來(lái)源：https://logz.io/blog/what-is-siem/

SIEM(安全信息和事件管理)是一個(gè)由不同的監(jiān)視和分析組件組成的安全和審計(jì)系統(tǒng)。最近網(wǎng)絡(luò)攻擊的增加，加上組織要求更嚴(yán)格的安全法規(guī)，使SIEM成為越來(lái)越多的組織正在采用的標(biāo)準(zhǔn)安全方法。

但是SIEM實(shí)際上涉及到什么呢?它由哪些不同的部分組成?SIEM實(shí)際上如何幫助減輕攻擊?本文試圖提供一種SIEM 101。后續(xù)文章將深入探討一些可用于實(shí)際實(shí)現(xiàn)SIEM的解決方案。

1、為什么我們需要SIEM?

毫無(wú)疑問(wèn)，對(duì)計(jì)算機(jī)系統(tǒng)的攻擊不斷增加。Coinmining, DDoS, ransomware，惡意軟件，僵尸網(wǎng)絡(luò)，網(wǎng)絡(luò)釣魚——這只是今天那些正義之戰(zhàn)所面臨的威脅的一部分。

有趣的是，正如賽門鐵克(Symantec)在其2018年互聯(lián)網(wǎng)安全威脅報(bào)告中所指出的那樣，不僅攻擊數(shù)量在上升，使用的途徑和方法也在上升:

“從WannaCry和Petya/NotPetya的突然傳播，到造幣商的迅速增長(zhǎng)，2017年再次提醒我們，數(shù)字安全威脅可能來(lái)自新的和意想不到的來(lái)源?！彪S著時(shí)間的推移，不僅威脅的數(shù)量在不斷增加，而且威脅的范圍也變得更加多樣化，攻擊者會(huì)更加努力地尋找新的攻擊途徑，并在此過(guò)程中隱藏自己的蹤跡。

系統(tǒng)和網(wǎng)絡(luò)監(jiān)控在幫助組織保護(hù)自己免受這些攻擊方面一直發(fā)揮著關(guān)鍵作用，多年來(lái)已經(jīng)發(fā)展了一些相關(guān)的方法和技術(shù)。然而，網(wǎng)絡(luò)犯罪性質(zhì)的變化意味著一些攻擊往往會(huì)被忽視，這一點(diǎn)很快就變得顯而易見(jiàn)。數(shù)據(jù)融合，即來(lái)自多個(gè)數(shù)據(jù)源的數(shù)據(jù)的聚合和不同事件之間的相關(guān)性，以及長(zhǎng)時(shí)間保留這些數(shù)據(jù)的能力變得至關(guān)重要。

網(wǎng)絡(luò)攻擊的增長(zhǎng)導(dǎo)致合規(guī)要求更加嚴(yán)格。健康保險(xiǎn)流通與責(zé)任法案(HIPAA),支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS),薩班斯-奧克斯利法案(SOX),和一般的數(shù)據(jù)保護(hù)監(jiān)管(GDPR)——所有的這些都需要組織來(lái)實(shí)現(xiàn)一組全面的安全控制,包括監(jiān)測(cè)、審計(jì)和報(bào)告,所有這些都促進(jìn)了SIEM系統(tǒng)。

2、定義與演變

簡(jiǎn)單地說(shuō)，SIEM是一個(gè)由多個(gè)監(jiān)視和分析組件組成的安全系統(tǒng)，旨在幫助組織檢測(cè)和減輕威脅。

如上所述，SIEM將許多其他安全規(guī)程和工具結(jié)合在一個(gè)綜合的框架下:

日志管理(LMS)——用于傳統(tǒng)日志收集和存儲(chǔ)的工具。

安全信息管理(SIM)——集中于從多個(gè)數(shù)據(jù)源收集和管理與安全相關(guān)的數(shù)據(jù)的工具或系統(tǒng)。例如，這些數(shù)據(jù)源可以是防火墻、DNS服務(wù)器、路由器和防病毒應(yīng)用程序。

安全事件管理(SEM)——基于主動(dòng)監(jiān)視和分析的系統(tǒng)，包括數(shù)據(jù)可視化、事件相關(guān)性和警報(bào)。

SIEM是今天的術(shù)語(yǔ)管理系統(tǒng),所有上述合并到一個(gè)層,知道如何從分布式自動(dòng)收集和處理信息的來(lái)源,將它存儲(chǔ)在一個(gè)集中位置,不同事件之間的關(guān)聯(lián),并根據(jù)這些信息生成警報(bào)和報(bào)告。

