黑客24小时在线接单的网站

SIEM一般认为是日志聚合设备。SIEM其主要能力是提供威胁检测，最好实现事件调查，加快事件响应时间，并有统一、整体的基础设施视角。SIEM从Michael Oberlaender这个拼图似乎由十层堆栈组成(OSI七层，加上用户、管理和金钱)，一开始看起来很吓人。

在稍微深一点的层面上，一个SIEM一般提供以下能力：

               
• 事件和日志收集：将事件和日志数据从网络中的各个来源聚合起来，以便于监控。
               
• 面板：经常从收集到的数据中制作表格，以便更容易识别环境模式和异常活动。
               
• 关联：将事件连接到基于常见属性的一起，从而将数据转化为有价值的组合。
               
• 报警：自动分析相关事件，提供可持续的验证、趋势和审计。• 证据收集分析：可以在不同的阶段和时间段搜索全日志。
               
• 合规：根据现有的安全、治理和审计流程，自动收集应用中的合规数据，生成相应的报告。
               
• 保留：长期存储历史数据，使长期数据更容易相关；同时满足应用合规。
               
• 映射：将计算机术语转化为可读数据，更容易显示，并能映射到用户和制造商定义的分类和方法中。

SIEM不应该是购买后被遗忘的设备。如果企业所做的只是购买SIEM，上网，然后想想SIEM所有的安全全需求——那就会陷入很多哦麻烦。SIEM只是事件响应团队和数字取证团队标准化安全工作流的工具——这些团队成员将使用它们SIEM确保网络安全。

这只是使用SIEM其他部署的原因之一SIEM原因还包括：

               
• 满足HIPAA、SOX、PII、NERC、COBIT 5、PCI、FISMA等合规要求。
               
• ISO 27000、ISO 27001、ISO 27002和ISO 27003等认证。
               
• 管理和保留日志。
               
• 事件响应和持续监控。
               
• 案例管理和工单系统。
               
• 战略实施验证和监测策略违规。

许多企业过去部署SIEM主要原因是合规。SIEM其功能不仅可以保护敏感信息，还可以提供满足合规要求的手段。企业可以通过SIEM因为SIEM保留和报告功能可以验证其合规性是否符合法律法规的要求。

然而，正如前面提到的，企业不能简单地部署它SIEM，让员工监控SIEM然后就不再关心系统了。SIEM必须调整报警、事件和日志收集过程，特别是对事件响应和威胁检测系统有用。如果报警过多，相关团队将错过关键数据，并在噪声中丢失；如果报警过少，严重的安全事故可能永远无法检测到。这种调整过程需要发生在人工侧，依靠那些非常熟悉网络环境并盯着它SIEM以及其监控系统，然后根据业务和网络需求进行更新。本周期可参考Gartner四阶段模型的预测、预防、检测和响应。

简而言之，SIEM遵从GIGO原则(garbage in,garbage out;如果输入是垃圾，输出也是垃圾)。SIEM它将反映用户和用户安全团队的输入内容——缺乏对SIEM必要的审查、观察和调整，SIEM停滞，最终成为负担。SIEM以流程为核心的解决方案应由业务驱动——像ITIL框架可以帮助决定哪些过程或过程可以合并、修改或完全放弃。

那从哪里开始呢？试着使用一个服务目录，如果你没有，使用一些基本的用例，从那里开始，没有必要从零开始。

就像SIEM使用需要不断的适应，这些方法也是如此，以下内容将继续改变：

               
• 合规要求
               
• 流程
               
• 进程
               
• 威胁
               
• 脆弱点和CVE
               
• 人员
               
• 客户/用户期望
               
• SLA

各企业应用SIEM方式可能不一样，甚至自己的竞争对手或同类企业的使用方式也会大不相同——最后，我们需要看看什么适合我们自己的环境和业务。创建路线图作为指南可能有帮助——从“为什么”或者使用SIEM相关资产和优先级将更容易识别。

在确定资产和优先级后，下一步是定义范围。确保这一点SIEM适合解决方案的关键。SIEM除了支持和保护业务外，能力范围还需要能够帮助业务。

在某一过程和过程下，高效的技术、网络运营和安全运营团队合作识别：

               
• 数据分类
               
• 关键资产
               
• 进出点(包括网络和物理)
               
• 必要的合规要求
               
• 内部IP机制

一旦有了这些，就必须有一些过程，包括责任和责任制。此外，还需要有一个固定的来源来回答一些问题，或者可以得到答案：人、团队，甚至内部页面。

为了保证实践的一致性，可以SOC或者SIEM围绕ITIL实践展开；并鉴于ITIL专注于管理，可以作为向导或路线图。

战略管理

定义自己对SIEM愿景，或SIEM解决方案可以提供整体服务。这个定义可以简单或复杂，但最好从一些简单的事情开始，定义一些对象“常识”。作为一个好的开始，十个常用例可以在早期联系起来。

服务设计

一旦分析了业务需求，就可以开始了SIEM/SOC的期望以及部署的初心和业务关联。这里的目标是创建一个“SIEM服务目录”，以一系列指标为例SIEM业务的核心功能。

实践服务与技术管理

SOC或者SIEM操作和维护人员需要注意环境的变化。这似乎是一件明显的事情，但它需要真正着陆。SOC或者SIEM如果运维人员不知道一个新的PC加入网络或数据中心暂时离线会导致误报、审计失败、报告无效等。

这一步骤也需要实践在“服务设计”本阶段描述的功能包括责任定义、沟通、SLA，甚至OLA等等。这一步需要标记趋势、修复行为、日常活动、配置和库存变化。

持续改进

这一步往往是企业最困难的一步，但也是最必要的一步。在这个阶段，数据将被审查，并用于重新定义或改进服务、流程和流程。这一阶段是手动确认和验证GRC收集数据的好机会。使用持续改进记录也有帮助。

在这里，我应该能够理解为什么需要SIEM，了解它能给业务带来的许多价值的一部分。但请记住，优先级、方法和方案会根据环境而改变——从简单的 开始，对SIEM理解逐渐开始增加复杂性。使用已被证明有效的框架和已被证明有价值的资源作为辅助工具可以帮助满足一些初始需求。

点评

SIEM价值在于通过整合各种事件进行安全分析，实现威胁的发现、安全问题的响应、攻击的可追溯性和证据收集等。另一方面，SIEM也是一个“难对付”产品：需要通过一系列的流程和系统有效地使用各种功能；相关配置需要根据业务不断调整，以最大限度地发挥其功能的价值。