■

SIEM需要一種最佳方法和全新功能（這些功能可能位于SIEM內(nèi)部或作為獨(dú)立功能與SIEM一起合作）的組合。此外，企業(yè)還需要更新的部署選擇，如可管理服務(wù)。

誠然，沒有SIEM，要實(shí)現(xiàn)健全的網(wǎng)絡(luò)安全是很困難的。比如，有的大型公司每小時(shí)需要及時(shí)處理的事件達(dá)1000萬次以上。單靠人工是無法做到這一點(diǎn)的。然而，良好的SIEM可以將此數(shù)字降到100以下。

另一方面，如果SIEM沒有配置正確，它也會(huì)產(chǎn)生一些浪費(fèi)時(shí)間的假情報(bào)，使人產(chǎn)生“狼其實(shí)沒有來的感覺”。當(dāng)然，“似非而是”的假情報(bào)同樣糟糕，因?yàn)樗鼤?huì)透露一種虛假的安全感。

如果企業(yè)能夠正確實(shí)施SIEM，就能夠在整個(gè)企業(yè)中提供一種全面的安全觀和事件關(guān)聯(lián)。而且，SIEM還能夠極大地增強(qiáng)事件響應(yīng)和取證功能。

另一方面，在事件發(fā)生時(shí)SIEM能夠檢測(cè)事件，將這些事件與有漏洞的系統(tǒng)關(guān)聯(lián)起來，并能夠幾乎適時(shí)地響應(yīng)攻擊。

SIEM及其問題

使用SIEM的公司與其生產(chǎn)廠商之間在對(duì)SIEM的期望以及公司需要向SIEM投入哪些資源問題上存在很大分歧。因而，公司可能希望投入1.5個(gè)全時(shí)當(dāng)量來實(shí)施SIEM，而廠商認(rèn)為企業(yè)需要三到四個(gè)全時(shí)當(dāng)量。

實(shí)施SIEM時(shí)如果人員配備不足其實(shí)效性將大打折扣，不斷增長(zhǎng)的事件負(fù)載會(huì)使有效地管理和響應(yīng)十分困難。

大型公司更有可能擁有必要的資源實(shí)施和使用SIEM，但對(duì)于小型企業(yè)，信息損害的警告數(shù)量仍很巨大。

因而，確認(rèn)安全事件簡(jiǎn)直無異于大海撈針。SIEM方案可能很擅長(zhǎng)找到“針”。問題是，在大型企業(yè)這些“針”的數(shù)量仍很巨大。所以，SIEM在獲取與分析有關(guān)額外功能方面已經(jīng)成熟，但在過去的兩年間，廠商們已經(jīng)開始轉(zhuǎn)向分析和情報(bào)智能，所以這些原始的警告可能會(huì)得到更好的分析和優(yōu)化。

SIEM仍不完善。由于多數(shù)攻擊源自公司內(nèi)聯(lián)網(wǎng)的外部，那么包含損害的事件日志有何益處呢？SIEM已經(jīng)能夠改善其信噪比，并提供那些資產(chǎn)由于安全事件而需要關(guān)注的審查以及合規(guī)報(bào)告、日志分析以及其他領(lǐng)域的意見。

但是，SIEM的完善程度與其包含的信息密切相關(guān)。如果缺乏關(guān)于特定攻擊的情報(bào)，SIEM的廠商們不太可能確認(rèn)某種高級(jí)持續(xù)性威脅。簡(jiǎn)言之，SIEM的智能性與其獲得的數(shù)據(jù)有緊密關(guān)聯(lián)。

SIEM不失為強(qiáng)大的工具。SIEM平臺(tái)在過去的幾年確實(shí)有了巨大改觀。例如，有些SIEM產(chǎn)品提供“重放”功能，可以使管理員重新生成過去的事件或攻擊，因而就可以制定一種新策略以應(yīng)對(duì)將來再次發(fā)生的攻擊。

