SIEM技術(shù)已經(jīng)存在并被使用了25年以上，起初只是在海外和國(guó)內(nèi)部分頭部企業(yè)使用，用以解決數(shù)據(jù)孤島、安全事件分析、運(yùn)維管等問題。鑒于技術(shù)原因起初的它并不好伺候，甚至是花錢買罪受。但隨著技術(shù)的不斷發(fā)展和實(shí)際需求，它又再次回歸我們的視線。本文將帶您了解SIEM并提供SIEM建設(shè)的一些建議。

SIEM定義

Security information and event management (SIEM) 安全信息和事件管理，通過多個(gè)維度的日志收集和場(chǎng)景分析，實(shí)現(xiàn)實(shí)時(shí)和歷史事件的分析，旨在幫忙企業(yè)提升事前預(yù)測(cè)、事中檢測(cè)和事后調(diào)查取證的能力，同時(shí)配合企業(yè)內(nèi)部工作流程做到信息安全事件的閉環(huán)落地，以提高信息安全防御水平，提升信息安全管理能力。

SIEM技術(shù)成熟度

在Gartner發(fā)布的2021安全運(yùn)營(yíng)技術(shù)成熟度曲線中(如下圖)，對(duì)主流的安全運(yùn)營(yíng)技術(shù)進(jìn)行了分析，其中SIEM已步入穩(wěn)步發(fā)展并趨進(jìn)成熟的階段，這個(gè)分析也正符合市場(chǎng)的現(xiàn)狀，很多企業(yè)在安全運(yùn)營(yíng)中已把SIEM(或者叫做態(tài)勢(shì)感知)作為主要實(shí)現(xiàn)平臺(tái)。

知識(shí)點(diǎn)補(bǔ)充：

技術(shù)成熟度曲線中指出技術(shù)的發(fā)展需要經(jīng)歷：萌芽期、膨脹期、低谷期、恢復(fù)期、成熟期(對(duì)應(yīng)上圖橫軸的5個(gè)階段)。在判斷時(shí)先看報(bào)告的出具年份①，其次查看您關(guān)注的技術(shù)成熟度②，根據(jù)標(biāo)注的淡藍(lán)色③來看還有多少年到達(dá)成熟期。以SIEM為例就是2021+2~5年，在2023-2026年是SIEM技術(shù)徹底成熟的時(shí)候。

SIEM價(jià)值體現(xiàn)

1.外部驅(qū)動(dòng)

不管是國(guó)家一把手在重要精神講話中提到態(tài)勢(shì)感知，還是等保2.0中的“一個(gè)安全管理中心+三重防護(hù)”的要求，都可以與SIEM進(jìn)行契合。

2.內(nèi)部驅(qū)動(dòng)

以SIEM為抓手，幫助企業(yè)內(nèi)部各層面人員開展安全運(yùn)營(yíng)工作。

領(lǐng)導(dǎo)層：

可縱覽安全現(xiàn)狀和決策：這里特指CIO這個(gè)層面，他們普遍對(duì)于業(yè)務(wù)非常熟悉，也懂部分技術(shù)。他們的職責(zé)是規(guī)劃信息化建設(shè)，搭建IT團(tuán)隊(duì)，向上層匯報(bào)獲得老板的支持，為企業(yè)降本增效和體現(xiàn)個(gè)人價(jià)值。那一個(gè)運(yùn)營(yíng)良好的SIEM可以幫助CIO判斷現(xiàn)有安全現(xiàn)狀，如安全態(tài)勢(shì)展現(xiàn)、攻擊可溯源、工作量可視化。

