SIEM是什么?定义和它是如何工作的

SIEM代表安全信息和事件管理。SIEM软件解决方案在实践中,结合安全信息管理的好处(SIM)和安全事件管理(SEM)成一个全面的安全解决方案能够提供实时分析生成的应用程序和硬件的安全警报。

SIEM是如何工作的呢?

SIEM作品通过收集信息从日志和事件由一个组织在其应用程序生成的数据,安全系统和硬件。通过匹配对规则和事件分析引擎,可能SIEM系统实时检测和分析安全威胁。更好的是,一切都是索引搜索帮助安全团队在他们的分析、日志管理和报告。

威胁SIEM解决方案可以检测的例子

未经授权的访问

一些失败的登录尝试是可以理解的。拨打这一数字高达100,有人可能是执行蛮力攻击。SIEM软件可以监视用户行为和识别不同寻常的访问尝试。

内部威胁

通过持续监控员工行为,SIEM系统可以检测内部威胁意外和恶意。来自前雇员还没有访问权限撤销,恶意的内部人员,他们可能试图窃取或泄露敏感信息,意外安全变化,SIEM软件可以检测异常行为和升级安全分析师分析。

网络钓鱼

钓鱼攻击是为了让人们自愿透露个人或敏感信息,冒充一个可信的权威。最常见的网络钓鱼电子邮件和恶意链接或附件来自攻击者伪装成供应商,经理,或人员。除了安全培训,SIEM解决方案可以检测诸如员工从可疑地点登录不同寻常的时候,这可能损害员工账户的一个标志。你可以锁定用户配置文件,以防损坏,直到可以证实员工的访问。

DoS和DDoS攻击

拒绝服务(DoS)攻击破坏服务由洪水网络有足够的流量占用系统资源,引发崩溃。这种威胁的频率上升是因为的僵尸网络可以征召不知情的用户的网络设备到自己的群执行分布式拒绝服务(DDoS)攻击。通过监测您的web服务器日志,SIEM软件可以标记异常交通事件,可能暗示DoS或DDoS攻击。抓住这样的攻击在早期可以给你的安全团队时间挂载一个防御和恢复计划服务。

代码注入

代码注入涉及注入恶意代码的客户端输入通道,如在线形式,进入应用程序的数据库或系统。最常见的例子是SQL注入SQL命令插入unsanitized输入允许攻击者修改或直接从数据库中删除数据。通过监测活动从web应用程序中,可以标记异常事件和使用事件相关,看看对您的系统发生任何更改。

Ransomware和其他恶意软件

Ransomware、病毒、蠕虫、木马、恶意软件和其他类型的软件设计渗透到计算机系统并执行恶意程序。对预防此类攻击是最好的防御,SIEM系统给你你所需要的监视功能的安全日志,识别攻击向量,并捕获异常可能导致攻击行为。一旦妥协,SIEM也可以帮助您识别恶意软件攻击的损害的范围,给你安全团队他们需要的信息来解决这个问题。

MITM攻击

中间人(MITM)攻击是一个恶意的第三方监听两个主机之间的通信窃取或操作信息。一旦通信被截获,攻击者可以利用各种技术从劫持用户会话注入恶意数据包嗅探密码输入到数据通信流。频繁的连接或断开连接到不熟悉的位置可能指向一个MITM攻击,这就是为什么SIEM可以是一个宝贵的工具在帮助捕获窃听者在为时过晚之前。

当使用SIEM例子

SIEM系统作为企业安全基础设施的核心组成部分。让我们看看一些例子SIEM用例。

符合数据标准

SIEM从事件日志系统总体数据,整个企业的安全工具和设备。这是完美的工具来协助生成合规和监管报告。

下面是一些例子:

• GDPR:一般数据保护监管(GDPR)颁布的欧盟(EU)为了保护欧盟公民的个人资料。
• HIPAA:健康保险流通与责任法案(HIPAA)美国立法机构颁布的保护敏感的病人健康信息。
• 一种总线标准:支付卡行业数据安全标准(PCI DSS)是一种信息安全标准规定主要信用卡公司保护他们的客户。
• SOX合规:萨班斯-奥克斯利法案(SOX)法案是美国监管,目标公司会计欺诈。它适用于上市公司董事会、管理和会计公司,需要准确的报道敏感信息的存储位置,谁有权访问它,和它是如何被使用的。

