在本文中，專家Karen Scarfone介紹了企業(yè)評估安全信息和事件管理(SIEM)產(chǎn)品的重要標(biāo)準(zhǔn)。

安全信息和事件管理(SIEM)產(chǎn)品及服務(wù)負(fù)責(zé)從大量企業(yè)安全控件、主機(jī)操作系統(tǒng)、企業(yè)應(yīng)用和企業(yè)使用的其他軟件收集安全日志數(shù)據(jù)，并進(jìn)行分析和報(bào)告。有些SIEM還可以試圖阻止它們檢測到正在進(jìn)行的攻擊，這可能幫助阻止破壞或者限制成功攻擊可能造成的損壞。

現(xiàn)在有很多可用的SEIM系統(tǒng)，包括“輕量級”SIEM產(chǎn)品—專門針對負(fù)擔(dān)不起或感覺他們不需要全功能SIEM的企業(yè)。對于企業(yè)來說，確定要評估哪些產(chǎn)品已經(jīng)是相當(dāng)大的挑戰(zhàn)，更遑論選擇最適合特定企業(yè)或部門的產(chǎn)品。SIEM評估過程應(yīng)包括創(chuàng)建標(biāo)準(zhǔn)清單，以列出企業(yè)特別需要考慮的SIEM功能。

本文中提供了一些標(biāo)準(zhǔn)(也就是問題)以幫助企業(yè)進(jìn)行SIEM評估。由于 “輕量級”產(chǎn)品提供較少的功能，它們更容易評估，所以它們不在本文的討論范圍。這篇文章中探討的是“常規(guī)”SIEM中值得特別關(guān)注的方面。

 [[148221]]

1. SIEM能為相關(guān)日志來源提供多少本地支持?

如果SIEM無法接收和理解來自所有企業(yè)感興趣的日志產(chǎn)生源的日志數(shù)據(jù)，那么，SIEM沒有那么多價(jià)值。其中最常見的是企業(yè)安全控件，例如防火墻、虛擬專用網(wǎng)、入侵防御系統(tǒng)、電子郵件和網(wǎng)絡(luò)安全網(wǎng)關(guān)，以及反惡意軟件產(chǎn)品。SIEM應(yīng)該可以本地了解任何主要產(chǎn)品或這類云服務(wù)產(chǎn)生的日志文件。

此外，SIEM應(yīng)該對企業(yè)使用的操作系統(tǒng)品牌和版本產(chǎn)生的日志文件提供本地支持。其中的例外是移動(dòng)設(shè)備操作系統(tǒng)，這通常不提供任何安全日志記錄功能。SIEM還應(yīng)該本地支持企業(yè)的主要數(shù)據(jù)庫平臺，以及讓多個(gè)用戶與敏感數(shù)據(jù)交互的任何企業(yè)應(yīng)用。對企業(yè)使用的其他軟件提供本地SIEM支持也不錯(cuò)，但并不是必要功能。

如果SIEM無法本地支持日志源，那么，企業(yè)通?？梢蚤_發(fā)自定義代碼來提供必要的支持，或者使用沒有日志來源數(shù)據(jù)的SIEM。

2. SIEM能否補(bǔ)充現(xiàn)有日志記錄功能?

企業(yè)使用的特定應(yīng)用和其他軟件可能缺乏強(qiáng)大的日志記錄功能。有些SIEM產(chǎn)品和服務(wù)可通過代表其他軟件執(zhí)行其自己的監(jiān)控來補(bǔ)充這些功能。從本質(zhì)上來說，這擴(kuò)展了SIEM，讓它不只是集中式日志收集、分析和報(bào)告解決方案，同時(shí)也可代表其他主機(jī)產(chǎn)生原始日志數(shù)據(jù)。

3.SIEM可如何有效地利用威脅情報(bào)?

大多數(shù)SIEM能夠獲取威脅情報(bào)信息。這些情報(bào)信息通常是通過單獨(dú)訂閱各種服務(wù)而獲取，其中包括世界各地發(fā)現(xiàn)的最新威脅活動(dòng)情報(bào)，包括哪些主機(jī)正被用于發(fā)起攻擊，以及這些攻擊有什么特性等。在SIEM中使用這些威脅情報(bào)的最大價(jià)值在于能夠更準(zhǔn)確地發(fā)現(xiàn)攻擊，以及做出更明智的決策，通常還可自動(dòng)確定需要阻止哪些攻擊，以及阻止它們的最佳方法。

當(dāng)然，在供應(yīng)商之間，威脅情報(bào)的質(zhì)量各不相同。當(dāng)評估威脅情報(bào)有效性時(shí)需要考慮的因素包括威脅情報(bào)更新的頻率，以及威脅情報(bào)供應(yīng)商如何表達(dá)對每個(gè)威脅惡意性質(zhì)。