警告和響應(yīng)在多數(shù)SIEM平臺(tái)中也有了改善。早期自動(dòng)響應(yīng)的實(shí)施引起了問題，例如，當(dāng)警告是虛假情報(bào)時(shí)，企業(yè)卻據(jù)以采取了措施。如今，自動(dòng)響應(yīng)系統(tǒng)的困難已得到了解決。企業(yè)越來越滿意，因?yàn)槠銼IEM能夠正確地將攻擊與來自其它工具（如Web內(nèi)容過濾產(chǎn)品）的信息關(guān)聯(lián)起來，并正確地進(jìn)行響應(yīng)。

一般來說，企業(yè)使用SIEM有兩個(gè)原因，一是發(fā)現(xiàn)安全威脅或安全損害的證據(jù)，二是確保其企業(yè)遵循規(guī)范標(biāo)準(zhǔn)。SIEM捕獲的這兩類數(shù)據(jù)日志都在增長(zhǎng)，尤其是SIEM平臺(tái)開始從移動(dòng)設(shè)備中捕獲使用和事件。因而，有些廠商正努力將業(yè)務(wù)情報(bào)和分析工具與SIEM數(shù)據(jù)結(jié)合起來。安全企業(yè)使用高級(jí)數(shù)據(jù)方法做出前瞻性的決策，數(shù)據(jù)倉儲(chǔ)、業(yè)務(wù)情報(bào)和SIEM的結(jié)合能更好地發(fā)現(xiàn)和響應(yīng)新的威脅。

有些廠商和用戶正開始試驗(yàn)新技術(shù)，如將大數(shù)據(jù)用于安全目的，在SIEM上的現(xiàn)有投資事實(shí)上正在改進(jìn)性能。為了這些目的，SIEM技術(shù)的最大優(yōu)點(diǎn)就是其能夠執(zhí)行適時(shí)的關(guān)聯(lián)，而無需大量編碼或開發(fā)復(fù)雜的算法。此外，SIEM還有能力在大范圍內(nèi)從多個(gè)源接收信息（其中既有傳統(tǒng)的IT數(shù)據(jù)又有各種形式的參考數(shù)據(jù)），用以建立業(yè)務(wù)環(huán)境并支持工作流的自動(dòng)化，這會(huì)簡(jiǎn)化事件的處理和報(bào)告。

但這并不意味著SIEM簡(jiǎn)化了處理過程。雖然廠商們提供更多預(yù)置的使用案例邏輯和報(bào)告，但將SIEM用于信息風(fēng)險(xiǎn)的使用案例仍需要大量的定制。大型的SIEM系統(tǒng)還是勞動(dòng)密集型的，尤其是在其吸收的數(shù)據(jù)量不斷增加時(shí)。由于這些原因，許多企業(yè)選擇獲得外部幫助，例如通過專業(yè)服務(wù)或可管理服務(wù)。

可管理服務(wù)的選擇

事實(shí)上，在部署SIEM系統(tǒng)時(shí)要涉及的方面很廣，而且其操作和管理都復(fù)雜。而且，付款卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）推動(dòng)著大型企業(yè)采用SIEM方案，而中小型企業(yè)擔(dān)心自己會(huì)遭受高級(jí)持續(xù)性威脅，所以愿意采用SIEM，這會(huì)導(dǎo)致中小型企業(yè)關(guān)注擁有可管理安全服務(wù)供應(yīng)商的SIEM方案。

SIEM方案應(yīng)當(dāng)能夠智能地關(guān)聯(lián)需要關(guān)注的重大事件。提供事件數(shù)據(jù)的源系統(tǒng)正不斷地發(fā)生變化，而隨著攻擊變得越來越多層化和復(fù)雜化，SIEM面臨的挑戰(zhàn)看起來就是關(guān)聯(lián)新的源和數(shù)據(jù)類型?？晒芾淼腟IEM方案與內(nèi)部審查和響應(yīng)過程相結(jié)合已經(jīng)被證明是一種成功的方案。

但企業(yè)給內(nèi)部部署的SIEM配備人員面臨著非常大的挑戰(zhàn)，除非企業(yè)使用全天候工作模式。在復(fù)雜的大型公司，全天候的安全操作中心能夠檢測(cè)和響應(yīng)跨越企業(yè)多個(gè)業(yè)務(wù)單元的高級(jí)持續(xù)性威脅事件。

