[[437074]]

一、SIEM概念及發(fā)展趨勢(shì)

隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入推進(jìn)，網(wǎng)絡(luò)安全越來(lái)越被企業(yè)所重視。為了構(gòu)建完備的安全防御體系，企業(yè)通常會(huì)引入了防火墻(Firewall)、防病毒系統(tǒng)(Anti-Virus System，AVS)、入侵防御系統(tǒng)(Intrusion Prevention System，IPS)、入侵檢測(cè)系統(tǒng)(Intrusion Detection System，IDS)、審計(jì)系統(tǒng)等大量安全產(chǎn)品，然而這些安全產(chǎn)品往往各自為政、缺乏聯(lián)動(dòng)，難以形成有價(jià)值的、全面系統(tǒng)的安全態(tài)勢(shì)分析報(bào)告，也就難以應(yīng)對(duì)復(fù)雜多變的安全威脅。

安全信息和事件管理 (SIEM，Security Information and Event Management) 正好可以滿足這方面的需求。SIEM可以收集和存儲(chǔ)來(lái)自各種網(wǎng)絡(luò)、安全設(shè)備等日志和事件，并能夠持續(xù)分析接入的數(shù)據(jù)，用以持續(xù)地進(jìn)行威脅檢測(cè)和合規(guī)性檢測(cè)，幫助提升企業(yè)威脅響應(yīng)能力;另外，SIEM也可以綜合所采集的安全日志和事件，提供系統(tǒng)全面地安全報(bào)告，以便企業(yè)完整地評(píng)估系統(tǒng)風(fēng)險(xiǎn)。

1. SIEM簡(jiǎn)介

Gartner在2021年度的《SIEM市場(chǎng)魔力象限分析(MQ)報(bào)告》中將SIEM定義為滿足以下客戶需求的解決方案：

• 實(shí)時(shí)收集安全事件日志和telemetry數(shù)據(jù)，用于威脅檢測(cè)和合規(guī)性檢測(cè);
• 實(shí)時(shí)并持續(xù)分析接入數(shù)據(jù)，以檢測(cè)攻擊和其他感興趣的活動(dòng);
• 調(diào)查安全事件以確定其潛在的嚴(yán)重性和對(duì)業(yè)務(wù)的影響;
• 報(bào)告上述活動(dòng);
• 存儲(chǔ)相關(guān)事件和日志。

2. SIEM發(fā)展趨勢(shì)

與自然界事物的發(fā)展規(guī)律類似，SIEM也有一個(gè)從簡(jiǎn)單到高級(jí)的發(fā)展過(guò)程。

(1) 早期的日志管理系統(tǒng)

日志采集的需求由來(lái)已久，在計(jì)算機(jī)領(lǐng)域，日志一般用于記錄計(jì)算機(jī)操作系統(tǒng)或應(yīng)用程序運(yùn)行狀態(tài)或者外部請(qǐng)求事件。SIEM產(chǎn)生之前，安全場(chǎng)景主要是利用一些日志管理工具收集來(lái)自各種網(wǎng)絡(luò)設(shè)備的日志，并進(jìn)行統(tǒng)一存儲(chǔ)，以便當(dāng)異常事件發(fā)生時(shí)，可以進(jìn)行事后的日志審計(jì)。

(2) SIM和SEM

到了上世紀(jì)90年代末，日志分析的需求逐漸強(qiáng)烈，開始出現(xiàn)了SIM(Security Information Management，安全信息管理)和SEM(Security Event Management，安全事件管理)兩種技術(shù)。在SIM和SEM發(fā)展的早期，兩者是分開的，比較公認(rèn)的理解是：SIM注重安全事件的歷史分析和報(bào)告，包括取證分析;而SEM則更關(guān)注實(shí)時(shí)事件監(jiān)控和應(yīng)急處理，更多的強(qiáng)調(diào)事件歸一化、關(guān)聯(lián)分析。

(3) SIEM

隨著企業(yè)在IT建設(shè)上的持續(xù)投入，企業(yè)擁有了更多的網(wǎng)絡(luò)設(shè)備和安全設(shè)備，會(huì)有更加復(fù)雜的網(wǎng)絡(luò)環(huán)境，同時(shí)對(duì)企業(yè)安全也越來(lái)越重視。隨之而來(lái)的是更多的安全數(shù)據(jù)需要處理，并且希望能夠從眾多數(shù)據(jù)中提取出威脅事件和安全情報(bào)，用于達(dá)到安全防火或合規(guī)審計(jì)的需求。之前單一的基于日志分析的模式不在適用，需要一種新型的工具滿足安全分析場(chǎng)景的需求，SIEM的出現(xiàn)正好匹配上這些需求。