運(yùn)維層：

可集中管理和舒心運(yùn)維：運(yùn)維人員考慮的是確保各服務(wù)安全穩(wěn)定的運(yùn)行，及時(shí)發(fā)現(xiàn)可以安全事件。他們的點(diǎn)在于保障業(yè)務(wù)對(duì)老板有交代，同時(shí)在運(yùn)維中盡可能的便捷和自動(dòng)化。通過SIEM可以解決分散日志的管理、解決各安全產(chǎn)品多控制臺(tái)界面查詢、解決設(shè)備間聯(lián)動(dòng)、告警事件工單流轉(zhuǎn)、并可依托此平臺(tái)進(jìn)行攻防演練，提升自身應(yīng)急響應(yīng)能力。

業(yè)務(wù)層安全：

業(yè)務(wù)更多的關(guān)注系統(tǒng)的可用性，以及業(yè)務(wù)數(shù)據(jù)分析挖掘給他們帶來創(chuàng)收機(jī)會(huì)。SIEM通過收集業(yè)務(wù)埋點(diǎn)數(shù)據(jù)采集，分析業(yè)務(wù)關(guān)注的指標(biāo)點(diǎn)，并結(jié)合場(chǎng)景給到一些建議和提示(不能替代風(fēng)控產(chǎn)品)。

SIEM投入產(chǎn)出

如果問這個(gè)解決方案貴嗎?回答是，相比其他安全產(chǎn)品會(huì)略貴。但是這個(gè)投入主要看怎么衡量，如果采購(gòu)了只是安全團(tuán)隊(duì)自己在“玩兒”(產(chǎn)品定位主打安全可再看下定義)，那只是少部分人在使用，并沒有充分發(fā)揮它的價(jià)值。在實(shí)施之前因充分評(píng)估，特別是跨部門跨團(tuán)隊(duì)的場(chǎng)景協(xié)作(起初肯定應(yīng)該定位在安全場(chǎng)景用例)，用的人越多參與的需求越多，性價(jià)比就越高。

SIEM架構(gòu)

SIEM的整體架構(gòu)大致如上圖所示，以一條Windows系統(tǒng)登錄日志為例，來過一遍經(jīng)過的所有流程。

1.日志采集

當(dāng)用戶成功登錄windows電腦時(shí)，會(huì)產(chǎn)生一條Event ID 4624的日志，系統(tǒng)會(huì)記錄下很多信息，包括但不僅限于時(shí)間、IP地址、系統(tǒng)版本、登錄類型(本地或遠(yuǎn)程)、用戶名、登出狀態(tài)。

2.范式化

在SIEM中就是把這一整串的原始日志進(jìn)行拆分，并按廠商定義的說明或者企業(yè)自行定義來豐富標(biāo)簽內(nèi)容。

3.事件過濾歸

并就是把同類型的日志進(jìn)行歸類，如windows、Linux的登錄日志其實(shí)格式是不一樣的，可以歸為2大類。并把暫時(shí)不關(guān)注的字段篩選去除，把需要關(guān)注的內(nèi)容提取出來。

4.關(guān)聯(lián)分析

這部分內(nèi)容是SIEM的精髓，如何制定策略使誤報(bào)率低，并產(chǎn)生有價(jià)值的場(chǎng)景(usecase)是各使用相關(guān)方需要重點(diǎn)考慮的。當(dāng)然場(chǎng)景制定的優(yōu)劣離不開日志源的質(zhì)量、分析人員的經(jīng)驗(yàn)等多方因素。繼續(xù)以上為例，可以定義在30分鐘內(nèi)記錄張三共產(chǎn)生了多少次登錄行為。

5.告警

如果30分鐘內(nèi)有上百次的登錄行為，那我們要判斷下是否電腦有被入侵的可能?如果30分鐘內(nèi)有5次左右登錄，那會(huì)不會(huì)張三同學(xué)上班在摸魚呢(勤接水勤走動(dòng)勤登錄)? 具體告警閾值和產(chǎn)生結(jié)果的判斷，由各位充分發(fā)揮想象或者根據(jù)實(shí)際情況來制定。