在部署這種監(jiān)視時(shí)，這種經(jīng)驗(yàn)看似成為了一個(gè)使用強(qiáng)健的集中化方法的理由。而且，能夠?qū)①Y產(chǎn)和漏洞數(shù)據(jù)進(jìn)行綁定，并與攻擊發(fā)生關(guān)聯(lián)，這會(huì)帶來一種更集中和更智能的事件響應(yīng)。然而，有多少公司能夠達(dá)到這種成熟水平呢？

另一方面，采用可管理方案也存在問題，其中包括必須信任第三方以有效地監(jiān)視和強(qiáng)化事件，在發(fā)生事件時(shí)與公司協(xié)作，甚至在第三方退出服務(wù)或完全結(jié)束業(yè)務(wù)時(shí)，企業(yè)還要應(yīng)對(duì)由此造成的后果。因而，許多公司正積極尋求“人員增加模式”，以解決晚間和周末的問題，而不是采用完全可管理的服務(wù)，但許多供應(yīng)商并不支持。使用可管理服務(wù)依賴于預(yù)算和可用的才能。使用可管理服務(wù)的效益之一是企業(yè)有可能獲得最佳的安全體驗(yàn)、建議和教訓(xùn)，因?yàn)橛心芰Φ墓?yīng)商可能有許多經(jīng)驗(yàn)。可管理服務(wù)對(duì)公司來說可能說是好事，但是企業(yè)對(duì)于是否自己動(dòng)手還是將其外包給可管理的服務(wù)供應(yīng)商這個(gè)問題，需要進(jìn)行成本效益分析。

然而，這種方法未必適合每個(gè)企業(yè)。適應(yīng)于大型企業(yè)的SIEM設(shè)備有其生命力。這是因?yàn)槠髽I(yè)尋求整合更多的環(huán)境數(shù)據(jù)，如捕獲的數(shù)據(jù)包和漏洞數(shù)據(jù)，因而企業(yè)的存儲(chǔ)和處理需求更多。相反，雖然像云SIEM產(chǎn)品等如今都可用，但對(duì)于大型企業(yè)來說，仍不適用，這是由于數(shù)據(jù)保留要求以及歷史數(shù)據(jù)的在線訪問要求，還有與其他內(nèi)部系統(tǒng)進(jìn)行集成的需要等。

事實(shí)上，將大量的內(nèi)部和外部數(shù)據(jù)與威脅檢測(cè)關(guān)聯(lián)起來，可促使更多企業(yè)愿意采用一種可管理服務(wù)的“合作共源模式”：第三方幫助企業(yè)管理常駐于企業(yè)內(nèi)部的SIEM基礎(chǔ)架構(gòu)。

使SIEM響應(yīng)更快和更高效的另一種方法是用專門的情報(bào)組件進(jìn)行強(qiáng)化，使其執(zhí)行對(duì)象感知和狀態(tài)攻擊的檢測(cè)。這種方法有助于實(shí)施一些重要的實(shí)時(shí)檢測(cè)功能，而不會(huì)降低中央SIEM架構(gòu)的性能。例如，從高級(jí)數(shù)據(jù)分析功能中剝離日志存儲(chǔ)和收集這些功能有助于增加效率和性能，卻不會(huì)犧牲用于取證或合規(guī)目的的數(shù)據(jù)量。

這些分布式更強(qiáng)的架構(gòu)繼續(xù)利用SIEM實(shí)施與中心的關(guān)聯(lián)和工作流的管理，這非常有益，因?yàn)檫@種架構(gòu)可以解決監(jiān)視更多復(fù)雜環(huán)境的挑戰(zhàn)，同時(shí)又可以減輕傳統(tǒng)的SIEM所面臨的性能和容量問題。

新出現(xiàn)的最佳方法

在部署SIEM方案時(shí)，你需要記住幾個(gè)關(guān)鍵問題。首先，理解你要回答哪些問題，然后利用使用案例決定將哪些數(shù)據(jù)提供給SIEM。通常，SIEM部署時(shí)的數(shù)據(jù)負(fù)擔(dān)過重，分析人員并不能真正在其日常的工作流程中使用這些數(shù)據(jù)。