SIEM可以收集企業(yè)和組織中所有IT資源(包括網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用)產(chǎn)生的安全信息(包括日志、告警等)進(jìn)行統(tǒng)一的實(shí)時(shí)監(jiān)控、歷史分析，對(duì)來(lái)自外部的威脅和內(nèi)部的違規(guī)、誤操作行為進(jìn)行監(jiān)控、審計(jì)分析、調(diào)查取證、出具各種報(bào)表報(bào)告，達(dá)到IT資源合規(guī)性管理的目標(biāo)，同時(shí)提升企業(yè)和組織的安全運(yùn)營(yíng)、威脅管理和應(yīng)急響應(yīng)能力。

(4) SIEM AS A SERVICE

隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入，企業(yè)往往需要有更高級(jí)的安全分析的能力，同時(shí)SIEM也變得越來(lái)越復(fù)雜，想要掌握整套的SIEM系統(tǒng)使用能力要求也越來(lái)越高。托管式的SIEM出現(xiàn)，很大程度上降低了本地部署的運(yùn)維成本，提供了更多開箱即用的功能，可以一定程度上降低SIEM的使用門檻，助力企業(yè)的安全能力建設(shè)。

(5) SIEM AS A UTILITY

未來(lái)SIEM可能會(huì)作為網(wǎng)絡(luò)設(shè)備的基礎(chǔ)功能，作為一個(gè)內(nèi)置工具存在。目前越來(lái)越多的云廠商開始將SIEM方案內(nèi)嵌到自家的云產(chǎn)品中，作為一個(gè)基本的功能與云產(chǎn)品基礎(chǔ)能力打包售賣。

3. SIEM如何保護(hù)企業(yè)組織安全?

識(shí)別未知威脅：SIEM可以通過(guò)針對(duì)日志或者安全事件提供實(shí)時(shí)的數(shù)據(jù)監(jiān)控能力，并結(jié)合人工智能、威脅情報(bào)能力，幫助企業(yè)發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)。

威脅追本溯源：因?yàn)榘踩录陌l(fā)生往往會(huì)有個(gè)很長(zhǎng)的持續(xù)周期(例如數(shù)據(jù)庫(kù)拖庫(kù)的表象是一次數(shù)據(jù)庫(kù)拖庫(kù)行為，背后可能隱藏著更早之前的某個(gè)時(shí)間的跳板機(jī)密碼的泄露)，SIEM提供了對(duì)于歷史數(shù)據(jù)的分析能力，能夠長(zhǎng)達(dá)幾個(gè)月甚至更長(zhǎng)時(shí)間內(nèi)協(xié)助企業(yè)發(fā)現(xiàn)安全事件發(fā)生的蛛絲馬跡，還原事件現(xiàn)場(chǎng)。

支持自定義審計(jì)：通過(guò)SIEM提供的開放的規(guī)則引擎，企業(yè)可以根據(jù)自身的業(yè)務(wù)場(chǎng)景配置一些持續(xù)的審計(jì)監(jiān)控規(guī)則，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)安全。

及時(shí)威脅響應(yīng)：當(dāng)威脅事件發(fā)生時(shí)，監(jiān)控規(guī)則會(huì)將探測(cè)到的異常通過(guò)告警等形式通知給相關(guān)人員及時(shí)進(jìn)行響應(yīng)處理，形成問(wèn)題閉環(huán)。

二、數(shù)字化時(shí)代企業(yè)安全面臨的全新挑戰(zhàn)

1. 企業(yè)數(shù)字化帶來(lái)了新的安全挑戰(zhàn)

傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)理念是基于邊界的安全架構(gòu)，企業(yè)構(gòu)建網(wǎng)絡(luò)安全體系時(shí)，首先要做的是尋找安全邊界，把網(wǎng)絡(luò)劃分為外網(wǎng)、內(nèi)網(wǎng)等不同的區(qū)域，然后在邊界上部署防火墻、入侵檢測(cè)、WAF等產(chǎn)品。然而這種網(wǎng)絡(luò)安全架構(gòu)是基于內(nèi)網(wǎng)比外網(wǎng)更安全的假設(shè)建立起來(lái)，在某種程度上預(yù)設(shè)了對(duì)內(nèi)網(wǎng)中的人、設(shè)備和系統(tǒng)的信任，忽視加強(qiáng)內(nèi)網(wǎng)安全措施。不法分子一旦突破企業(yè)的邊界安全防護(hù)進(jìn)入內(nèi)網(wǎng)，會(huì)像進(jìn)入無(wú)人之境，將帶來(lái)嚴(yán)重的后果。此外，內(nèi)部人員100%安全的假說(shuō)也是不成立的，我們可以從《內(nèi)部威脅成本全球報(bào)告》里看到，不管是內(nèi)部威脅的數(shù)量，還是成本從2018年到2020年都有大幅的提升。

此外，隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)辦公等新技術(shù)與業(yè)務(wù)的深度融合，網(wǎng)絡(luò)安全邊界也逐漸變得更加模糊，傳統(tǒng)邊界安全防護(hù)理念面臨巨大挑戰(zhàn)。在這樣的背景下，零信任架構(gòu)(Zero Trust Architecture, ZTA)應(yīng)運(yùn)而生。它打破傳統(tǒng)的認(rèn)證，即信任邊界防護(hù)、靜態(tài)訪問(wèn)控制、以網(wǎng)絡(luò)為中心等防護(hù)思路，建立起一套以身份為中心，以持續(xù)認(rèn)證、動(dòng)態(tài)訪問(wèn)控制、審計(jì)以及監(jiān)測(cè)為鏈條，以最小化實(shí)時(shí)授權(quán)為核心，以多維信任算法為基礎(chǔ)，認(rèn)證達(dá)末端的動(dòng)態(tài)安全架構(gòu)。

我們可以看到，零信任策略下，監(jiān)控?zé)o邊界、持續(xù)監(jiān)控的需求也給SIEM提出了新的挑戰(zhàn)。

2. 數(shù)字化對(duì)工程師的挑戰(zhàn)

隨著DevOps的逐漸深入人心，工程師的開發(fā)職責(zé)也逐步發(fā)生了變化，開發(fā)、測(cè)試、運(yùn)維逐步成為趨勢(shì)。但是DevOps模式下，安全產(chǎn)品、安全能力其實(shí)是外置的，在整個(gè)軟件生命周期中安全防護(hù)只是安全團(tuán)隊(duì)的責(zé)任，在開發(fā)的最后階段才會(huì)介入。然而在DevOps有效推進(jìn)快速迭代的今天，過(guò)時(shí)的安全措施則可能會(huì)拖累整個(gè)開發(fā)流程，由此催生出了“DevSecOps”的概念。

DevSecOps認(rèn)為安全防護(hù)是整個(gè) IT 團(tuán)隊(duì)的共同責(zé)任，需要貫穿至整個(gè)生命周期的每一個(gè)環(huán)節(jié)。DevSecOps更多關(guān)注的是過(guò)程安全，這種安全前置的理念，可以把安全植入到開發(fā)、測(cè)試、部署的各個(gè)環(huán)節(jié)，從源頭上屏蔽掉一些風(fēng)險(xiǎn)。

DevSecOps分為了如下幾個(gè)階段，每個(gè)階段都有自己的安全要求。左邊的“Dev 段”，聚焦軟件開發(fā)過(guò)程的安全保障;右邊的“Ops 段”，聚焦軟件運(yùn)行時(shí)安全。具體階段如下：

• Plan+Create 階段，從宏觀上可以認(rèn)為是在進(jìn)行軟件的安全設(shè)計(jì)與開發(fā)前準(zhǔn)備，更注重安全規(guī)則的制定、安全需求分析、軟件設(shè)計(jì)時(shí)的安全考慮;
• Verify+Preproduction 階段，即是對(duì)開發(fā)階段進(jìn)行安全保障，可以進(jìn)行 AST、Fuzz、SCA 等;
• Predict+Respond 階段，可以理解為軟件的在網(wǎng)安全監(jiān)測(cè)，比如監(jiān)測(cè)和響應(yīng)安全事件等;
• Configure+Detect 階段，可以理解為對(duì)應(yīng)用程序的運(yùn)行時(shí)的安全保障，比如容器和基礎(chǔ)設(shè)施安全、RASP、WAF 等。

