SIEM技術(shù)現(xiàn)已應(yīng)用了約20年的時(shí)間，其早期產(chǎn)品的用途主要是幫助用戶更好地進(jìn)行日志管理和滿足法規(guī)遵從性要求，很少應(yīng)用到威脅檢測(cè)與響應(yīng)中。然而，由于現(xiàn)代企業(yè)的威脅攻擊面不斷擴(kuò)大和對(duì)未知攻擊的擔(dān)憂不斷增加，安全團(tuán)隊(duì)需要實(shí)現(xiàn)由數(shù)據(jù)驅(qū)動(dòng)的威脅檢測(cè)和響應(yīng)能力，新一代SIEM產(chǎn)品也隨之產(chǎn)生。

新一代SIEM的能力演進(jìn)

目前，行業(yè)對(duì)新一代SIEM還沒(méi)有一種明確或普遍接受的概念。然而，我們可以從Gartner給出的SIEM定義中來(lái)進(jìn)行分析：SIEM是一種技術(shù)，旨在通過(guò)收集和分析安全事件以及上下文數(shù)據(jù)源，來(lái)實(shí)現(xiàn)或支持威脅檢測(cè)、合規(guī)和安全事件管理。

這個(gè)定義可以套用到新一代SIEM的概念中：新一代SIEM比傳統(tǒng)SIEM更先進(jìn)，利用新一代大數(shù)據(jù)技術(shù)和數(shù)據(jù)建模技術(shù)，提供經(jīng)過(guò)改進(jìn)的數(shù)據(jù)匯集流程和用戶界面/體驗(yàn)，并提供額外的威脅檢測(cè)和處置功能，比如實(shí)體行為分析（UEBA）以及SOAR開(kāi)放式集成。

通過(guò)對(duì)傳統(tǒng)SIEM系統(tǒng)進(jìn)行更有力的升級(jí)，企業(yè)用戶將可以獲得更準(zhǔn)確的分析結(jié)果，并且不受過(guò)時(shí)技術(shù)框架和流程的制約。新一代SIEM的新功能可能因廠商而異，但通常都會(huì)具備以下典型功能。

• 云原生操作：新一代SIEM完全有必要直接在云端操作、與基于云的系統(tǒng)兼容。這使組織可以統(tǒng)一監(jiān)控眾多應(yīng)用程序、設(shè)備、服務(wù)器和端點(diǎn)，并提高了跨不同數(shù)據(jù)源收集日志的效率。
  
• 高級(jí)威脅檢測(cè)：相比傳統(tǒng)的SIEM，新一代SIEM能夠識(shí)別并預(yù)測(cè)威脅和攻擊，它可以發(fā)現(xiàn)可疑活動(dòng)、不尋常的行為以及與惡意活動(dòng)相一致的模式。
• 更有效的誤報(bào)處理：誤報(bào)并非完全可以避免。然而，傳統(tǒng)的SIEM顯然有太多的誤報(bào)。新一代SIEM系統(tǒng)可以通過(guò)采用人工智能和事件相關(guān)機(jī)制來(lái)提高檢測(cè)精準(zhǔn)度。
  
• 更快速的數(shù)據(jù)處理：傳統(tǒng)SIEM常常與基于數(shù)據(jù)量的數(shù)據(jù)評(píng)估相關(guān)。因此，收集和分析的數(shù)據(jù)越多，SIEM的運(yùn)作成本就越高。新一代SIEM則借助統(tǒng)一數(shù)據(jù)評(píng)估模型解決了這個(gè)問(wèn)題，大大降低了獲取數(shù)據(jù)的成本。
  
• 加強(qiáng)集成：新一代SIEM可以與更多的安全工具和系統(tǒng)協(xié)同工作，包括安全編排自動(dòng)化和響應(yīng)（SOAR）、實(shí)時(shí)可視化工具、行為分析以及連接公共數(shù)據(jù)源、自定義數(shù)據(jù)源及其他數(shù)據(jù)源的威脅情報(bào)。