其次，很重要的一點(diǎn)是，要確保將數(shù)據(jù)發(fā)送給SIEM方案的設(shè)備配置正確。此外，我們必須管理進(jìn)入SIEM的安全數(shù)據(jù)的信噪比。太多情況下，提供給SIEM的日志是噪音，而來自不健全的入侵檢測(cè)系統(tǒng)或反病毒系統(tǒng)的虛假信息又造成混亂。要確保所有這些設(shè)備配置正確，或者將數(shù)據(jù)的接收配置正確，這對(duì)于支持高效的分析工作流十分關(guān)鍵，而且也不至于使系統(tǒng)負(fù)擔(dān)過重。

雖然許多SIEM部署重視理解現(xiàn)有的事件數(shù)據(jù)，而另一類所謂的下游設(shè)備根據(jù)發(fā)送給SIEM的已知惡意活動(dòng)發(fā)出警告。我們可以看到有的分析人員努力找到日志數(shù)據(jù)中已知的異常活動(dòng)，這一般被稱為“打獵”，這些分析要求借助大量的原始數(shù)據(jù)。

這種原始數(shù)據(jù)包括典型的安全日志，也包括來自企業(yè)其它部分的數(shù)據(jù)，這些數(shù)據(jù)以往被認(rèn)為不屬于常規(guī)的安全監(jiān)視范圍，其中包括人力資源數(shù)據(jù)、電子郵件記錄、應(yīng)用程序日志等等。分析師利用其業(yè)務(wù)環(huán)境、網(wǎng)絡(luò)架構(gòu)等方面的知識(shí)以及對(duì)企業(yè)所使用協(xié)議的精確理解等，可以判定正常及惡意的活動(dòng)。工作流程包括反復(fù)確認(rèn)已知的善意通信，以及重視其余的通信。這可稱為“大海撈針”。但是，許多SIEM產(chǎn)品正在努力實(shí)現(xiàn)靈活的數(shù)據(jù)接收、定制化（以支持分析專門的查詢）、可擴(kuò)展性（以支持這些新出現(xiàn)的工作流程）。

這種轉(zhuǎn)變已經(jīng)使安全分析人員轉(zhuǎn)而救助于大數(shù)據(jù)方案（往往是Hadoop的變種）。在筆者與關(guān)鍵基礎(chǔ)架構(gòu)分析人員的交流過程中，常常感覺到他們對(duì)于增強(qiáng)定制化水平的需要，以及重視構(gòu)建其自己的定制方案而不是完全定制廠商產(chǎn)品的渴求，其目的當(dāng)然是為了滿足自己的具體需要。

當(dāng)然，所有這些活動(dòng)都主要依賴于數(shù)據(jù)質(zhì)量。因而，隨著業(yè)務(wù)發(fā)展和分析人員更好地理解數(shù)據(jù)的價(jià)值，配置問題（接收哪些數(shù)據(jù)以及分析人員尋求哪些數(shù)據(jù)）都要經(jīng)常變化。雖然在定制方案或在內(nèi)部的部署中這往往易于實(shí)施，但也可得到MSSP的支持，前提條件是企業(yè)將靈活性構(gòu)建到合同中。

雖然我們看到了從傳統(tǒng)的SIEM產(chǎn)品的一種轉(zhuǎn)變，但廠商們還在快速適應(yīng)，以滿足市場(chǎng)的定制化和可擴(kuò)展性的需要。尤其是有些產(chǎn)品能夠利用大數(shù)據(jù)方案，使分析人員能夠創(chuàng)建定制的工作流程，并運(yùn)行自己特定的查詢。

SIEM的成功所要求的不僅僅是技術(shù)。獲取SIEM價(jià)值的最大挑戰(zhàn)來自于人員和過程因素，而不是技術(shù)本身。

部署SIEM要求大量的整體思維。SIEM在與一些互補(bǔ)性技術(shù)結(jié)合使用時(shí)，確實(shí)可以很好地工作，但是要讓全部功能協(xié)作會(huì)面臨諸多挑戰(zhàn)，并存在許多技術(shù)障礙。此外，將各種組件連接起來、解析沒有充足細(xì)節(jié)的日志數(shù)據(jù)等都代表著部署SIEM過程中的技術(shù)障礙。