3、SIEM組件

SIEM不是一個(gè)單獨(dú)的工具或應(yīng)用程序(盡管有一些工具可以幫助部署SIEM系統(tǒng)，見(jiàn)下文)，而是一組不同的構(gòu)建塊，它們都是系統(tǒng)的一部分。沒(méi)有標(biāo)準(zhǔn)的SIEM協(xié)議或已建立的方法，但是大多數(shù)SIEM系統(tǒng)將包含本節(jié)中描述的大部分(如果不是全部的話)元素。

3.1聚合

日志表示在數(shù)字環(huán)境中運(yùn)行的進(jìn)程的原始輸出，是提供實(shí)時(shí)發(fā)生的事情的準(zhǔn)確圖像的最佳來(lái)源，因此是SIEM系統(tǒng)的主要數(shù)據(jù)源。

無(wú)論是防火墻日志、服務(wù)器日志、數(shù)據(jù)庫(kù)日志，還是在您的環(huán)境中生成的任何其他類型的日志，SIEM系統(tǒng)都能夠收集這些數(shù)據(jù)并將其存儲(chǔ)在一個(gè)中心位置以進(jìn)行擴(kuò)展的保留。此收集過(guò)程通常由代理或應(yīng)用程序執(zhí)行，部署在監(jiān)視的系統(tǒng)上，并配置為將數(shù)據(jù)轉(zhuǎn)發(fā)到SIEM系統(tǒng)的中央數(shù)據(jù)存儲(chǔ)。

3.2處理和標(biāo)準(zhǔn)化

在SIEM上下文中收集數(shù)據(jù)的最大挑戰(zhàn)是克服各種日志格式。從本質(zhì)上說(shuō)，SIEM系統(tǒng)將從大量層(服務(wù)器、防火墻、網(wǎng)絡(luò)路由器、數(shù)據(jù)庫(kù))中提取數(shù)據(jù)，每種記錄的格式都不同。

看看下面的例子:

這兩個(gè)日志消息報(bào)告的是同一個(gè)事件——特定用戶(您的真實(shí)用戶)和客戶機(jī)IP的身份驗(yàn)證失敗。注意時(shí)間戳字段的格式、用戶的日志記錄方式和實(shí)際消息的不同。

為了能夠跨不同源和事件相關(guān)性高效地解釋數(shù)據(jù)，SIEM系統(tǒng)能夠規(guī)范化日志。這個(gè)規(guī)范化過(guò)程包括將日志處理為可讀的結(jié)構(gòu)化格式，從日志中提取重要數(shù)據(jù)，并映射日志中包含的不同字段。

3.3關(guān)聯(lián)

一旦收集、解析和存儲(chǔ)，SIEM系統(tǒng)中的下一步將負(fù)責(zé)連接這些點(diǎn)并關(guān)聯(lián)來(lái)自不同數(shù)據(jù)源的事件。這種關(guān)聯(lián)工作基于各種SIEM工具提供的規(guī)則、為不同的攻擊場(chǎng)景預(yù)定義的規(guī)則，或者由分析人員創(chuàng)建和調(diào)整的規(guī)則。

簡(jiǎn)單地說(shuō)，關(guān)聯(lián)規(guī)則定義了一個(gè)特定的事件序列，該序列可能表示安全性受到了破壞。例如，可以創(chuàng)建一個(gè)規(guī)則來(lái)確定在一段時(shí)間內(nèi)從特定IP范圍和端口發(fā)送的請(qǐng)求數(shù)量何時(shí)超過(guò)x。

環(huán)境中記錄的數(shù)據(jù)量非常大。即使是中小型組織也很可能每天發(fā)送數(shù)十gb的數(shù)據(jù)。實(shí)際上，規(guī)則通過(guò)消除干擾并指向可能有意義的事件，幫助將數(shù)據(jù)壓縮為更易于管理的數(shù)據(jù)集。

大多數(shù)SIEM系統(tǒng)還提供生成報(bào)告的內(nèi)置機(jī)制。這些報(bào)告可以用于管理、審計(jì)或合規(guī)性原因。例如，可以將詳細(xì)描述觸發(fā)警報(bào)或規(guī)則的每日?qǐng)?bào)告嵌入到儀表板中。

3.4呈現(xiàn)

可視化數(shù)據(jù)和事件的能力是SIEM系統(tǒng)中的另一個(gè)關(guān)鍵組件，因?yàn)樗试S分析人員方便地查看數(shù)據(jù)。包含多個(gè)可視化或視圖的儀表板有助于識(shí)別趨勢(shì)、異常情況，并監(jiān)控環(huán)境的總體健康或安全狀態(tài)。一些SIEM工具將附帶預(yù)先制作的儀表板，而另一些工具將允許用戶創(chuàng)建和調(diào)整自己的儀表板。

