日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
什么是SIEM?如何發(fā)揮出SIEM的價(jià)值?

SIEM一般被認(rèn)為是一個(gè)日志聚合的設(shè)備。然而,SIEM的主要能力是提供威脅檢測(cè),最好還能夠?qū)崿F(xiàn)事件調(diào)查、加速事件響應(yīng)時(shí)間,同時(shí)還能有統(tǒng)一、整體的基礎(chǔ)設(shè)施視角。SIEM只是保護(hù)和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)的拼圖之一;而從Michael Oberlaender看來(lái),這塊拼圖由十層堆棧組成(OSI七層,加上用戶、管理和金錢),在剛開始的時(shí)候,會(huì)看上去很嚇人。

讓客戶滿意是我們工作的目標(biāo),不斷超越客戶的期望值來(lái)自于我們對(duì)這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡(jiǎn)單的方式提供給客戶,將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴,公司提供的服務(wù)項(xiàng)目有:域名申請(qǐng)網(wǎng)站空間、營(yíng)銷軟件、網(wǎng)站建設(shè)、義烏網(wǎng)站維護(hù)、網(wǎng)站推廣。

在一個(gè)略微更加深入的層面,一個(gè)SIEM一般會(huì)提供以下能力:

  • 事件與日志收集:從網(wǎng)絡(luò)中各個(gè)來(lái)源聚合事件和日志數(shù)據(jù),從而更方便監(jiān)控。
  • 面板:頻繁地從收集到的數(shù)據(jù)處做出表格,從而更容易地識(shí)別環(huán)境模式以及非正?;顒?dòng)。
  • 關(guān)聯(lián):基于常見屬性將事件連接到一起,從而將數(shù)據(jù)轉(zhuǎn)化為能夠關(guān)聯(lián)的有價(jià)值組合。
  • 告警:自動(dòng)化分析關(guān)聯(lián)事件,提供可持續(xù)的驗(yàn)證、趨勢(shì)與審計(jì)。? 取證分析:能夠基于特定的標(biāo)準(zhǔn),在不同的階段和時(shí)間段上搜索全日志。
  • 合規(guī)::自動(dòng)化收集應(yīng)用中的合規(guī)數(shù)據(jù),基于現(xiàn)有的安全、治理以及審計(jì)流程生成相對(duì)應(yīng)的報(bào)告。
  • 留存:長(zhǎng)時(shí)間存儲(chǔ)歷史數(shù)據(jù),使長(zhǎng)時(shí)間的數(shù)據(jù)關(guān)聯(lián)更為容易;同時(shí)滿足應(yīng)用合規(guī)。
  • 映射:將計(jì)算機(jī)化的術(shù)語(yǔ)轉(zhuǎn)化為可讀的數(shù)據(jù),更便于展示,并且能夠映射到用戶以及廠商定義的分類和方法中。

SIEM不應(yīng)該是一個(gè)購(gòu)入以后就被遺忘的設(shè)備。如果企業(yè)做的僅僅是購(gòu)買了SIEM,連上網(wǎng),然后認(rèn)為SIEM將所有的安全需求都達(dá)成了——那就會(huì)陷入許多哦麻煩中。SIEM只是一個(gè)為事件響應(yīng)團(tuán)隊(duì)與數(shù)字取證團(tuán)隊(duì)標(biāo)準(zhǔn)化安全工作流的工具而已——這些團(tuán)隊(duì)的成員會(huì)使用SIEM來(lái)確保網(wǎng)絡(luò)的安全。

這只是使用SIEM的原因之一,其他部署SIEM的原因還包括:

  • 滿足HIPAA、SOX、PII、NERC、COBIT 5、PCI、FISMA等合規(guī)要求。
  • ISO 27000、ISO 27001、ISO 27002和ISO 27003等認(rèn)證。
  • 日志管理與留存。
  • 事件響應(yīng)與持續(xù)監(jiān)控。
  • 事例管理以及工單系統(tǒng)。
  • 策略實(shí)施驗(yàn)證以及監(jiān)測(cè)策略違反情況。