因而，筆者建議企業(yè)在部署時(shí)要從小到大，具有目標(biāo)和針對(duì)性，并考慮到未來的擴(kuò)展。最大的錯(cuò)誤并不是管理期望過高以及部署面鋪得過大（這會(huì)導(dǎo)致高成本以及實(shí)施的復(fù)雜化）。事實(shí)上，許多公司一開始就想做到大而全的集中化部署，然后立即打開所有的功能。這些部署在人員和可擴(kuò)展的技術(shù)架構(gòu)等方面沒有進(jìn)行正確的資源配置，這可能會(huì)導(dǎo)致部署的停滯或完全失敗。另一個(gè)錯(cuò)誤是過于關(guān)注合規(guī)。PCI的合規(guī)仍是這種部署的重要因素，但僅僅為了合規(guī)而簡(jiǎn)單地部署SIEM并不可能提供真正的價(jià)值。

保證修復(fù)和事件響應(yīng)過程的正確需要花費(fèi)時(shí)間，并需要在整個(gè)企業(yè)中的協(xié)作和協(xié)調(diào)一致的過程。我們不能簡(jiǎn)單地部署軟件而不解決人員和過程因素。

簡(jiǎn)言之，SIEM應(yīng)成為企業(yè)優(yōu)先考慮的問題。正確部署SIEM需要花費(fèi)資金、資源以及在整個(gè)企業(yè)中的協(xié)作。其中企業(yè)要面對(duì)諸多挑戰(zhàn)，但系統(tǒng)目錄的清查、定義良好的標(biāo)準(zhǔn)和進(jìn)入事件響應(yīng)和修復(fù)活動(dòng)的過程等通常都代表著真正的挑戰(zhàn)。

找到正確的專業(yè)技術(shù)人員以及充足的資源是確保SIEM成功的首要挑戰(zhàn)。這是提高SIEM方案完善程度的重要因素。但是，一般情況下，在部署SIEM時(shí)，企業(yè)的人員配置往往根據(jù)所期望的警告水平而任意配置。以后，管理員往往被要求處理并集成更高級(jí)的警告，但沒有更多資源。我們可以使用技術(shù)來過濾信息，但在涉及到警告時(shí)，我們確實(shí)需要人員來分析確定企業(yè)在何時(shí)采取哪些行動(dòng)。

另外，還有一個(gè)SIEM在企業(yè)內(nèi)的行政所有權(quán)問題。安全操作往往涉及到企業(yè)的很多方面，但從SIEM的觀點(diǎn)看，在部門內(nèi)部可能存在孤島系統(tǒng)。例如，人力資源部門就需要跟蹤哪些人是當(dāng)前的雇員而哪些人不是。獲得訪問可能涉及到跨越部門之間的邊界問題，并要求企業(yè)將SIEM的價(jià)值傳達(dá)到整個(gè)企業(yè)。

與此類似的是，在企業(yè)合并或并購時(shí)，有可能給SIEM的實(shí)施帶來額外的復(fù)雜性。例如，某大型公司A并購了一小型企業(yè)，該公司發(fā)現(xiàn)小型公司遭受了攻擊。A公司需要保證并沒有將遭到損害的網(wǎng)絡(luò)集成到現(xiàn)有的運(yùn)作中。此外，A公司需要更好地監(jiān)視新的實(shí)施，用以發(fā)現(xiàn)真正遭受攻擊的系統(tǒng)或區(qū)域。這個(gè)挑戰(zhàn)就像是在汽車運(yùn)動(dòng)時(shí)試圖更換輪胎一樣。

SIEM還會(huì)有哪些進(jìn)一步的技術(shù)改進(jìn)？筆者認(rèn)為有許多新的特性可歸入到SIEM中，例如，有些SIEM現(xiàn)在能夠接收流數(shù)據(jù)，并能對(duì)異常做出標(biāo)記。這種功能雖然有用，卻需要有人深入分析細(xì)節(jié)。此外，由于客戶端收集海量的數(shù)據(jù)，筆者認(rèn)為越來越多的方案會(huì)進(jìn)行擴(kuò)展，并以使數(shù)據(jù)可用且立即可行的速度執(zhí)行并行處理。