未來(lái)屬于開(kāi)放式XDR？

雖然新一代SIEM與上一代相比有了重大飛躍，但研究人員認(rèn)為，改進(jìn)后的SIEM系統(tǒng)仍然會(huì)存在一些缺點(diǎn)：

• 首先，數(shù)據(jù)管理效率低下是SIEM框架固有的缺點(diǎn)。盡管新一代SIEM平臺(tái)在竭力解決這個(gè)問(wèn)題，但目前還沒(méi)有證明其效果。
  
• 另外，手動(dòng)工作在SIEM中依然必不可少，需要依靠由人編寫的規(guī)則來(lái)進(jìn)行工作就是一個(gè)佐證。
  
• 此外，即使下一代SIEM在集成方面有所改進(jìn)，選擇范圍仍比較有限，難以確保它與組織常用的安全工具能夠有效協(xié)同工作。

由于SIEM技術(shù)存在以上難以根本性解決的難題，一種開(kāi)放式XDR技術(shù)開(kāi)始出現(xiàn)，并被視為是完善SIEM技術(shù)應(yīng)用不足的有效補(bǔ)充，甚至有觀點(diǎn)認(rèn)為，開(kāi)放式XDR技術(shù)將成為SIEM的替代者。

從產(chǎn)品的應(yīng)用目標(biāo)上，開(kāi)放式XDR技術(shù)與新一代SIEM技術(shù)有很多相似之處，主要是通過(guò)數(shù)據(jù)聚合和分析，幫助企業(yè)提升對(duì)威脅的檢測(cè)和響應(yīng)能力。但開(kāi)放式XDR采用了和新一代SIEM完全不同的技術(shù)框架，更易于實(shí)現(xiàn)多種安全數(shù)據(jù)和能力的集成。開(kāi)放式XDR框架要求所有的安全數(shù)據(jù)必須先經(jīng)過(guò)統(tǒng)一的規(guī)范和提煉，然后才能存儲(chǔ)到數(shù)據(jù)湖或大數(shù)據(jù)處理系統(tǒng)，這與傳統(tǒng)SIEM的做法形成了鮮明對(duì)比。由于對(duì)收集和存儲(chǔ)的安全數(shù)據(jù)進(jìn)行了高質(zhì)量的處理，這使開(kāi)放式XDR得以最大限度地發(fā)揮人工智能的優(yōu)勢(shì)。

此外，開(kāi)放式 XDR可以借助不同的安全控制措施來(lái)應(yīng)對(duì)各位威脅風(fēng)險(xiǎn)，并使用的統(tǒng)一控制界面來(lái)保障用戶的安全運(yùn)營(yíng)體驗(yàn)，讓安全運(yùn)營(yíng)人員在一個(gè)平臺(tái)上輕松應(yīng)用UEBA、SOAR、NDR、EDR及其他各種工具和技術(shù)。

不過(guò)，盡管開(kāi)放式XDR從理論上看更先進(jìn)，但是目前在產(chǎn)品化落地中卻還不夠成熟，因?yàn)槟壳吧腥狈y(tǒng)一的XDR技術(shù)行業(yè)標(biāo)準(zhǔn)，因此在不同廠商能力的標(biāo)準(zhǔn)化整合過(guò)程中，其實(shí)現(xiàn)效果還需要進(jìn)一步觀察和驗(yàn)證。

結(jié)語(yǔ)

網(wǎng)絡(luò)安全威脅形勢(shì)在持續(xù)地變化，實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)的安全能力建設(shè)是企業(yè)用戶的必然選擇。目前，下一代SIEM和開(kāi)放式XDR都是企業(yè)組織在加強(qiáng)網(wǎng)絡(luò)防御時(shí)可以考慮的方法，不過(guò)它們也都存在了一些不足與挑戰(zhàn)。

企業(yè)組織需要積極采用更先進(jìn)的技術(shù)方法來(lái)擴(kuò)展威脅檢測(cè)和響應(yīng)能力。然而，這并不意味著組織應(yīng)該盲目地采用新技術(shù)和新產(chǎn)品。充分了解自己的應(yīng)用需求，然后選擇合適的技術(shù)產(chǎn)品，這對(duì)威脅檢測(cè)和響應(yīng)能力的提升非常重要。有時(shí)候，嘗試選擇多種不同的方法可能必不可少，因此，部署替代或補(bǔ)充型的解決方案也是企業(yè)應(yīng)該考慮的建設(shè)方法。