6.安全事件運(yùn)維

就是根據(jù)產(chǎn)生的告警來判斷和處理?？梢匀斯ぬ幹萌ガF(xiàn)場(chǎng)或者電話確認(rèn)情況。如被確定為高危行為也可以聯(lián)動(dòng)相關(guān)產(chǎn)品進(jìn)行實(shí)時(shí)封禁操作。

7.可視化展現(xiàn)

設(shè)定預(yù)制報(bào)表，定期出具一份統(tǒng)計(jì)結(jié)果。也可直接在大屏展示以上事件的結(jié)果，如攻擊事件+1 或 摸魚事件+1 (UEBA用戶實(shí)體行為分析更偏向此塊內(nèi)容分析)

SIEM關(guān)鍵技術(shù)指標(biāo)

• 底層數(shù)據(jù)的收集和管理

這塊個(gè)人覺得是最重要的內(nèi)容，如果最基礎(chǔ)的日志收集和管理都不穩(wěn)定，那上層的分析和告警必定會(huì)受到影響，至少應(yīng)該支持每日TB級(jí)的數(shù)據(jù)收集和管理能力。日志來源包括內(nèi)部本地和云環(huán)境的日志。

• 架構(gòu)和部署

這塊主要指系統(tǒng)的橫向擴(kuò)展能力，如有大型企業(yè)涉及多個(gè)分公司的情況，架構(gòu)應(yīng)能適應(yīng)異地的擴(kuò)展和日志的同步。

• 分析檢索

產(chǎn)品應(yīng)支持統(tǒng)計(jì)學(xué)模型和AI算法(ML機(jī)器學(xué)習(xí)、NLP自然語(yǔ)言處理)方面的能力。

• 異構(gòu)產(chǎn)品協(xié)作

與其它安全產(chǎn)品的協(xié)作能力，如果選購(gòu)的SIEM產(chǎn)品只支持同廠商的安全設(shè)備聯(lián)動(dòng)和對(duì)接，后期涉及自動(dòng)化編排和聯(lián)動(dòng)等都會(huì)造成約束。

• 易用性

產(chǎn)品界面的易用性設(shè)計(jì)，對(duì)于運(yùn)營(yíng)人員的體驗(yàn)來說也非常的重要。

• 技術(shù)棧

產(chǎn)品各模塊實(shí)現(xiàn)所使用的技術(shù)棧是否穩(wěn)定、安全、主流等也是需要進(jìn)行考慮的問題。

• 實(shí)施人員

SIEM項(xiàng)目的建設(shè)同樣需要考慮項(xiàng)目團(tuán)隊(duì)的實(shí)施經(jīng)驗(yàn)和能力，一個(gè)具有豐富經(jīng)驗(yàn)的實(shí)施團(tuán)隊(duì)，對(duì)于項(xiàng)目的完美交付絕對(duì)起著至關(guān)重要的作用，他們能快速準(zhǔn)確的理解客戶需求，將人、技術(shù)、流程進(jìn)行合理串聯(lián)設(shè)計(jì)，并擅長(zhǎng)疑難問題的排錯(cuò)。

SIEM建設(shè)建議

1.需要有一定的安全建設(shè)基礎(chǔ)才開始SIEM之旅。

這里的安全建設(shè)指安全產(chǎn)品的部署，如殺毒軟件、終端管控、網(wǎng)絡(luò)準(zhǔn)入、VPN、上網(wǎng)行為管控、數(shù)據(jù)防泄漏、IDPS、防火墻、WAF、流量探針、主機(jī)安全、蜜罐、微隔離、EDR、威脅情報(bào)、漏洞掃描、郵件安全網(wǎng)關(guān)、堡壘機(jī)等。并不是說沒有這些設(shè)備不能開始SIEM的建設(shè)，但是SIEM更多的還是考慮威脅方向的發(fā)現(xiàn)。如果沒有足夠的上下文和數(shù)據(jù)源關(guān)聯(lián)，SIEM就不能被充分利用。同樣的道理CMDB、應(yīng)用服務(wù)器和系統(tǒng)日志也同樣重要，比如應(yīng)用服務(wù)器訪問日志可以用來確定WAF或者IDPS上的攻擊是否成功，如果沒有相關(guān)數(shù)據(jù)SIEM的判斷也是不精準(zhǔn)的。

