什么是SIEM?定义及其工作原理

SIEM代表安全信息和事件管理。在实践中，SIEM软件解决方案将安全信息管理(SIM)和安全事件管理(SEM)的优点结合到一个全面的安全解决方案中，能够实时分析应用程序和硬件产生的安全警报。

SIEM是如何工作的?

SIEM通过从组织的应用程序、安全系统和硬件生成的日志和事件数据中收集信息来工作。通过将事件与规则和分析引擎相匹配，SIEM系统可以实时检测和分析安全威胁。更好的是，所有内容都被索引以便搜索，以帮助安全团队进行分析、日志管理和报告。

SIEM解决方案可以检测到的威胁示例

未经授权的访问

一些失败的登录尝试是可以理解的。把这个号码拨到100，可能有人正在进行暴力攻击。SIEM软件可以监控用户行为并识别不寻常的访问尝试。

内部威胁

通过持续监控员工行为，SIEM系统可以检测到意外和恶意的内部威胁。从尚未被撤销访问权限的前员工，到可能试图窃取或泄漏敏感信息的恶意内部人员，再到意外的安全更改，SIEM软件可以检测到异常行为，并将其升级到安全分析师进行分析。

网络钓鱼

网络钓鱼攻击的目的是让人们冒充可信的权威，自愿泄露个人或敏感信息。最常见的网络钓鱼形式是带有恶意链接或附件的电子邮件，攻击者伪装成供应商、经理或人员。除了安全培训，SIEM解决方案还可以检测到员工在不寻常时间从可疑地点登录，这可能是员工帐户被泄露的迹象。然后，您可以锁定该用户配置文件以防止损坏，直到该员工确认访问权限为止。

DoS和DDoS攻击

拒绝服务(DoS)攻击通过向网络中注入足够的流量来阻塞系统资源并触发崩溃，从而中断服务。这种威胁的频率正在上升，因为僵尸网络可以很容易地将不知情的用户的网络设备招募到自己的群集中，以执行分布式拒绝服务(DDoS)攻击。通过监控web服务器日志，SIEM软件可以标记可能指示DoS或DDoS攻击的异常流量事件。及早发现此类攻击可以让安全团队有时间进行防御并计划恢复服务。

代码注入

代码注入涉及将恶意代码注入客户端输入通道(如在线表单)，以获得对应用程序数据库或系统的访问权。最常见的例子是SQL注入，其中SQL命令被插入到未经处理的输入中，允许攻击者直接从数据库中修改或删除数据。通过监视web应用程序的活动，可以标记异常事件并使用事件相关性来查看系统是否发生了任何更改。

勒索软件和其他恶意软件

勒索软件、病毒、蠕虫、木马和其他类型的恶意软件都是旨在渗透计算机系统并执行恶意程序的软件。对这种攻击的最佳防御是预防，SIEM系统为您提供了所需的监视功能，以理解安全日志、识别攻击向量并捕获可能导致攻击的异常行为。一旦受到攻击，SIEM还可以帮助您确定恶意软件攻击的破坏范围，为安全团队提供解决问题所需的信息。

MITM攻击

MITM (man-in-the-middle)攻击是指恶意第三方窃听两台主机之间的通信，以窃取或操纵信息。一旦通信被拦截，攻击者就可以通过嗅探密码输入来劫持用户会话，并将恶意数据包注入数据通信流。频繁连接或断开到不熟悉的位置可能指向MITM攻击，这就是为什么SIEM可以成为帮助在为时已晚之前捕获窃听者的宝贵工具。

什么时候用实例使用SIEM

SIEM系统是任何企业安全基础设施的核心组件。让我们看一下SIEM用例的一些示例。

符合数据标准

SIEM系统聚合来自整个企业的事件日志、安全工具和设备的数据。它是帮助生成合规性和监管报告的完美工具。

下面是一些例子:

GDPR:《一般数据保护条例》(GDPR)是欧盟(EU)为保护欧盟公民的个人数据而制定的。
HIPAA:美国立法机构制定了《健康保险携带与责任法案》(HIPAA)，以保护敏感的患者健康信息。
一种总线标准:支付卡行业数据安全标准(PCI DSS)是主要信用卡公司为保护其客户而强制执行的信息安全标准。
SOX合规萨班斯-奥克斯利(SOX)法案是美国针对企业会计欺诈的一项法规。它适用于上市公司董事会、管理层和会计师事务所，并要求准确报告敏感信息的存储位置、谁可以访问这些信息以及如何使用这些信息。

