安全信息与事件管理软件SIEM自2005年由几位Gartner分析师首次推出以来,就一直是企业软件的重要组成部分。SIEM是一个统称,定义了管理大量事件日志数据的方法,旨在帮助监控企业的安全状况,并提供早期警告,以防止应用程序的妥协或不当行为。
SIEM的起源来自于几十年来流行的日志管理工具,被重新设计以专注于安全场景。现代SIEM产品结合了本地和云端的日志与访问数据,并使用各种API查询来调查询安事件,从而推动自动化缓解和事件响应。Forrester的分析师Allie Mellen告诉CSO:“云和本地环境在这里是互补的,因为云提供了有效的扩展能力,而本地解决方案对于那些希望通过管理部署的运营方面来节省资金的企业非常有用。”
SIEM产品的核心是提炼大量的遥测数据,以提供可操作且及时的安全洞察。当警报数量增加时,这些产品需要过滤出更重要的事件,以便让安全运营中心SOC的分析师集中精力。这就需要对自动化、编排和各种安全响应技术的仔细和有意义的应用。Gigaom的Andrew Green在其2024年报告中指出,“考虑到更多的相互依赖关系,IT买家必须意识到部署SIEM解决方案将如何影响其现有安全产品生态系统、涉及的成本,以及分析师的体验。”
自SIEM首次被认可为产品类别以来,其目的和功能已经扩展。其主要组成部分可以覆盖以下几项技术:
SIEM关键组成描述日志解析与分析SIEM可以解析和分析各种日志文件,包括防火墙、服务器、路由器等,成为安全运营中心的“神经中枢”。威胁信息源添加各类威胁情报来源,用于关联日志条目,识别潜在威胁。风险评分与推荐许多SIEM可以进行风险评分,并生成基于分数的推荐行动。编排与响应功能提供SOC任务的自动化功能,并增强整体安全工具的有效性。典型的SIEM产品遵循三个广泛的阶段。首先,它收集并聚合来自不同网络和应用基础设施的安全源数据。多年来,SIEM软件的关注范围已扩展到收集本地和云端系统的数据。其独特之处在于它们能够在任何给定时间内摄入和分类的数据量。“随着越来越多的数字基础设施和服务对每个企业变得至关重要,SIEM工具必须处理越来越高的数据量,”Gigaom的Green写道。以Kubernetes日志为例,它们可以以多种形式出现,包括常规审计日志、控制器进程日志和调度事件等,这些日志都可能包含重要的安全情报。因此,潜在的SIEM买家需要了解一个产品的覆盖深度。
白鲸加速器官网其次,SIEM会近实时分析和报告企业中存在的威胁或检测到的异常情况。这推动了第三个阶段,指导任何响应、缓解措施以及推荐的合规活动。Green及其他分析师指出,随着法规的增多,SIEM变得不可或缺,有时其使用甚至是法律合规程序的强制要求。
SIEM产品有几个关键好处,与其主要组件技术相匹配。
首先,
白鲸加速器最新版1.45上线,优化节点调度与连接速度,提升日常使用流畅度。
