[[171589]]

很多企業(yè)主要依靠安全信息和事件管理技術(shù)(SIEM)來(lái)生成周期性、集中的安全報(bào)告，這些報(bào)告用于合規(guī)性目的以及對(duì)攻擊事件事后檢測(cè)及調(diào)查。不過(guò)，大多數(shù)SIEM平臺(tái)其實(shí)還能夠執(zhí)行實(shí)時(shí)分析。

這意味著它們可接收最新安全事件日志數(shù)據(jù)、持續(xù)監(jiān)測(cè)和分析所有最近收集的數(shù)據(jù)，以及確定需要采取進(jìn)一步行動(dòng)的事件。這可能涉及更密切地監(jiān)控特定網(wǎng)絡(luò)連接、生成警報(bào)讓安全運(yùn)營(yíng)中心人員作出回應(yīng)，或者調(diào)配其他企業(yè)安全控制來(lái)阻止正在進(jìn)行的攻擊。

現(xiàn)在很多企業(yè)正在利用SIEM產(chǎn)品的實(shí)時(shí)分析功能來(lái)更快速檢測(cè)和阻止攻擊，這可幫助減少重大數(shù)據(jù)泄露和其他攻擊活動(dòng)。下面讓我們看看在評(píng)估SIEM系統(tǒng)用于實(shí)時(shí)分析時(shí)應(yīng)考慮的三個(gè)因素：

多種分析技術(shù)。不同的情況需要不同的分析技術(shù)或技術(shù)組合。例如，通過(guò)基于簽名的技術(shù)來(lái)檢測(cè)攻擊可能比其他方法更快，但這也很容易被攻擊者繞過(guò)，讓其失去效用。

SIEM平臺(tái)應(yīng)該支持可查找異常事件、用戶行為模式改變、統(tǒng)計(jì)異常和其他突發(fā)性活動(dòng)的技術(shù)。此外，SIEM產(chǎn)品還應(yīng)該為每種情況使用正確的技術(shù)。

事件關(guān)聯(lián)功能。SIEM最大優(yōu)勢(shì)之一是它可發(fā)現(xiàn)單個(gè)事件的關(guān)聯(lián)部分或者多個(gè)日志的相關(guān)事件，并結(jié)合這些來(lái)看到整個(gè)局面。例如，網(wǎng)絡(luò)入侵防御系統(tǒng)可能檢測(cè)到服務(wù)器正受到攻擊，但需要訪問(wèn)服務(wù)器的操作系統(tǒng)和應(yīng)用日志來(lái)確定攻擊是否成功以及發(fā)生了什么。

而SIEM平臺(tái)可自動(dòng)分析所有這些日志，它們可更詳細(xì)描述發(fā)生了什么。在某些情況下，SIEM平臺(tái)可發(fā)現(xiàn)一系列相關(guān)事件，讓人類分析師可追蹤攻擊者在整個(gè)公司的活動(dòng)。

威脅情報(bào)支持和使用。威脅情報(bào)源可提供有關(guān)最新檢測(cè)到的威脅的信息，例如攻擊其他企業(yè)的設(shè)備的IP地址。SIEM利用威脅情報(bào)信息可顯著提高其實(shí)時(shí)分析能力，讓攻擊檢測(cè)更快更準(zhǔn)確，并讓SIEM平臺(tái)可更好地優(yōu)先排序其操作。

有些SIEM平臺(tái)使用供應(yīng)商提供的威脅情報(bào);其他平臺(tái)還支持使用第三方威脅情報(bào)。這種威脅情報(bào)的質(zhì)量非常重要，質(zhì)量包括更新頻率、是否全面以及精確度。同樣重要的是考慮SIEM產(chǎn)品如何利用這些威脅情報(bào)，這應(yīng)該是實(shí)時(shí)分析考慮的因素之一。不平衡的做法可能會(huì)顯著增加誤報(bào)或漏報(bào)率，讓實(shí)時(shí)分析事倍功半。