传统 SIEM 与现代 SIEM有什么区别
传统的SIEM专注于日志收集和存储,并且仅报告防病毒软件,入侵检测系统和防火墙等预防性技术已识别的事件。结果,它们无法为安全分析人员提供所有日志,公司网络和端点设备所需的可见性,以检测和调查复杂网络攻击的迹象。相反,现代且经过改进的SIEM工具旨在提供对整个组织整个IT基础架构的普遍可见性,较新的SIEM工具从多个来源获取日志,捕获所谓的完整网络数据包,并执行连续的端点监视和分析。
siem应考虑因素有以下这些:
提前确认需要哪些系统日志文件用于监视是非常关键的。有些公司要求大量的以不同方式收集和处理数据的日志。在SIEM系统能够提供报告之前,各种日志都需要标准化,其目的是保持数据的一致性。
公司往往在规模很小的时候就开始记录日志,并随着服务器的增长而简单地复制日志规则,因而,日志文件就是在复制日志,或者在公司合并时,公司能够收集不同物理设备中相似日志文件中的不同数据。此外,在不同时区拥有服务器的公司往往没有对时区实现标准化就收集日志,因而在不同时区同时创建的日志会拥有未同步的时间戳。此时,在信息安全人员跟踪安全事件时,这种情况就成为一种巨大的挑战。
在公司能够充分利用SIEM产品的好处之前,需要配置SIEM系统,其目的是解决时区以及在每类服务器上收集哪些数据、数据如何存放、存放到哪里以及SIEM系统如何分类可能发生的事件等问题,这至关重要。
SIEM系统需要与公司的需要相匹配。例如,假设一家中等规模的公司要首次实施其SIEM,而公司的IT人员仅能在正常的经营时间监视系统。如果公司购买了一种可以全天候生成实时结果和警告的SIEM,却只能在经营时间才去监视这些警告,那么公司就为其无法使用的特性和功能多花了钱。因而,管理层的期望有可能无法匹配实际的结果。
每个SIEM系统都拥有其自己的一套收集日志的需求。一般说来,Syslog系统日志可以发送给代理实现收集。微软的日志是一般是通过安装在本地设备上的代理来收集的,其中的日志是通过WMI或RPC来收集的。当然,还有许多其它类型的日志源,但Syslog系统日志和Windows一般占据了公司环境的大多数。
安全是一个过程而不是一种一劳永逸的战术性操作。为获得在SIEM和其它安全产品及服务上进行投资的重要效果,负责信息安全的主要管理人员首先应当能够确认所有的IT 资产,并且知道每种资产所需要的安全水平是什么。