據(jù)，以及通過發(fā)現(xiàn)深藏在企業(yè)數(shù)據(jù)中的線索以提高檢測率，SIEM需要利用“自適應(yīng)智能”;換句話說，它必須了解什么是正常事件，從而認識什么是異常事件，因為異常事件是高級威脅或數(shù)據(jù)泄露事故的重要指標(biāo)。SIEM還必須能夠識別攻擊模式，即使攻擊已經(jīng)擴散了一段時間。設(shè)置SIEM規(guī)則是一個反復(fù)的過程，不過，有些產(chǎn)品能夠支持基于規(guī)則和無規(guī)則相關(guān)性的同時使用，從而減少初始配置時間，自動化登錄和身份驗證監(jiān)控過程，以及減少誤報數(shù)量。雖然自學(xué)習(xí)算法仍然處于起步階段，但利用模糊邏輯、行為分析、聚類算法和策略規(guī)則的實時身份關(guān)聯(lián)能夠提供真正的無簽名檢測，以防止未經(jīng)授權(quán)訪問，并在用戶、賬戶和資源水平找出異?；顒?。

另外，結(jié)合來自全球安全社區(qū)的外部威脅情報可以進一步明確什么是正常事件或可接受事件，這樣，分析將不再局限于一家企業(yè)產(chǎn)生的數(shù)據(jù)。對此，企業(yè)應(yīng)尋找靈活的易于部署的數(shù)據(jù)來源，讓現(xiàn)有安全監(jiān)控產(chǎn)品可以有效地利用它們。對結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)的實時分析是必不可少的。

對于將數(shù)據(jù)存儲在云中的企業(yè)，他們應(yīng)該尋找支持SIEM數(shù)據(jù)被內(nèi)部SIEM收集的服務(wù)提供商。這能夠提供云計算和內(nèi)部環(huán)境的統(tǒng)一視圖，前提是SIEM能夠處理供應(yīng)商的數(shù)據(jù)—這可能是不同的格式。在平臺即服務(wù)(PaaD)環(huán)境中，企業(yè)可以安裝監(jiān)控代理來推送流量和日志到內(nèi)部服務(wù)器進行處理，而一些SIEM工具可以利用特定的軟件即服務(wù)(SaaS)應(yīng)用程序接口來從公共云收集日志信息，這樣企業(yè)可以關(guān)聯(lián)跨多個平臺的事件，從而產(chǎn)生結(jié)合了內(nèi)部和云計算應(yīng)用的儀表板視圖以及審計報告。然而，網(wǎng)絡(luò)帶寬、延遲和數(shù)據(jù)傳輸成本阻礙著企業(yè)即時中斷惡意活動。

對于任何SIEM來說，為收集和分析的信息提供儀表板視圖是一個重要的功能，同樣重要的是，提供有效對策的可操作報告，這樣，管理員可以看到哪里最需要注意。同時，請不要忽視以不同方式輸出信息的功能，因為不同利益相關(guān)者可能想要關(guān)于牽扯到其利益的安全風(fēng)險的信息，最后是以他們能夠理解的水平來呈現(xiàn)，以便他們充分體會到其相關(guān)性。這將會使討論更容易，并且更快速地找出最合適的做法。

為了加快決策，企業(yè)不僅需要向SIEM提供更多信息，以及讓它能夠更快發(fā)現(xiàn)事件;安全團隊還必須能夠更快反應(yīng)和響應(yīng)。事件響應(yīng)團隊需要熟悉SIEM生成的警報和警告類型，并部署行之有效的程序。這不僅能夠確保正確的人知道采取正確的行動，而且這些工作能夠進行協(xié)調(diào)。

當(dāng)然，安全團隊必須有能力來處理和響應(yīng)SIEM生成的額外警報和警告，抽出時間來整理和分類數(shù)據(jù)資產(chǎn)將讓SIEM更好地優(yōu)先排序威脅。SIEM內(nèi)有時還包括資產(chǎn)發(fā)現(xiàn)和分析工具，這兩個工具能夠減少花在網(wǎng)絡(luò)資產(chǎn)分類的事件，也能夠應(yīng)對配置變化以及硬件和軟件變更。

良好的安全性是一個持續(xù)的過程，資源豐富和良好配置的SIEM可以提供關(guān)于安全狀態(tài)、漏洞和威脅的實時信息，從而支持安全團隊管理和保護運行其核心任務(wù)和業(yè)務(wù)功能的信息系統(tǒng)。如果團隊有充足的資源和經(jīng)過測試的程序，企業(yè)整體信息安全將會得到改善。在任何時候，這都是個有價值的目標(biāo)。