由于SIEM提供了对整个企业的日志信息和安全数据的结构化访问，因此可以为监管机构和个人数据所有者创建详细的报告。

高级安全威胁检测

正如前一节“SIEM解决方案可以检测的威胁示例”中详细介绍的那样，SIEM系统用于检测高级安全威胁。让我们看看SIEM系统如何支持主动威胁搜索的一些更一般的例子。

识别异常:行为分析和事件相关性可以标记异常，以便安全团队进行更仔细的检查。
数据漏出:鸟瞰您的数据是如何被使用的，可以向您提示内部威胁和其他未经授权将敏感信息转移到组织外部的未经授权的尝试。
对新漏洞的响应:如果发现新的零日漏洞或系统漏洞，SIEM解决方案可以帮助您快速识别漏洞的范围，以便您可以关闭它。
从过去的事件中吸取教训:当一个事件发生时，您可以快速查看之前是否发生过。过去处理问题的经验可以帮助您防止未来发生或更快地处理重复事件。
威胁情报:将AI应用于安全数据和日志，智能检测IT系统的攻击。模式匹配已知的攻击特征和历史数据。
指导调查:授权分析师通过SIEM平台的数据探索来测试假设。

确保物联网部署安全

物联网(IoT)是一组分布式网络设备，每个设备都实时传输自己的事件日志。SIEM系统是保护物联网部署的理想选择。

物联网设备监控:物联网设备是僵尸网络进行DDoS攻击的主要目标。来自SIEM系统的持续监控可以向您提示指示受损设备的异常行为。
数据流监控:物联网设备之间通常使用未加密的协议进行通信。SIEM解决方案可以检测物联网网络中节点之间的异常流量模式，并在敏感信息受到威胁时提醒安全团队。
访问控制:监控谁访问您的物联网设备，以及何时可以向您提示可疑活动或连接。
脆弱性管理: SIEM解决方案可以帮助您检测车队中物联网设备中的旧操作系统和未修补的漏洞。它还可以帮助您隔离最有可能受到攻击的设备，例如具有敏感数据或关键功能访问点的设备。

SIEM与IDS有何不同?

SIEM系统和入侵检测系统(IDS)之间的主要区别是SIEM是预防性的，而IDS优化为在威胁事件发生时检测和报告。虽然这两种工具都将创建警报并生成日志，但只有SIEM系统可以在不同的设备和系统之间集中和关联日志信息，以全面了解您的企业安全性。

组织经常同时使用SIEM和IDS。IDS将在攻击期间提供帮助。SIEM解决方案将获取这些IDS日志，并使它们与其他系统信息一起可用，以便安全团队可以生成遵从性报告并防止未来的攻击。

SIEM vs. SOAR:有什么不同?

安全编排、自动化和响应(SOAR)是这个领域中相对较新的概念。它还允许您自动化调查路径工作流，从而扩展了SIEM的功能。这减少了处理警报所需的时间。

SIEM通过关联来自多个来源(包括防火墙、应用程序、服务器和设备)的信息来识别威胁。SIEM解决方案将尝试向安全团队提供最相关的信息，并提供补救建议，但是安全团队负责跟踪和补救潜在威胁的来源。

SOAR平台通过采取额外步骤自动化调查路径来完成所有这些工作。它不仅仅是通过使用AI来学习模式行为并通过编排自动解决威胁，从而向安全团队发出潜在威胁的警报。

常见的SIEM网络安全供应商

市场上一些流行的SIEM工具包括:

结论

总之，SIEM代表安全信息和事件管理。SIEM工具可用于检测和预防各种威胁，包括代码注入、勒索软件攻击和DDoS攻击。它们对于检测异常情况特别有用，例如未经授权的访问、可疑的登录尝试和不寻常的数据流。如果您需要一个可以将来自多个源的日志聚合到一个集中位置进行安全分析的安全平台，那么SIEM解决方案可以提供帮助。