我們可以看到，“Ops 段”涉及的威脅探測(cè)、應(yīng)急響應(yīng)、威脅預(yù)測(cè)與SIEM的特性是比較符合的，為了應(yīng)對(duì)DevSecOps中安全融合、快速迭代的要求，對(duì)SIEM也提出了輕量化、便捷化的需求。

3. SIEM的全新挑戰(zhàn)

基于上述的趨勢(shì)，我們可以看到零信任(從不信任，始終驗(yàn)證)理念、DevSecOps都給SIEM提出了新的發(fā)展要求。新一代的SIEM需要滿足零信任下無(wú)邊界持續(xù)動(dòng)態(tài)監(jiān)控的訴求，就需要監(jiān)控更廣泛的數(shù)據(jù)，并提供更強(qiáng)的關(guān)聯(lián)分析能力。為了提升DevSecOps的效率，就需要做的更輕量，作為一個(gè)基礎(chǔ)的工具與DevSecOps進(jìn)行融合，提供更多開箱即用的功能。同時(shí)，與可觀測(cè)平臺(tái)一體化融合也是一個(gè)發(fā)展的趨勢(shì)。

4. 云上一體化SIEM平臺(tái)

為了適應(yīng)這些挑戰(zhàn)，我們認(rèn)為一個(gè)云上一體化的SIEM平臺(tái)需要具備如下特征：

(1) 平臺(tái)能力：

• 對(duì)包括日志、Metric、Trace和事件的數(shù)據(jù)提供統(tǒng)一的采集、存儲(chǔ)能力。
• 在統(tǒng)一存儲(chǔ)的基礎(chǔ)上，提供統(tǒng)一的數(shù)據(jù)處理、分析，并且具備機(jī)器學(xué)習(xí)分析能力。
• 基于可視化的安全態(tài)勢(shì)，告警檢測(cè)事件管理能力。

(2) 業(yè)務(wù)場(chǎng)景：基于統(tǒng)一的平臺(tái)上層業(yè)務(wù)，支撐上層業(yè)務(wù)方(開發(fā)運(yùn)營(yíng)、監(jiān)控、安全、用戶運(yùn)營(yíng))。

(3) 生態(tài)對(duì)接：可以對(duì)接上下游系統(tǒng)的安全生態(tài)支持。

三、Cloud SIEM核心技術(shù)及行業(yè)方案

1. SIEM的核心技術(shù)及挑戰(zhàn)

要實(shí)現(xiàn)一個(gè)SIEM系統(tǒng)，需要經(jīng)過(guò)采集(Collection)-> 探測(cè)(Detection)-> 調(diào)查(Investigation)-> 響應(yīng)(Response)四個(gè)階段。四個(gè)階段面臨的挑戰(zhàn)如下：

• 采集：如何將數(shù)據(jù)便捷接入的問(wèn)題，以及如何低成本存儲(chǔ)。
• 探測(cè)：如何通過(guò)各種數(shù)據(jù)的關(guān)聯(lián)分析，捕獲未知的威脅。
• 調(diào)查：如何審計(jì)安全事件及還原威脅過(guò)程。
• 響應(yīng)：如何將安全事件通知給用戶的能力。

2. 常用的行業(yè)方案

Splunk的思路是基于“將數(shù)據(jù)轉(zhuǎn)化為一切(Data-to-Everything)”的平臺(tái)，提供了一整套融合了SIEM、UEBA、SOAR的完整解決方案。

Elastic以開源為基礎(chǔ)，通過(guò)Logstash、Elasticsearch、Kibana組合奠定了數(shù)據(jù)的基本采集、分析、可視化能力。其中，Logstash作為一個(gè)日志聚合器，可以收集和處理來(lái)自幾乎任何數(shù)據(jù)源的數(shù)據(jù);Elasticsearch是存儲(chǔ)引擎，用于解析大量數(shù)據(jù);Kibana作為可視化層，用于可視化處理及問(wèn)題分析。Elastic 7.14 版發(fā)布了首個(gè)免費(fèi)開放的Limitless XDR，能夠在一個(gè)平臺(tái)中提供一體化的 SIEM 和 Endpoint Security 功能。