4. SIEM產(chǎn)品可提供哪些取證功能?

傳統(tǒng)上來講，SIEM只收集其他日志源提供的數(shù)據(jù)。然而，最近有些SIEM產(chǎn)品添加了各種取證功能，可收集它們自己有關(guān)可疑活動(dòng)的數(shù)據(jù)。常見的例子是SIEM產(chǎn)品能夠?qū)阂饣顒?dòng)相關(guān)的網(wǎng)絡(luò)連接進(jìn)行全數(shù)據(jù)包捕獲。假設(shè)這些數(shù)據(jù)包未加密，SIEM分析師可更密切地審查其內(nèi)容，以更好地了解這些活動(dòng)的性質(zhì)。取證的另一個(gè)方面是主機(jī)活動(dòng)日志記錄;這種日志記錄可在任何時(shí)候執(zhí)行，或者當(dāng)發(fā)現(xiàn)涉及特定主機(jī)的可疑活動(dòng)時(shí)觸發(fā)。

5. SIEM產(chǎn)品提供哪些功能來協(xié)助執(zhí)行數(shù)據(jù)分析?

用于事件檢測和/或處理的SIEM產(chǎn)品應(yīng)該提供功能來幫助人們審查和評估SIEM自己的日志數(shù)據(jù)，以及SIEM自己的警報(bào)和其他發(fā)現(xiàn)。其中一個(gè)原因是，即使是高度精確的SIEM偶爾也會誤報(bào)事件，所以人們需要有一種方法來驗(yàn)證SIEM的結(jié)果。另一個(gè)原因是調(diào)查事件的人們需要可用的界面來方便這些調(diào)查。這種界面的例子包括高級搜索功能和數(shù)據(jù)可視化功能等。

6. SIEM自動(dòng)響應(yīng)功能是否及時(shí)、安全和有效?

評估SIEM產(chǎn)品的自動(dòng)響應(yīng)功能是企業(yè)需要做的工作，因?yàn)檫@非常涉及企業(yè)的網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)安全控件和安全的其他方面。例如，特定SIEM產(chǎn)品可能不能導(dǎo)向企業(yè)的防火墻或其他網(wǎng)絡(luò)安全控件來終止攜帶惡意活動(dòng)的連接。除了確保SIEM產(chǎn)品可將其需求傳達(dá)到其他主要安全控件外，同樣重要的是要考慮以下幾個(gè)特征：

• 及時(shí)性：SIEM檢測攻擊和引導(dǎo)適當(dāng)?shù)陌踩丶碜柚构粢嚅L時(shí)間?

• 安全性：SIEM和其他安全控件之間的通信如何受到保護(hù)以防止竊聽和篡改?

• 有效性：SIEM產(chǎn)品在損壞發(fā)生前阻止攻擊的有效性如何?

7. 具有內(nèi)置報(bào)告的SIEM支持哪些安全合規(guī)要求?

大多數(shù)SIEM提供高度定制的報(bào)告功能。很多這些產(chǎn)品還提供內(nèi)置支持以生成符合各種安全合規(guī)要求的報(bào)告。每個(gè)企業(yè)應(yīng)確定哪些舉措適用于它，然后確保SIEM產(chǎn)品支持盡可能多的合規(guī)要求。對于SIEM不支持的合規(guī)要求，確保其報(bào)告功能可很容易地進(jìn)行定制，以滿足這些合規(guī)報(bào)告要求。

做好你的工作以及評估

SIEM是復(fù)雜的技術(shù)，它需要與企業(yè)安全控件以及各種主機(jī)的全面整合。為了評估最適合你企業(yè)的SIEM產(chǎn)品，你應(yīng)該定義基本評估標(biāo)準(zhǔn)。并沒有適合所有企業(yè)的單個(gè)最佳SIEM產(chǎn)品;每個(gè)環(huán)境都有自己的IT特征和安全需求。即使是部署SIEM的主要目的，都可能非常不同，例如滿足合規(guī)報(bào)告要求或者協(xié)助事件檢測。

因此，每個(gè)企業(yè)在購買SIEM產(chǎn)品或服務(wù)前都應(yīng)該進(jìn)行自己的評估工作。本文中介紹了一些企業(yè)在評估中應(yīng)該考慮的標(biāo)準(zhǔn)，但這并不是說其他標(biāo)準(zhǔn)都沒有必要。企業(yè)應(yīng)將本文列出的標(biāo)準(zhǔn)作為出發(fā)點(diǎn)，以根據(jù)自己的需求構(gòu)建自己的SIEM標(biāo)準(zhǔn)清單。這將幫助確保企業(yè)選擇最佳SIEM產(chǎn)品。