許多企業(yè)過去部署SIEM的主要原因是為了合規(guī)。SIEM的功能不僅僅能保護(hù)敏感信息,還提供一種能夠滿足合規(guī)要求的手段。企業(yè)可以通過SIEM避免審計(jì)失敗,因?yàn)镾IEM的存留和報(bào)告功能能夠驗(yàn)證自身的合規(guī)情況是否和法律法規(guī)的要求一致。

然而,就像之前提到的那樣,一個(gè)企業(yè)不能單純地部署了SIEM,讓員工去監(jiān)測(cè)SIEM的情況,然后就再也不關(guān)心系統(tǒng)了。要讓一個(gè)SIEM有用哪個(gè),尤其是對(duì)于事件響應(yīng)和威脅檢測(cè)系統(tǒng)有用,其告警以及事件和日志收集流程必須進(jìn)行調(diào)整。如果告警太多,相關(guān)團(tuán)隊(duì)會(huì)錯(cuò)過關(guān)鍵數(shù)據(jù),迷失在噪音之中;如果告警太少,那嚴(yán)重的安全事故可能永遠(yuǎn)也無(wú)法被檢測(cè)到。這一條調(diào)整的過程需要在人工側(cè)發(fā)生,需要依賴那些十分熟悉網(wǎng)絡(luò)環(huán)境,并且盯著SIEM以及其監(jiān)測(cè)的系統(tǒng),然后基于業(yè)務(wù)和網(wǎng)絡(luò)需求進(jìn)行更新。這一周期,可以參考Gartner的預(yù)測(cè)、預(yù)防、檢測(cè)和響應(yīng)的四階段模型。

簡(jiǎn)而言之,SIEM遵從GIGO原則(garbage in, garbage out;輸入的如果是垃圾,輸出的也是垃圾)。SIEM會(huì)反應(yīng)出用戶以及用戶安全團(tuán)隊(duì)對(duì)其的輸入內(nèi)容——缺乏對(duì)SIEM必要的審閱、觀察、調(diào)整,SIEM就會(huì)停滯,并最終成為一個(gè)負(fù)擔(dān)。SIEM解決方案應(yīng)該由業(yè)務(wù)驅(qū)動(dòng),以流程為核心——像ITIL框架這樣的就可以協(xié)助決定哪些流程或者進(jìn)程可以被合并、修改、或者完全舍棄。

那么從哪里開始?試著用一個(gè)服務(wù)目錄,如果自己沒有,就用一些基礎(chǔ)的用例,從那里開始,沒有必要從零開始。

就像SIEM的使用需要持續(xù)的適應(yīng),這些方式也一樣,以下這些內(nèi)容也會(huì)不斷改變:

  • 合規(guī)要求
  • 流程
  • 進(jìn)程
  • 威脅
  • 脆弱點(diǎn)和CVE
  • 人員
  • 客戶/用戶期望
  • SLA

每個(gè)企業(yè)應(yīng)用SIEM的方式不一定會(huì)相同,甚至自身的競(jìng)爭(zhēng)對(duì)手或者同類企業(yè)的使用方式都會(huì)大相徑庭——最終還是需要看哪些適合自己的環(huán)境和業(yè)務(wù)。創(chuàng)建一個(gè)路線圖作為向?qū)Э赡軙?huì)有所幫助——從“為什么”或者使用SIEM的目的開始,會(huì)更容易識(shí)別相關(guān)資產(chǎn)以及優(yōu)先級(jí)。

在確定了資產(chǎn)和優(yōu)先級(jí)以后,下一步就是定義范圍。這事確保SIEM解決方案能適合的關(guān)鍵。SIEM的能力范圍在除了支持和保護(hù)業(yè)務(wù)之外,還需要能夠助力業(yè)務(wù)。

高效的技術(shù)、網(wǎng)絡(luò)運(yùn)營(yíng)以及安全運(yùn)營(yíng)團(tuán)隊(duì)在某種進(jìn)程和流程之下協(xié)作來(lái)識(shí)別:

  • 數(shù)據(jù)分類
  • 關(guān)鍵資產(chǎn)
  • 進(jìn)出點(diǎn)(包括網(wǎng)絡(luò)和物理層面)
  • 必須的合規(guī)要求
  • 內(nèi)部IP機(jī)制