Exabeam 的 SIEM 解決方案可作為 SaaS(Exabeam Fusion SIEM)使用，也可用于混合、聯(lián)合部署。它包括 Exabeam數(shù)據(jù)湖、高級(jí)分析、威脅捕獲、實(shí)體分析、案例管理和事件響應(yīng)?；诙ㄖ撇渴鸬哪K化架構(gòu)，用戶可以靈活購(gòu)買。Exabeam 的機(jī)器學(xué)習(xí) (ML) 驅(qū)動(dòng)的用戶和實(shí)體行為檢測(cè)，能為用戶提供風(fēng)險(xiǎn)評(píng)分和自動(dòng)的上下文富化能力。

從上述的行業(yè)方案我們可以看出SIEM廠商普遍是平臺(tái)化、SaaS的發(fā)展思路。

3. SIEM核心特性及落地方案

基于上文提到的SIEM平臺(tái)化的思路，我們可以看到SIEM系統(tǒng)一些核心的特性(左圖)，而右圖是我們最佳實(shí)踐的落地方案。

四、構(gòu)建Cloud SIEM方案的最佳實(shí)踐

接下來(lái)我們將重點(diǎn)闡述構(gòu)建Cloud SIEM方案一些最佳實(shí)踐，主要從如下四個(gè)方面展開。

• 廣泛的數(shù)據(jù)接入：數(shù)據(jù)采集(特別是云上場(chǎng)景：跨賬號(hào)、多云)、處理、存儲(chǔ)能力。
• 統(tǒng)一的查詢分析能力：交互式的查詢分析語(yǔ)法、ML算法支持、可視化分析能力。
• 威脅探測(cè)和響應(yīng)：使用內(nèi)置告警規(guī)則和自定義規(guī)則進(jìn)行威脅探測(cè)，將發(fā)現(xiàn)的威脅事件通知給用戶，并能夠進(jìn)行事件管理。
• 安全生態(tài)集成：如何與第三方平臺(tái)集成。

1. 廣泛的數(shù)據(jù)接入

構(gòu)建Cloud SIEM方案，首先要解決的問(wèn)題是海量數(shù)據(jù)的統(tǒng)一接入問(wèn)題。然而目前行業(yè)中涉及的接入方案眾多，例如日志可能會(huì)使用logstash、FluentD等，指標(biāo)會(huì)使用Prometheus等。這也造成了數(shù)據(jù)接入管理的諸多痛點(diǎn)：

• 運(yùn)維成本高：完整的數(shù)據(jù)接入需要數(shù)個(gè)軟件的協(xié)同，從而也帶了極高的運(yùn)維成本。
• 學(xué)習(xí)成本高：每個(gè)軟件都有自己的使用插件及配置規(guī)則，學(xué)習(xí)成本非常高。

我們的方案是建立了標(biāo)準(zhǔn)化的數(shù)據(jù)接入方式，支持SDK及Agent采集兩種方式，可以方便的將各類數(shù)據(jù)(日志、Metric、Trace、Meta)統(tǒng)一地采集到統(tǒng)一存儲(chǔ)系統(tǒng)中。除了支持服務(wù)器與應(yīng)用日志采集外，對(duì)于開源軟件、標(biāo)準(zhǔn)協(xié)議也有很好的支持。最主要的是，針對(duì)阿里云云原生場(chǎng)景提供了一鍵式的采集方案，例如，日志RDS審計(jì)日志、K8s審計(jì)日志等;并且與阿里云資源目錄集成支持跨賬號(hào)采集的能力(因?yàn)楹芏嗥髽I(yè)可能會(huì)有多個(gè)賬號(hào)，每個(gè)賬號(hào)對(duì)應(yīng)一個(gè)部門的業(yè)務(wù))。

Cloud SIEM場(chǎng)景下，往往需要采集多種數(shù)據(jù)源的數(shù)據(jù)(格式可能比較雜亂)，同時(shí)也有長(zhǎng)時(shí)間跨度、海量數(shù)據(jù)的分析需求，而我們的做法是提供了一套低代碼、可擴(kuò)展的數(shù)據(jù)加工服務(wù)，通過(guò)Schema On Write的方式提前進(jìn)行數(shù)據(jù)規(guī)整，能夠?yàn)楹罄m(xù)的分析處理提供很大的便捷。