2.建設(shè)之初做好整體規(guī)劃，包括項(xiàng)目的范圍和期望輸出價(jià)值。

范圍指的是定義好最終交付場(chǎng)景的方向。一般分為威脅類方向、合規(guī)類方向、業(yè)務(wù)類方向。根據(jù)范圍考慮每個(gè)方向輸出的價(jià)值：

威脅類：

更多的是企業(yè)安全團(tuán)隊(duì)優(yōu)先考慮的問題，可能是現(xiàn)有安全產(chǎn)品和系統(tǒng)日志層面的組合，發(fā)現(xiàn)互聯(lián)網(wǎng)側(cè)和內(nèi)網(wǎng)側(cè)的可疑攻擊風(fēng)險(xiǎn)，做的更好的可以結(jié)合威脅情報(bào)和ATT&CK框架，觀察和發(fā)現(xiàn)攻擊者的TTP(技術(shù)、戰(zhàn)術(shù)和過程)。

合規(guī)類：

更多的可以和內(nèi)部合規(guī)團(tuán)隊(duì)溝通，將他們的審計(jì)要求體現(xiàn)在輸出中，如防范內(nèi)部人員數(shù)據(jù)泄露、運(yùn)維人員異常操作等。

業(yè)務(wù)類：

為業(yè)務(wù)賦能相對(duì)于前兩者的優(yōu)先級(jí)會(huì)靠后一些，但不影響在建設(shè)初期協(xié)同參與討論。如針對(duì)特定業(yè)務(wù)場(chǎng)景的風(fēng)險(xiǎn)控制指標(biāo)的監(jiān)控，重復(fù)報(bào)表工作的優(yōu)化等。

以上的這些方向可以分階段、在充分考慮優(yōu)先級(jí)和資源投入的基礎(chǔ)上做一個(gè)統(tǒng)籌規(guī)劃。

3.現(xiàn)有安全產(chǎn)品的性能考慮

在開啟安全日志分析后產(chǎn)品的資源利用率，比如CPU、內(nèi)存、I/O、存儲(chǔ)的增加是否會(huì)影響現(xiàn)有產(chǎn)品輸出內(nèi)容的質(zhì)量。

另外這些安全日志是否可以被讀取到，是否存在技術(shù)限制不對(duì)外提供接口，這些都是在建設(shè)前需要調(diào)研和考慮的問題。如果已經(jīng)有集中日志管理平臺(tái)，建議從它入手優(yōu)先獲取數(shù)據(jù)。

注：SIEM和集中日志管理平臺(tái)還是有區(qū)別的，SIEM收集和存儲(chǔ)的每條日志應(yīng)該是更有價(jià)值的或者說經(jīng)過初次研判后的日志，用以發(fā)現(xiàn)威脅、取證或者合規(guī)等方面。如果已經(jīng)有集中日志管理平臺(tái)，那他與SIEM的使用場(chǎng)景和定位也是需要考慮的。

4.不要試圖一次性將所有可接入的日志源導(dǎo)入SIEM平臺(tái)，而忽略思考日志未來產(chǎn)出的價(jià)值和后續(xù)跟進(jìn)，如場(chǎng)景、運(yùn)營(yíng)、報(bào)告、展現(xiàn)等方面。

建議：圍繞場(chǎng)景展開工作，將安全團(tuán)隊(duì)、合規(guī)團(tuán)隊(duì)、業(yè)務(wù)團(tuán)隊(duì)最關(guān)心的場(chǎng)景做個(gè)優(yōu)先級(jí)排序。從那些投入小但展現(xiàn)價(jià)值高的場(chǎng)景入手。