因为SIEM提供了结构化访问日志信息和安全数据在您的企业,可以为监管机构和个人数据所有者创建详细的报告。

先进的安全威胁检测

覆盖在更详细的在前一节中,“威胁SIEM解决方案可以检测的例子,“SIEM系统检测先进的安全威胁。让我们来看看一些更普遍的例子SIEM系统如何支持积极捕猎的威胁。

• 识别异常:行为分析和事件关联可以通过安全团队标记异常做进一步检查。
• 数据漏出:鸟瞰的数据是如何被使用的可以提示你内部威胁和其他未经授权的企图擅自传输敏感信息以外的组织。
• 应对新漏洞:如果一个新的零日攻击或系统漏洞标识、SIEM解决方案可以帮助您快速识别漏洞的范围你可以关闭它。
• 学习从过去的事件:当一个事件发生时,您可以快速检查是否发生过。过去的经验处理这个问题可以帮助你防止未来出现或更快地处理重复事件。
• 威胁情报在IT系统通过应用人工智能:智能检测攻击安全数据和日志。模式匹配已知的攻击签名历史数据。
• 指导调查:让分析师通过数据通过SIEM勘探平台测试假说。

获得物联网部署

物联网(物联网)存在的分布式网络设备每个流自己的实时事件日志。SIEM系统非常适合物联网安全部署。

• 物联网设备监控:物联网设备被劫持到僵尸网络进行DDoS攻击的主要目标。不断从SIEM监控系统可以提示你反常行为的损害设备的说明。
• 数据流监控:物联网设备经常通过未加密的协议相互通信。SIEM解决方案可以检测你的物联网网络中节点之间不寻常的交通模式和警报安全团队当敏感信息泄露。
• 访问控制:监控谁访问你的物联网设备和什么时候可以提示你可疑活动或连接。
• 脆弱性管理:SIEM解决方案可以帮助你发现旧的操作系统和补丁在物联网设备在你的舰队。它还可以帮助您隔离设备最容易被攻击,那些接入点等敏感数据或关键功能。

SIEM不同的从一个id吗?

SIEM系统之间的主要区别和一个入侵检测系统(IDS)是SIEM预防,而一个IDS优化检测和报告威胁事件发生时。而这两个工具都将创建警报和生成日志,只有SIEM系统可以集中和关联,在不同的设备和系统日志信息企业安全的鸟瞰。

组织通常会使用SIEM和id。IDS将帮助在攻击。SIEM解决方案将把这些id日志,让他们可以与其他系统信息安全团队可以生成合规报告和防止未来的攻击。

SIEM vs飙升:有什么区别吗?

安全编排、自动化和响应(高飞)是相对的新人。它还扩展了SIEM的功能允许您工作流自动化调查路径。这减少了所需的时间处理警报。

SIEM识别威胁来自多个源的相关信息,包括防火墙、应用程序、服务器和设备。SIEM解决方案将努力提供最相关的信息安全团队建议补救,但在安全团队跟踪和纠正一个潜在威胁的来源。

介绍更多的飙升站台的采取额外的步骤自动化调查路径。它超越了简单的报警安全团队使用人工智能学习模式的潜在威胁行为和解决威胁自动编排。

常见SIEM网络安全厂商

市场上一些流行的SIEM工具包括:

• 弹性SIEM
• SolarWinds SIEM
• Datadog
• Splunk企业SIEM
• McAfee ESM
• ArcSight微焦点
• LogRhythm
• 美国电话电报公司的网络安全SIEM(原名AlienVault超声电机)
• RSA网
• Netsurion EventTracker

结论

总之,SIEM代表安全信息和事件管理。SIEM工具可以用来检测和防止各种各样的威胁,包括代码注入,ransomware攻击和DDoS攻击。它们特别适合检测异常,如未经授权的访问、可疑的登录尝试,和不寻常的数据流。如果你需要一个安全的平台,可以聚合来自多个源的日志到一个集中位置的安全分析,SIEM解决方案可以帮助。