數(shù)據(jù)加工服務(wù)可以對(duì)結(jié)構(gòu)化或非結(jié)構(gòu)化的日志進(jìn)行實(shí)時(shí)的ETL處理。該功能目前包含200+算子，廣泛應(yīng)用于數(shù)據(jù)規(guī)整、數(shù)據(jù)聚合、富化、分發(fā)等場(chǎng)景。對(duì)于安全場(chǎng)景，數(shù)據(jù)加工也有很好的安全類算子支持。例如，數(shù)據(jù)加工提供的數(shù)據(jù)脫敏算子，可以有效地減少敏感數(shù)據(jù)在加工、傳輸、使用等環(huán)節(jié)中的暴露，降低敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)，保護(hù)用戶權(quán)益。常見脫敏場(chǎng)景有為手機(jī)號(hào)、銀行卡號(hào)、郵箱、IP、AK、身份證號(hào)網(wǎng)址、訂單號(hào)、字符串等敏感信息脫敏。

2. 統(tǒng)一的數(shù)據(jù)查詢分析能力

Cloud SIEM系統(tǒng)一個(gè)重要的能力就是對(duì)采集到的數(shù)據(jù)，進(jìn)行實(shí)時(shí)的合規(guī)監(jiān)控分析，支持對(duì)歷史數(shù)據(jù)的合規(guī)審計(jì)，對(duì)來(lái)自外部的威脅和內(nèi)部的違規(guī)進(jìn)行審計(jì)分析。但是，安全威脅的方法往往是一個(gè)逐步的過(guò)程，可能需要幾個(gè)月或更長(zhǎng)的時(shí)間才會(huì)真正暴露出來(lái);此外，安全威脅可能需要多種數(shù)據(jù)的聯(lián)動(dòng)分析才能發(fā)現(xiàn)。

為了應(yīng)對(duì)這些挑戰(zhàn)，我們將日志、指標(biāo)、Meta等數(shù)據(jù)全部接入到統(tǒng)一的存儲(chǔ)中，在此之上，我們構(gòu)建了一套統(tǒng)一的查詢分析引擎，用于支撐查詢分析、可視化、監(jiān)控告警、AI 等上層能力。

基于統(tǒng)一的存儲(chǔ)，我們構(gòu)建的統(tǒng)一的查詢分析引擎，以標(biāo)準(zhǔn) SQL 為基礎(chǔ)，進(jìn)行了SQL 函數(shù)擴(kuò)展，并融合了 PromQL，從而讓不同的數(shù)據(jù)之間進(jìn)行聯(lián)合查詢也變成了可能。

SLS SQL = Search + SQL92(Agg，WIndow，GroupBy...)+ PromQL + ...

以下就是一個(gè)復(fù)雜分析的例子：

• 我們可以通過(guò)標(biāo)準(zhǔn) SQL 語(yǔ)句對(duì)日志進(jìn)行分析。
• 還可以通過(guò) PromQL 擴(kuò)展的 SQL 函數(shù)對(duì)指標(biāo)數(shù)據(jù)進(jìn)行分析
• 還可以通過(guò)嵌套查詢，對(duì)指標(biāo)數(shù)據(jù)的分析結(jié)果進(jìn)行再聚合
• 此外還可以再通過(guò)機(jī)器學(xué)習(xí)函數(shù)，給查詢和分析賦予 AI 的能力

雖然不同階段的數(shù)據(jù)產(chǎn)生自不同的系統(tǒng)，也有著不同的格式，但是由于它們的存儲(chǔ)和分析是一致的，我們可以非常輕松地實(shí)現(xiàn)統(tǒng)一的安全態(tài)勢(shì)及安全事件監(jiān)控。

同時(shí)，提供了大量基于AI的巡檢、預(yù)測(cè)、聚類、根因分析等算法，以SQL/DSL函數(shù)的形式向用戶提供，在人工分析和自動(dòng)巡檢告警中都能使用到。

3. 威脅探測(cè)與響應(yīng)

通過(guò)上文提到的統(tǒng)一的數(shù)據(jù)接入、統(tǒng)一的查詢分析能力，我們可以做到對(duì)安全威脅的基本的探測(cè)能力。但是要構(gòu)建完備的監(jiān)控體系，接下來(lái)就要解決如何持續(xù)監(jiān)控的問(wèn)題。基于這個(gè)問(wèn)題，我們開發(fā)了一套一站式智能運(yùn)維告警系統(tǒng)。它提供對(duì)日志、時(shí)序等各類數(shù)據(jù)的告警監(jiān)控，亦可接受三方告警，對(duì)告警進(jìn)行降噪、事件管理、通知管理等。