比如，安全團(tuán)隊(duì)原來要登錄多個(gè)安全平臺(tái)排查的問題將優(yōu)先考慮。比如，合規(guī)團(tuán)隊(duì)以往定期關(guān)注的報(bào)表自動(dòng)化展現(xiàn)。比如，業(yè)務(wù)團(tuán)隊(duì)關(guān)心的某個(gè)監(jiān)控指標(biāo)。建設(shè)初期充分討論這些場(chǎng)景，以及為了滿足這些場(chǎng)景所需要的日志源。

這些調(diào)研和頭腦風(fēng)暴是真正有價(jià)值，是項(xiàng)目初期成功的關(guān)鍵，也能有效的論證商業(yè)產(chǎn)品。會(huì)比直接使用開箱即用的場(chǎng)景更具價(jià)值，當(dāng)然這些開箱即用的場(chǎng)景可以作為引發(fā)思路。

5.場(chǎng)景創(chuàng)建

• 把您最關(guān)注的各類安全平臺(tái)日志威脅在SIEM中呈現(xiàn)(單一策略未做多場(chǎng)景聯(lián)動(dòng))，減輕跨平臺(tái)監(jiān)控的工作量。
• 建立如上那些有價(jià)值的場(chǎng)景，這些場(chǎng)景中的策略明細(xì)以最小化滿足的方式接入。比如，不要試圖把殺毒管理控制臺(tái)中的所有告警日志都發(fā)送到SIEM平臺(tái)，而考慮把未部署的殺毒軟件終端數(shù)量和IP地址引入，或者把離線的殺毒終端信息在SIEM中展現(xiàn)，以便后續(xù)的運(yùn)營(yíng)跟進(jìn)處理。

如果您覺得僅從殺軟管理控制臺(tái)的離線數(shù)據(jù)不能判斷，那可以考慮網(wǎng)絡(luò)層的數(shù)據(jù)和這臺(tái)終端人員是否離職注銷等信息來進(jìn)一步完善這個(gè)“未安裝殺毒軟件”的場(chǎng)景。

雖然這個(gè)場(chǎng)景的設(shè)計(jì)是不合理的，因?yàn)闅④洉?huì)ping這臺(tái)終端是否存活，不一定需要網(wǎng)絡(luò)層的日志，人員離職與未安裝殺軟的關(guān)系也不是特別大，但是這邊想要表達(dá)的核心思想是最小化日志接入，不要試圖把可能與該場(chǎng)景有關(guān)的所有日志接入，這樣只會(huì)產(chǎn)生大量的噪聲和誤報(bào)。只有當(dāng)現(xiàn)有的日志不滿足場(chǎng)景時(shí)才陸續(xù)將可能輔助產(chǎn)生最終效果的日志接入，并陸續(xù)調(diào)優(yōu)。

• 不要試圖一次性調(diào)優(yōu)多條策略。

首先，策略的準(zhǔn)確性是需要一定時(shí)間驗(yàn)證和優(yōu)化的，可能是人為模擬觸發(fā)或者真實(shí)安全事件的觸發(fā)。 這種觸發(fā)到最終SIEM平臺(tái)的告警展現(xiàn)的實(shí)時(shí)性和誤報(bào)可能是需要判斷和調(diào)優(yōu)的。

其次，安全事件的落地閉環(huán)過程中人和流程也是需要去制定和磨合的。正常運(yùn)營(yíng)人員在系統(tǒng)、網(wǎng)絡(luò)、業(yè)務(wù)人員配合的情況下，一天能處理并最終確認(rèn)的事件也就2-3個(gè)，不排除復(fù)雜和不能及時(shí)反饋的情況。所以SIEM實(shí)施過程中人和流程也是需要提前考慮和設(shè)計(jì)的。

再者，部分場(chǎng)景的策略涉及模型的學(xué)習(xí)時(shí)間，不是部署初期就特別準(zhǔn)確的，需要持續(xù)跟進(jìn)驗(yàn)證策略的有效性。