一旦有了這些,還必須有一些流程,包含責(zé)任和追責(zé)制度。另外,還需要有固定的來(lái)源,對(duì)一些問題進(jìn)行回答,或者能夠獲得答復(fù):可以是人、團(tuán)隊(duì),甚至可以是一個(gè)內(nèi)部的頁(yè)面。

為了確保實(shí)踐一致性,可以將SOC或者SIEM圍繞ITIL實(shí)踐展開;并且鑒于ITIL專注于管理,可以將其作為一個(gè)向?qū)Щ蛘呗肪€圖。

戰(zhàn)略管理

定義自己對(duì)SIEM的愿景,或者SIEM解決方案可以整體提供的服務(wù)。這個(gè)定義可以是簡(jiǎn)單的,也可以是復(fù)雜的,但最好從一些簡(jiǎn)單的東西開始,定義一些對(duì)象的“常識(shí)”。十個(gè)常見用例可以在早期聯(lián)系起來(lái),作為一個(gè)好的開始。

服務(wù)設(shè)計(jì)

一旦分析了業(yè)務(wù)需求,就可以開始將SIEM/SOC的期望以及部署的初心和業(yè)務(wù)關(guān)聯(lián)。這里的目標(biāo)是創(chuàng)建一個(gè)“SIEM服務(wù)目錄”,用一系列的指標(biāo)作為SIEM在業(yè)務(wù)中的核心功能。

服務(wù)與技術(shù)管理實(shí)踐

SOC或者SIEM運(yùn)維人員需要注意環(huán)境中的變化。這看似是一個(gè)很顯而易見的事,但需要真正落地。SOC或者SIEM的運(yùn)維人員如果不知道一個(gè)新的PC加入了網(wǎng)絡(luò),或者某個(gè)數(shù)據(jù)中心暫時(shí)下線了,會(huì)導(dǎo)致誤報(bào)、審計(jì)失敗、無(wú)效的報(bào)告等。

這一步驟也需要實(shí)踐在“服務(wù)設(shè)計(jì)”階段中描述的功能,包括定義責(zé)任、溝通、SLA,甚至OLA等。這一步尤其需要標(biāo)注趨勢(shì)、修復(fù)行為、每日活動(dòng),以及配置和存貨改變。

持續(xù)改進(jìn)

這一步對(duì)企業(yè)而言經(jīng)常是最困難的一步,但也是最必要的一步。在這一階段,數(shù)據(jù)會(huì)被審閱,并且用于之前建立的指標(biāo)來(lái)重新定義或者改善服務(wù)、流程和進(jìn)程。這一階段是確認(rèn)和驗(yàn)證人工或者GRC收集的數(shù)據(jù)的大好機(jī)會(huì)。使用持續(xù)改進(jìn)記錄也能提供一定幫助。

到這里,應(yīng)該能夠了解為什么需要SIEM,以及理解它能夠給業(yè)務(wù)帶來(lái)的許多價(jià)值中的一部分。但是要記得,優(yōu)先級(jí)、方式和方案都會(huì)基于環(huán)境而改變——從簡(jiǎn)單的 開始,隨著對(duì)SIEM的理解逐漸開始增加復(fù)雜性。使用已經(jīng)被證明有效的框架和已經(jīng)被證明有價(jià)值的資源作為輔助工具,可以幫助在一些最初的需求上做需求。

點(diǎn)評(píng)

SIEM的價(jià)值在于通過對(duì)于各類事件的整合,進(jìn)行安全分析,從而實(shí)現(xiàn)對(duì)威脅的發(fā)現(xiàn)、對(duì)安全問題的響應(yīng)、對(duì)已發(fā)生攻擊的溯源取證等等。而另一反面來(lái)看,SIEM也是一個(gè)“難對(duì)付”的產(chǎn)品:需要通過一系列的流程和制度,才能有效地使用其各種功能;需要根據(jù)業(yè)務(wù)不斷地調(diào)整相關(guān)的配置,才能將其功能的價(jià)值發(fā)揮到最大。


網(wǎng)站標(biāo)題:什么是SIEM?如何發(fā)揮出SIEM的價(jià)值?
文章URL:http://www.5511xx.com/article/coeghsp.html