我們提供了超過(guò)數(shù)百個(gè)內(nèi)置告警規(guī)則，開箱即用并持續(xù)增加中。這些規(guī)則庫(kù)有覆蓋了CIS(覆蓋了賬號(hào)安全、數(shù)據(jù)庫(kù)安全等)和安全場(chǎng)景的最佳實(shí)踐，用戶僅需開啟對(duì)應(yīng)規(guī)則，即可享受到全天候的安全保障。

當(dāng)告警規(guī)則探測(cè)到異常發(fā)生時(shí)，需要盡快的將威脅事件通知給相應(yīng)的開發(fā)人員。我們對(duì)接了豐富的通知渠道，便于威脅事件的全方位觸達(dá)。

• 多渠道：支持短信、語(yǔ)音、郵件、釘釘、企業(yè)微信、飛書、Slack等多種通知渠道，同時(shí)還支持通過(guò)自定義 Webhook 進(jìn)行擴(kuò)展。同一個(gè)告警，支持同時(shí)通過(guò)多個(gè)渠道、每個(gè)渠道使用不同的通知內(nèi)容進(jìn)行發(fā)送。例如通過(guò)語(yǔ)音和釘釘來(lái)進(jìn)行告警通知，既可以保證觸達(dá)強(qiáng)度，又可以保證通知內(nèi)容的豐富程度。

• 動(dòng)態(tài)通知：可以根據(jù)告警屬性動(dòng)態(tài)分派通知。例如：測(cè)試環(huán)境的告警，通過(guò)短信通知到張三，并且只在工作時(shí)間通知;而生產(chǎn)環(huán)境的告警，通過(guò)電話通知到張三和李四，并且無(wú)論何時(shí)，都要進(jìn)行通知。

• 通知升級(jí)：長(zhǎng)時(shí)間未解決的告警要進(jìn)行升級(jí)。例如某告警觸發(fā)后，通過(guò)短信通知到了某員工，但是該問(wèn)題長(zhǎng)時(shí)間未被處理，導(dǎo)致告警一直沒(méi)有恢復(fù)，此時(shí)需要通知升級(jí)，通過(guò)語(yǔ)音的方式通知到該員工的領(lǐng)導(dǎo)。

安全事件發(fā)生后，如果不及時(shí)處理或不慎遺漏都會(huì)造成更大的安全風(fēng)險(xiǎn)擴(kuò)展。因此，一定要建立完備的反饋機(jī)制，將安全問(wèn)題處理形成閉環(huán)?；谶@個(gè)問(wèn)題，我們提供了安全事件管理中心，便于用戶全局查看安全事件，并進(jìn)行相應(yīng)的管理動(dòng)作。當(dāng)開發(fā)或安全人員接收到安全告警事件通知后，可以登陸安全事件管理中心進(jìn)行事件的確認(rèn)、處理人的指派、處理動(dòng)作記錄等操作。

最后，我們提供了安全態(tài)勢(shì)大盤，幫助用戶全局了解安全事件、安全態(tài)勢(shì)，便于進(jìn)行告警鏈路查看及排錯(cuò)使用。此外，報(bào)表還可自由擴(kuò)展。

4. 安全生態(tài)集成

現(xiàn)代企業(yè)上云后，有時(shí)會(huì)將業(yè)務(wù)部署在多家云廠商上，那么安全場(chǎng)景可能就涉及多家云廠商數(shù)據(jù)的同步問(wèn)題。我們提供了與第三方SIEM方案(例如Splunk)對(duì)接的方式，以便確保阿里云上的所有法規(guī)、審計(jì)、與其他相關(guān)日志能夠?qū)氲接脩舻陌踩\(yùn)維中心(SOC)中。

五、總結(jié)

我們總體上介紹了SIEM的背景趨勢(shì)、以及數(shù)字化時(shí)代新的挑戰(zhàn)，并且介紹了構(gòu)建云上SIEM的優(yōu)秀實(shí)踐。

另外，我們可以看到云上SIEM也在朝著平臺(tái)化、SaaS化的方向發(fā)展，并且不斷的優(yōu)化以適應(yīng)新的業(yè)務(wù)挑戰(zhàn)。

【本文為51CTO專欄作者“阿里巴巴官方技術(shù)”原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文