• 創(chuàng)建多個(gè)臨時(shí)監(jiān)控指標(biāo)(watchlist)，作為黑白名單知識(shí)庫(kù)參數(shù)，在后續(xù)其他場(chǎng)景的創(chuàng)建中嵌套這些黑白名單庫(kù)，以提高研判的準(zhǔn)確性和排除誤報(bào)。比如從WAF攻擊行為中提取攻擊IP地址，作為黑名單池保存，并與其他攻擊場(chǎng)景或防火墻日志做關(guān)聯(lián)，當(dāng)匹配此黑名單IP池時(shí)，判定為高威脅安全事件。再比如，讀取由某業(yè)務(wù)系統(tǒng)中產(chǎn)出的白名單用戶列表，與現(xiàn)有的“風(fēng)險(xiǎn)用戶清單”場(chǎng)景做匹配，作為排除指標(biāo)，以降低告警誤判。
• 如果某些日志源在SIEM平臺(tái)中難以處理或者會(huì)增加現(xiàn)有SIEM平臺(tái)的性能開銷，那可以考慮將這些日志暫時(shí)導(dǎo)入到獨(dú)立的服務(wù)器中，在這臺(tái)服務(wù)器上使用批處理或者腳本，對(duì)數(shù)據(jù)做二次加工后再錄入SIEM中協(xié)同。
• 將一條場(chǎng)景規(guī)則從產(chǎn)生到最終人員落地閉合的運(yùn)營(yíng)流程梳理清楚，并與相關(guān)協(xié)同人演練順暢后再步入新場(chǎng)景的建設(shè)。如果有分公司的情況，建議將此場(chǎng)景在分公司演練到位。這樣做的好處是讓大家知道有這樣一個(gè)平臺(tái)存在，其次是大家以可接受的工作量來熟練每一個(gè)場(chǎng)景。如果在項(xiàng)目初期就把所有的場(chǎng)景投入使用，且沒有相關(guān)運(yùn)營(yíng)支撐，會(huì)讓最終處理人員手忙腳亂，壓力巨大。不但沒有優(yōu)化運(yùn)營(yíng)，而且會(huì)增加很多額外的工作量，并讓配合人員抵觸此平臺(tái)。只有持續(xù)運(yùn)營(yíng)優(yōu)化場(chǎng)景調(diào)優(yōu)策略，解決相關(guān)方的根本需求，才能吸引更多人參與進(jìn)來。
• 創(chuàng)建一個(gè)場(chǎng)景跟蹤清單，列清楚需求方和目的，創(chuàng)建時(shí)間，使用到的日志源，策略優(yōu)先級(jí)，策略場(chǎng)景分類，策略階段(調(diào)研、新建、調(diào)優(yōu)、投產(chǎn))，策略的運(yùn)營(yíng)處置人，策略更新記錄等。

6.報(bào)表和展現(xiàn)

這塊主要是對(duì)分析后指標(biāo)的呈現(xiàn)，過程中需要考慮匯報(bào)的對(duì)象是管理層、運(yùn)維、安全、合規(guī)或業(yè)務(wù)相關(guān)方關(guān)心的指標(biāo)背后帶來的價(jià)值。通過數(shù)值、直方圖、餅圖、趨勢(shì)圖、百分比圖、TopX等多種角度多種維度對(duì)數(shù)據(jù)進(jìn)行分析呈現(xiàn)，并以不同對(duì)象可接受可理解的方式呈現(xiàn)。如果企業(yè)對(duì)于SIEM提供商給到的呈現(xiàn)不滿意，想優(yōu)化展示界面，也需要提前考慮從團(tuán)隊(duì)內(nèi)部或者外部招聘前端工程師和UI設(shè)計(jì)師來完善相關(guān)工作。