3.5緩解和修復(fù)

一旦相關(guān)規(guī)則就位，并監(jiān)視構(gòu)建的儀表板以提供系統(tǒng)的全面概述，SIEM系統(tǒng)的最后一個(gè)關(guān)鍵組件就是一旦識(shí)別事件如何處理。

大多數(shù)SIEM系統(tǒng)支持自動(dòng)包含和減輕安全事件的機(jī)制。例如，根據(jù)相關(guān)規(guī)則，可以將SIEM系統(tǒng)配置為自動(dòng)啟動(dòng)內(nèi)部升級(jí)流程——執(zhí)行腳本，這些腳本通過(guò)觸發(fā)警報(bào)、打開(kāi)票證等來(lái)啟動(dòng)包含進(jìn)程并將球傳遞到組織中的正確資源。

4、那么，SIEM如何提供幫助呢?

我們已經(jīng)定義了什么是SIEM，并且對(duì)組成SIEM系統(tǒng)的主要組件有了大致的了解。但是SIEM系統(tǒng)實(shí)際上是如何幫助安全分析人員識(shí)別和阻止攻擊的呢?

4.1可見(jiàn)性

對(duì)于安全分析人員來(lái)說(shuō)，SIEM系統(tǒng)是他們所保護(hù)的IT環(huán)境的焦點(diǎn)。SIEM系統(tǒng)集中收集來(lái)自所有相關(guān)數(shù)據(jù)源的安全數(shù)據(jù)，存儲(chǔ)大量信息，可以使用這些信息了解實(shí)時(shí)發(fā)生的事件和流程。

獲得的可見(jiàn)性程度直接受到作為SIEM系統(tǒng)一部分的日志聚合和收集過(guò)程的影響。如上所述，如果沒(méi)有適當(dāng)?shù)奶幚砗徒馕?，日志?shù)據(jù)將缺乏結(jié)構(gòu)，因此將更加難于分析。

SIEM系統(tǒng)的另一個(gè)主要優(yōu)點(diǎn)是能夠?qū)⑹录P(guān)聯(lián)起來(lái)并在儀表盤中可視化數(shù)據(jù)，這為分析人員提供了一種獲得實(shí)時(shí)可見(jiàn)性的方法。

4.2事件檢測(cè)和緩解

許多事件不會(huì)被第一行安全設(shè)備注意到，因?yàn)樗鼈儧](méi)有更廣泛的上下文。SIEM相關(guān)規(guī)則以及圍繞它們構(gòu)建的報(bào)告機(jī)制可以幫助組織在發(fā)生這些事件時(shí)得到通知。

在DDoS攻擊的例子中，防火墻很可能報(bào)告異常的網(wǎng)絡(luò)流量，而web服務(wù)器請(qǐng)求則報(bào)告來(lái)自特定ip組的請(qǐng)求的404響應(yīng)。

在這種情況下，緩解可能只是指示防火墻阻止來(lái)自這些ip的通信，可以將SIEM規(guī)則配置為在這兩個(gè)事件之間進(jìn)行關(guān)聯(lián)，并向相關(guān)資源發(fā)出警報(bào)，以便在早期阻止攻擊。

4.3合規(guī)

當(dāng)今大多數(shù)合規(guī)性類型，如HIPAA、PCI DSS、SOX和GDPR，都要求組織遵守一系列的安全控制。這些控制包括:日志收集、監(jiān)視、審計(jì)和警報(bào)。

不用說(shuō)，從上面的描述中已經(jīng)很清楚，SIEM系統(tǒng)為所有這些文章提供了支持，這也是SIEM成為實(shí)現(xiàn)安全性和合規(guī)性的行業(yè)標(biāo)準(zhǔn)的原因之一。

5、下一個(gè)什么?

這篇文章更多的是理論，而不是實(shí)踐。組織正在實(shí)現(xiàn)SIEM，以保護(hù)其環(huán)境，并遵從越來(lái)越多的合規(guī)類型。一旦組織將SIEM的需求內(nèi)在化，下一個(gè)自然階段就是規(guī)劃技術(shù)實(shí)現(xiàn)。

可以使用各種工具和平臺(tái)來(lái)實(shí)現(xiàn)SIEM，包括專有的(AlienVault、QRadar、LogRhythm)和開(kāi)源的(OSSIM、OSSEC、ELK)。在以后的文章中，我們將討論這個(gè)精確的主題，概述不同的解決方案及其優(yōu)缺點(diǎn)。