SIEM一般被認(rèn)為是一個(gè)日志聚合的設(shè)備。然而，SIEM的主要能力是提供威脅檢測(cè)，最好還能夠?qū)崿F(xiàn)事件調(diào)查、加速事件響應(yīng)時(shí)間，同時(shí)還能有統(tǒng)一、整體的基礎(chǔ)設(shè)施視角。SIEM只是保護(hù)和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)的拼圖之一;而從Michael Oberlaender看來，這塊拼圖由十層堆棧組成(OSI七層，加上用戶、管理和金錢)，在剛開始的時(shí)候，會(huì)看上去很嚇人。

[[429426]]

在一個(gè)略微更加深入的層面，一個(gè)SIEM一般會(huì)提供以下能力：

• 事件與日志收集：從網(wǎng)絡(luò)中各個(gè)來源聚合事件和日志數(shù)據(jù)，從而更方便監(jiān)控。
• 面板：頻繁地從收集到的數(shù)據(jù)處做出表格，從而更容易地識(shí)別環(huán)境模式以及非正?；顒?dòng)。
• 關(guān)聯(lián)：基于常見屬性將事件連接到一起，從而將數(shù)據(jù)轉(zhuǎn)化為能夠關(guān)聯(lián)的有價(jià)值組合。
• 告警：自動(dòng)化分析關(guān)聯(lián)事件，提供可持續(xù)的驗(yàn)證、趨勢(shì)與審計(jì)。• 取證分析：能夠基于特定的標(biāo)準(zhǔn)，在不同的階段和時(shí)間段上搜索全日志。
• 合規(guī)：：自動(dòng)化收集應(yīng)用中的合規(guī)數(shù)據(jù)，基于現(xiàn)有的安全、治理以及審計(jì)流程生成相對(duì)應(yīng)的報(bào)告。
• 留存：長(zhǎng)時(shí)間存儲(chǔ)歷史數(shù)據(jù)，使長(zhǎng)時(shí)間的數(shù)據(jù)關(guān)聯(lián)更為容易;同時(shí)滿足應(yīng)用合規(guī)。
• 映射：將計(jì)算機(jī)化的術(shù)語轉(zhuǎn)化為可讀的數(shù)據(jù)，更便于展示，并且能夠映射到用戶以及廠商定義的分類和方法中。

SIEM不應(yīng)該是一個(gè)購入以后就被遺忘的設(shè)備。如果企業(yè)做的僅僅是購買了SIEM，連上網(wǎng)，然后認(rèn)為SIEM將所有的安全需求都達(dá)成了——那就會(huì)陷入許多哦麻煩中。SIEM只是一個(gè)為事件響應(yīng)團(tuán)隊(duì)與數(shù)字取證團(tuán)隊(duì)標(biāo)準(zhǔn)化安全工作流的工具而已——這些團(tuán)隊(duì)的成員會(huì)使用SIEM來確保網(wǎng)絡(luò)的安全。

這只是使用SIEM的原因之一，其他部署SIEM的原因還包括：

• 滿足HIPAA、SOX、PII、NERC、COBIT 5、PCI、FISMA等合規(guī)要求。
• ISO 27000、ISO 27001、ISO 27002和ISO 27003等認(rèn)證。
• 日志管理與留存。
• 事件響應(yīng)與持續(xù)監(jiān)控。
• 事例管理以及工單系統(tǒng)。
• 策略實(shí)施驗(yàn)證以及監(jiān)測(cè)策略違反情況。

許多企業(yè)過去部署SIEM的主要原因是為了合規(guī)。SIEM的功能不僅僅能保護(hù)敏感信息，還提供一種能夠滿足合規(guī)要求的手段。企業(yè)可以通過SIEM避免審計(jì)失敗，因?yàn)镾IEM的存留和報(bào)告功能能夠驗(yàn)證自身的合規(guī)情況是否和法律法規(guī)的要求一致。