7.維護(hù)工作

成功的SIEM部署需要專業(yè)的人才儲(chǔ)備，一旦有任何威脅告警，將不可避免對(duì)發(fā)現(xiàn)的事件進(jìn)行響應(yīng)。人員需要配合環(huán)境的變化進(jìn)行持續(xù)的調(diào)優(yōu)和維護(hù)，這些變化包括威脅、合規(guī)要求以及數(shù)據(jù)源采集本身。在項(xiàng)目開始之前您至少需要考慮以下3類人才：

因此，不僅需要有足夠知識(shí)的員工來管理和維護(hù)SIEM，而且需要為SIEM帶來的額外工作做好心理準(zhǔn)備。事件需要被審查和處理，流程需要被制定，還要考慮與其他部門和團(tuán)隊(duì)的協(xié)作。這些都是需要提前準(zhǔn)備和思考的而不是找到3名適合的員工就能開展的工作。這個(gè)過程中還不排除員工的事假、病假等額外因素，如果需要7*24小時(shí)的安全事件監(jiān)控操作，人數(shù)還需要進(jìn)行翻倍。

最佳實(shí)踐：控制項(xiàng)目范圍和聘請(qǐng)外部服務(wù)供應(yīng)商

SIEM是一種有效好用的工具，它能夠使特定的工作和場(chǎng)景更高效的執(zhí)行和展現(xiàn)價(jià)值，但它不會(huì)完全自己運(yùn)行。以下2個(gè)方面建議可供參考：

• 限制項(xiàng)目范圍

就是在項(xiàng)目開始時(shí)控制本次項(xiàng)目的范圍和需要達(dá)到的目的，將項(xiàng)目規(guī)模和資源進(jìn)行可行性匹配。配合實(shí)際風(fēng)險(xiǎn)和企業(yè)風(fēng)險(xiǎn)偏好來制定優(yōu)先級(jí)，還是圍繞場(chǎng)景、日志源、報(bào)表、流程和產(chǎn)出價(jià)值去落地項(xiàng)目。并在后續(xù)年份通過二期、三期項(xiàng)目的方式持續(xù)迭代擴(kuò)展。

• 聘請(qǐng)外部安全服務(wù)提供商

如果企業(yè)有一定的規(guī)模及合適的人才，完全可以在分析考慮清楚之后開展建設(shè)工作。如果企業(yè)由于缺乏內(nèi)部資源或?qū)I(yè)人才，可以考慮統(tǒng)SaaS化部署+安全管理服務(wù)(MSS) 的組合來落地此類項(xiàng)目，通過外部力量幫助企業(yè)顯著提高安全能力，而無需進(jìn)行大量的軟硬件和人員投入，交付中包含持續(xù)運(yùn)營(yíng)和管理，而企業(yè)本身更多的關(guān)注安全場(chǎng)景和業(yè)務(wù)需求。托管安全服務(wù)提供商(MSSP)提供對(duì)安全事件的實(shí)時(shí)監(jiān)控和分析，并通過他們自己的SIEM解決方案來進(jìn)行日志收集，并應(yīng)用于報(bào)告和調(diào)查。

注：管理安全服務(wù)(MSS)是為那些希望更多的減輕網(wǎng)絡(luò)安全責(zé)任企業(yè)提供的選擇。通過MSS，一個(gè)可信的合伙伴將協(xié)助處理公司的部分或全部安全流程，MSS可以在內(nèi)部或遠(yuǎn)程進(jìn)行。公司獲得了MSS合作伙伴的分析人員和運(yùn)維工程師的經(jīng)驗(yàn)和技能，他們可以提供從安裝到威脅檢測(cè)到響應(yīng)等系列服務(wù)。

