由于企業(yè)發(fā)生安全事件和漏洞變得越來越普遍，安全信息和事件管理(SIEM)解決方案日漸引起了企業(yè)的興趣和重視。理想情況下，SIEM將幫助企業(yè)收集和關(guān)聯(lián)日志、以及相關(guān)事件數(shù)據(jù)來識(shí)別和應(yīng)對(duì)那些真正會(huì)引發(fā)安全威脅的問題。這是一個(gè)相當(dāng)艱巨的任務(wù)，許多部署了SIEM的企業(yè)均對(duì)此感到失望，因?yàn)樗麄儧]有達(dá)到他們所期望的效果。

托管安全服務(wù)提供商Proficio公司的總裁兼首席執(zhí)行官布拉德·泰勒表示說，他的公司經(jīng)常被客戶的電話叫去搶救各種沒有成功部署的SIEM。在積累了數(shù)年的經(jīng)驗(yàn)之后，泰勒對(duì)于客戶的相關(guān)項(xiàng)目最有可能在何處脫軌有著清晰的把控。

“很多企業(yè)都是將SIEM作為一款設(shè)備購買的，他們認(rèn)為其就如同防火墻或IDS一樣，只要在最初設(shè)置了之后，慢慢就將其忘記了。”泰勒說。實(shí)際上，其是一個(gè)框架，需要特殊的考慮框架中的管理軟件，以及保持內(nèi)容的相關(guān)性，以確保其所提供的信息是可操作的。“這是真正的挑戰(zhàn)，其還涉及到一大堆的東西，以使其更有效。”

他認(rèn)為，最為重要的問題包括：

缺乏可操作的警報(bào)

缺乏相關(guān)的內(nèi)容和使用案例

缺乏執(zhí)行能見度

進(jìn)程未能充分完整的部署實(shí)施

具有訪問權(quán)限的人員

未能讓檢測(cè)工作起到預(yù)防作用

我就相關(guān)的挑戰(zhàn)問題和他關(guān)于如何從SIEM獲得最大的價(jià)值的建議，與泰勒進(jìn)行了一次詳談。

“許多企業(yè)都會(huì)安裝這些設(shè)備，以便向其指明他們的相關(guān)日志和其他數(shù)據(jù)源，并建立起基本的內(nèi)容，而每天的安全事件從數(shù)百萬到一兩千件不等。”泰勒說。 “這仍然不是一個(gè)可以進(jìn)行調(diào)查管理的數(shù)量。他們需要靜下心來，專注以兩三個(gè)有意義的事件活動(dòng)，有針對(duì)性的調(diào)查，而從數(shù)千個(gè)安全事件中獲得兩三個(gè)便是一項(xiàng)挑戰(zhàn)。”

企業(yè)沒有得到他們所需要的可操作的警報(bào)，因?yàn)閬碜灾T如防火墻和入侵檢測(cè)系統(tǒng)(IDS)這樣的設(shè)備仍然有太大的噪音，并且圍繞著警報(bào)也沒有足夠的背景能讓他們真正信任。這可能會(huì)導(dǎo)致安全分析師把時(shí)間浪費(fèi)在意義不太重大的事件上。泰勒強(qiáng)調(diào)了來自SIEM設(shè)備上的超越了基層內(nèi)容，并能夠提供自定義的使用案例，而且是特定于企業(yè)用戶的業(yè)務(wù)和計(jì)算環(huán)境​​的重要性。

“我們?cè)赟IEM和使用案例中看到缺乏相關(guān)的內(nèi)容。”根據(jù)泰勒介紹。“一個(gè)SIEM可以幫助您找到很多東西，但你必須告訴需要尋找的是什么，或者你可以給它一些條件，這樣其就可以開始分析行為。你也必須明白，相關(guān)的安全威脅是不斷發(fā)展的，需要不斷地適應(yīng)你的內(nèi)容和你的使用案例。”