然而，就像之前提到的那樣，一個(gè)企業(yè)不能單純地部署了SIEM，讓員工去監(jiān)測(cè)SIEM的情況，然后就再也不關(guān)心系統(tǒng)了。要讓一個(gè)SIEM有用哪個(gè)，尤其是對(duì)于事件響應(yīng)和威脅檢測(cè)系統(tǒng)有用，其告警以及事件和日志收集流程必須進(jìn)行調(diào)整。如果告警太多，相關(guān)團(tuán)隊(duì)會(huì)錯(cuò)過關(guān)鍵數(shù)據(jù)，迷失在噪音之中;如果告警太少，那嚴(yán)重的安全事故可能永遠(yuǎn)也無法被檢測(cè)到。這一條調(diào)整的過程需要在人工側(cè)發(fā)生，需要依賴那些十分熟悉網(wǎng)絡(luò)環(huán)境，并且盯著SIEM以及其監(jiān)測(cè)的系統(tǒng)，然后基于業(yè)務(wù)和網(wǎng)絡(luò)需求進(jìn)行更新。這一周期，可以參考Gartner的預(yù)測(cè)、預(yù)防、檢測(cè)和響應(yīng)的四階段模型。

簡(jiǎn)而言之，SIEM遵從GIGO原則(garbage in, garbage out;輸入的如果是垃圾，輸出的也是垃圾)。SIEM會(huì)反應(yīng)出用戶以及用戶安全團(tuán)隊(duì)對(duì)其的輸入內(nèi)容——缺乏對(duì)SIEM必要的審閱、觀察、調(diào)整，SIEM就會(huì)停滯，并最終成為一個(gè)負(fù)擔(dān)。SIEM解決方案應(yīng)該由業(yè)務(wù)驅(qū)動(dòng)，以流程為核心——像ITIL框架這樣的就可以協(xié)助決定哪些流程或者進(jìn)程可以被合并、修改、或者完全舍棄。

那么從哪里開始?試著用一個(gè)服務(wù)目錄，如果自己沒有，就用一些基礎(chǔ)的用例，從那里開始，沒有必要從零開始。

就像SIEM的使用需要持續(xù)的適應(yīng)，這些方式也一樣，以下這些內(nèi)容也會(huì)不斷改變：

• 合規(guī)要求
• 流程
• 進(jìn)程
• 威脅
• 脆弱點(diǎn)和CVE
• 人員
• 客戶/用戶期望
• SLA

每個(gè)企業(yè)應(yīng)用SIEM的方式不一定會(huì)相同，甚至自身的競(jìng)爭(zhēng)對(duì)手或者同類企業(yè)的使用方式都會(huì)大相徑庭——最終還是需要看哪些適合自己的環(huán)境和業(yè)務(wù)。創(chuàng)建一個(gè)路線圖作為向?qū)Э赡軙?huì)有所幫助——從“為什么”或者使用SIEM的目的開始，會(huì)更容易識(shí)別相關(guān)資產(chǎn)以及優(yōu)先級(jí)。

在確定了資產(chǎn)和優(yōu)先級(jí)以后，下一步就是定義范圍。這事確保SIEM解決方案能適合的關(guān)鍵。SIEM的能力范圍在除了支持和保護(hù)業(yè)務(wù)之外，還需要能夠助力業(yè)務(wù)。

高效的技術(shù)、網(wǎng)絡(luò)運(yùn)營以及安全運(yùn)營團(tuán)隊(duì)在某種進(jìn)程和流程之下協(xié)作來識(shí)別：

• 數(shù)據(jù)分類
• 關(guān)鍵資產(chǎn)
• 進(jìn)出點(diǎn)(包括網(wǎng)絡(luò)和物理層面)
• 必須的合規(guī)要求
• 內(nèi)部IP機(jī)制