8.云上SIEM的思考

近幾年疫情的流行改變了許多企業(yè)的戰(zhàn)略方向，特別是云計(jì)算的可擴(kuò)展性、彈性計(jì)算、云上安全組件等優(yōu)勢(shì)，讓原來較多不愿嘗試上云的企業(yè)轉(zhuǎn)變?yōu)橹鲃?dòng)擁抱云，并且思考云上的架構(gòu)、云上的安全、云上的運(yùn)維和云原生等問題。SIEM在云上運(yùn)行您可能需要考慮的問題：

帶寬：

云上SIEM需要一定的帶寬來獲取企業(yè)內(nèi)部數(shù)據(jù)以及訪問云上的用戶界面。如果企業(yè)內(nèi)部沒有足夠的帶寬為基于云上的SIEM提供

它所需要的日志文件和訪問SIEM的用戶界面。那云上的可擴(kuò)展性和彈性優(yōu)勢(shì)將享受不到，反而帶來一些網(wǎng)絡(luò)問題，這塊是需要考慮和評(píng)估的。

數(shù)據(jù)安全：

雖然SIEM的常見作用之一是合規(guī)和滿足監(jiān)管要求，但在選擇云SIEM解決方案時(shí)，也可能有監(jiān)管、數(shù)據(jù)安全、法律方面的限制。

鑒于以上原因很多企業(yè)都在使用混合云管理。就是將企業(yè)內(nèi)部的計(jì)算、存儲(chǔ)和服務(wù)與公有云中的服務(wù)連接起來?；旌显圃试S企業(yè)保留對(duì)內(nèi)部敏感數(shù)據(jù)的控制，同時(shí)利用SaaS的相關(guān)優(yōu)勢(shì)。這種設(shè)計(jì)可以解決許多監(jiān)管方面的問題，并使云上SIEM變的更為可行。

您可以考慮把SIEM部署在私有云中(下圖標(biāo)紅)，或者部署在云上的專屬云中(下圖標(biāo)綠)，并通過采集器和云上接口將數(shù)據(jù)同步到一處后再匯總分析。

9.云上SIEM中的角色和責(zé)任

對(duì)于不想在SIEM上投入太多資源的企業(yè)來說，由托管安全服務(wù)提供商(MSSP)來執(zhí)行是一個(gè)很好的選擇。但是首先需要清楚的了解角色和責(zé)任。這里將用到RACI矩陣來直觀的明確企業(yè)、云SIEM供應(yīng)商和MSSP之間的關(guān)系。

注：誰(shuí)負(fù)責(zé)R = Responsible, 即負(fù)責(zé)執(zhí)行任務(wù)的角色，具體負(fù)責(zé)操控項(xiàng)目、解決問題。誰(shuí)批準(zhǔn)A = Accountable, 即對(duì)任務(wù)負(fù)全責(zé)的角色，需經(jīng)過他同意或簽署之后，才能進(jìn)行。咨詢誰(shuí)C = Consulted , 擁有完成項(xiàng)目所需的信息或能力的人員。通知誰(shuí) I =Informed ,即擁有特權(quán)、應(yīng)及時(shí)被通知結(jié)果的人員，卻不必向他咨詢、征求意見。

總的來說，云SIEM供應(yīng)商更多的職責(zé)是初期建設(shè)部署和圍繞他們自己產(chǎn)品的功能更新等工作。MSSP更多的職責(zé)是中后期的場(chǎng)景優(yōu)化及事件跟蹤處置。企業(yè)在這個(gè)模式中更多的是需求的提出和確認(rèn)決策。

總結(jié)：在SIEM建設(shè)初期確認(rèn)好項(xiàng)目范圍和預(yù)期價(jià)值。過程中圍繞場(chǎng)景、日志、流程開展推進(jìn)，將每個(gè)場(chǎng)景落實(shí)演練到位后才進(jìn)入新的場(chǎng)景。根據(jù)企業(yè)合規(guī)和資源投入情況，考慮本地?cái)?shù)據(jù)中心或云上SIEM的部署。人員方面需提前規(guī)劃準(zhǔn)備或?qū)ふ襇SSP合作伙伴協(xié)助落地。