他說，一個(gè)簡(jiǎn)單的使用案例：可能是想知道“當(dāng)企業(yè)的某個(gè)員工在辦公室登錄到自己的臺(tái)式機(jī)，并在同一時(shí)間從遠(yuǎn)程位置登錄到VPN。畢竟一個(gè)人不能同時(shí)出現(xiàn)在兩個(gè)地方，這樣，企業(yè)就會(huì)知道這是一個(gè)值得深入挖掘的情況。需要查看分析兩個(gè)登錄源，對(duì)兩個(gè)登錄源分別來自何處做定位分析，并發(fā)出相關(guān)類型的警報(bào)。這是一個(gè)非常簡(jiǎn)單的企業(yè)可能想基于員工的差旅和使用VPN設(shè)置的使用案例。當(dāng)然還有更復(fù)雜的使用案例，也可以圍繞應(yīng)用程序、Web門戶網(wǎng)站和尋找惡意軟件和惡意活動(dòng)的基本內(nèi)容建立。”

他給出了一個(gè)如何把一次安全事件融入周圍環(huán)境的例子。假設(shè)你企業(yè)有IDS檢測(cè)活動(dòng)，正試圖利用一個(gè)危險(xiǎn)的漏洞，如Shellshock。但流量是針對(duì)那些不具有漏洞的系統(tǒng)，基于漏洞掃描你企業(yè)已經(jīng)有的數(shù)據(jù)。重要的是要關(guān)聯(lián)這些數(shù)據(jù)點(diǎn)，這樣你就不會(huì)以追逐那些根本沒什么要緊的東西而結(jié)束了。

很多企業(yè)并沒有花時(shí)間去將他們的內(nèi)部資源和政策模擬成SIEM，使其更有效地確定可疑的內(nèi)部威脅，以及周邊環(huán)境的安全性。 “企業(yè)需要模擬他們的資產(chǎn)，”泰勒說。“他們需要確保熟悉其環(huán)境中的一切，熟悉金融區(qū)域與開發(fā)區(qū)域，熟悉相關(guān)的企業(yè)政策應(yīng)該從哪里傳達(dá)到哪里，這就是業(yè)務(wù)的環(huán)境背景。它告訴我很多關(guān)于什么情況應(yīng)該是正常的，然后我可以創(chuàng)建使用案例和行為，這樣我可以尋找那​​些異常的東西。”

他補(bǔ)充說，“你不能依靠SIEM的基本內(nèi)容以回答有關(guān)環(huán)境背景和重點(diǎn)的問題。所有的SIEM有基本的內(nèi)容固然是相當(dāng)不錯(cuò)，但你必須去適應(yīng)它，將其模擬到您自己的環(huán)境和當(dāng)下的安全威脅。你必須不斷增加和調(diào)整內(nèi)容。”

泰勒表示說，企業(yè)的SIEM項(xiàng)目失敗的另一方面是其運(yùn)作，或定義進(jìn)程如何進(jìn)行。例如，從安全操作中心發(fā)送一個(gè)請(qǐng)求到網(wǎng)絡(luò)運(yùn)營(yíng)團(tuán)隊(duì)以解決防火墻塊的問題的進(jìn)程是怎樣的?該請(qǐng)求將如何優(yōu)先? 如果有可能導(dǎo)致違反環(huán)境的關(guān)鍵威脅，網(wǎng)絡(luò)團(tuán)隊(duì)需要現(xiàn)在就立馬解決塊的更改問題，而不是等到常規(guī)變更管理窗口四天之后才解決。泰勒建議在一個(gè)共享的運(yùn)行手冊(cè)定義這樣的流程，以避免臨時(shí)反應(yīng)或活動(dòng)。

SIEM的部署實(shí)現(xiàn)還有一個(gè)有時(shí)會(huì)引發(fā)問題的領(lǐng)域是要在相關(guān)的崗位上安排合適的人員。泰勒說，SIEM專家很難找到，且有著高度的需求。不過，也有一些關(guān)鍵的角色，公司必須要有，就像一個(gè)內(nèi)容作者，一個(gè)SIEM架構(gòu)師進(jìn)行使用案例建​​模和SIEM管理員以確保數(shù)據(jù)源和數(shù)據(jù)庫工作正常。如果一家企業(yè)無法找到足夠的員工來組成一個(gè)合格的團(tuán)隊(duì)，有些任務(wù)可以采用外包，比如全天候覆蓋的監(jiān)測(cè)和響應(yīng)警報(bào)。

泰勒說，企業(yè)可以從SIEM解決方案中獲得了很多價(jià)值，但是只有當(dāng)其是不斷地按照企業(yè)的內(nèi)容和策略為目的而定制服務(wù)時(shí)，才能發(fā)揮其最大價(jià)值。