一旦有了這些，還必須有一些流程，包含責(zé)任和追責(zé)制度。另外，還需要有固定的來源，對(duì)一些問題進(jìn)行回答，或者能夠獲得答復(fù)：可以是人、團(tuán)隊(duì)，甚至可以是一個(gè)內(nèi)部的頁面。

為了確保實(shí)踐一致性，可以將SOC或者SIEM圍繞ITIL實(shí)踐展開;并且鑒于ITIL專注于管理，可以將其作為一個(gè)向?qū)Щ蛘呗肪€圖。

戰(zhàn)略管理

定義自己對(duì)SIEM的愿景，或者SIEM解決方案可以整體提供的服務(wù)。這個(gè)定義可以是簡(jiǎn)單的，也可以是復(fù)雜的，但最好從一些簡(jiǎn)單的東西開始，定義一些對(duì)象的“常識(shí)”。十個(gè)常見用例可以在早期聯(lián)系起來，作為一個(gè)好的開始。

服務(wù)設(shè)計(jì)

一旦分析了業(yè)務(wù)需求，就可以開始將SIEM/SOC的期望以及部署的初心和業(yè)務(wù)關(guān)聯(lián)。這里的目標(biāo)是創(chuàng)建一個(gè)“SIEM服務(wù)目錄”，用一系列的指標(biāo)作為SIEM在業(yè)務(wù)中的核心功能。

服務(wù)與技術(shù)管理實(shí)踐

SOC或者SIEM運(yùn)維人員需要注意環(huán)境中的變化。這看似是一個(gè)很顯而易見的事，但需要真正落地。SOC或者SIEM的運(yùn)維人員如果不知道一個(gè)新的PC加入了網(wǎng)絡(luò)，或者某個(gè)數(shù)據(jù)中心暫時(shí)下線了，會(huì)導(dǎo)致誤報(bào)、審計(jì)失敗、無效的報(bào)告等。

這一步驟也需要實(shí)踐在“服務(wù)設(shè)計(jì)”階段中描述的功能，包括定義責(zé)任、溝通、SLA，甚至OLA等。這一步尤其需要標(biāo)注趨勢(shì)、修復(fù)行為、每日活動(dòng)，以及配置和存貨改變。

持續(xù)改進(jìn)

這一步對(duì)企業(yè)而言經(jīng)常是最困難的一步，但也是最必要的一步。在這一階段，數(shù)據(jù)會(huì)被審閱，并且用于之前建立的指標(biāo)來重新定義或者改善服務(wù)、流程和進(jìn)程。這一階段是確認(rèn)和驗(yàn)證人工或者GRC收集的數(shù)據(jù)的大好機(jī)會(huì)。使用持續(xù)改進(jìn)記錄也能提供一定幫助。

到這里，應(yīng)該能夠了解為什么需要SIEM，以及理解它能夠給業(yè)務(wù)帶來的許多價(jià)值中的一部分。但是要記得，優(yōu)先級(jí)、方式和方案都會(huì)基于環(huán)境而改變——從簡(jiǎn)單的 開始，隨著對(duì)SIEM的理解逐漸開始增加復(fù)雜性。使用已經(jīng)被證明有效的框架和已經(jīng)被證明有價(jià)值的資源作為輔助工具，可以幫助在一些最初的需求上做需求。

點(diǎn)評(píng)

SIEM的價(jià)值在于通過對(duì)于各類事件的整合，進(jìn)行安全分析，從而實(shí)現(xiàn)對(duì)威脅的發(fā)現(xiàn)、對(duì)安全問題的響應(yīng)、對(duì)已發(fā)生攻擊的溯源取證等等。而另一反面來看，SIEM也是一個(gè)“難對(duì)付”的產(chǎn)品：需要通過一系列的流程和制度，才能有效地使用其各種功能;需要根據(jù)業(yè)務(wù)不斷地調(diào)整相關(guān)的配置，才能將其功能的價(jià)值發(fā)揮到最大。