在本文中,專家Karen Scarfone介紹了企業評估安全信息和事件管理(SIEM)產品的重要標準。
安全信息和事件管理(SIEM)產品及服務負責從大量企業安全控件、主機操作系統、企業應用和企業使用的其他軟件收集安全日志數據,并進行分析和報告。有些SIEM還可以試圖阻止它們檢測到正在進行的攻擊,這可能幫助阻止破壞或者限制成功攻擊可能造成的損壞。
現在有很多可用的SEIM系統,包括“輕量級”SIEM產品—專門針對負擔不起或感覺他們不需要全功能SIEM的企業。對于企業來說,確定要評估哪些產品已經是相當大的挑戰,更遑論選擇最適合特定企業或部門的產品。SIEM評估過程應包括創建標準清單,以列出企業特別需要考慮的SIEM功能。
本文中提供了一些標準(也就是問題)以幫助企業進行SIEM評估。由于 “輕量級”產品提供較少的功能,它們更容易評估,所以它們不在本文的討論范圍。這篇文章中探討的是“常規”SIEM中值得特別關注的方面。
1. SIEM能為相關日志來源提供多少本地支持?
如果SIEM無法接收和理解來自所有企業感興趣的日志產生源的日志數據,那么,SIEM沒有那么多價值。其中最常見的是企業安全控件,例如防火墻、虛擬專用網、入侵防御系統、電子郵件和網絡安全網關,以及反惡意軟件產品。SIEM應該可以本地了解任何主要產品或這類云服務產生的日志文件。
此外,SIEM應該對企業使用的操作系統品牌和版本產生的日志文件提供本地支持。其中的例外是移動設備操作系統,這通常不提供任何安全日志記錄功能。SIEM還應該本地支持企業的主要數據庫平臺,以及讓多個用戶與敏感數據交互的任何企業應用。對企業使用的其他軟件提供本地SIEM支持也不錯,但并不是必要功能。
如果SIEM無法本地支持日志源,那么,企業通常可以開發自定義代碼來提供必要的支持,或者使用沒有日志來源數據的SIEM。
2. SIEM能否補充現有日志記錄功能?
企業使用的特定應用和其他軟件可能缺乏強大的日志記錄功能。有些SIEM產品和服務可通過代表其他軟件執行其自己的監控來補充這些功能。從本質上來說,這擴展了SIEM,讓它不只是集中式日志收集、分析和報告解決方案,同時也可代表其他主機產生原始日志數據。
3.SIEM可如何有效地利用威脅情報?
大多數SIEM能夠獲取威脅情報信息。這些情報信息通常是通過單獨訂閱各種服務而獲取,其中包括世界各地發現的最新威脅活動情報,包括哪些主機正被用于發起攻擊,以及這些攻擊有什么特性等。在SIEM中使用這些威脅情報的最大價值在于能夠更準確地發現攻擊,以及做出更明智的決策,通常還可自動確定需要阻止哪些攻擊,以及阻止它們的最佳方法。
當然,在供應商之間,威脅情報的質量各不相同。當評估威脅情報有效性時需要考慮的因素包括威脅情報更新的頻率,以及威脅情報供應商如何表達對每個威脅惡意性質。
4. SIEM產品可提供哪些取證功能?
傳統上來講,SIEM只收集其他日志源提供的數據。然而,最近有些SIEM產品添加了各種取證功能,可收集它們自己有關可疑活動的數據。常見的例子是SIEM產品能夠對惡意活動相關的網絡連接進行全數據包捕獲。假設這些數據包未加密,SIEM分析師可更密切地審查其內容,以更好地了解這些活動的性質。取證的另一個方面是主機活動日志記錄;這種日志記錄可在任何時候執行,或者當發現涉及特定主機的可疑活動時觸發。
5. SIEM產品提供哪些功能來協助執行數據分析?
用于事件檢測和/或處理的SIEM產品應該提供功能來幫助人們審查和評估SIEM自己的日志數據,以及SIEM自己的警報和其他發現。其中一個原因是,即使是高度精確的SIEM偶爾也會誤報事件,所以人們需要有一種方法來驗證SIEM的結果。另一個原因是調查事件的人們需要可用的界面來方便這些調查。這種界面的例子包括高級搜索功能和數據可視化功能等。
6. SIEM自動響應功能是否及時、安全和有效?
評估SIEM產品的自動響應功能是企業需要做的工作,因為這非常涉及企業的網絡架構、網絡安全控件和安全的其他方面。例如,特定SIEM產品可能不能導向企業的防火墻或其他網絡安全控件來終止攜帶惡意活動的連接。除了確保SIEM產品可將其需求傳達到其他主要安全控件外,同樣重要的是要考慮以下幾個特征:
· 及時性:SIEM檢測攻擊和引導適當的安全控件來阻止攻擊要多長時間?
· 安全性:SIEM和其他安全控件之間的通信如何受到保護以防止竊聽和篡改?
· 有效性:SIEM產品在損壞發生前阻止攻擊的有效性如何?
7. 具有內置報告的SIEM支持哪些安全合規要求?
大多數SIEM提供高度定制的報告功能。很多這些產品還提供內置支持以生成符合各種安全合規要求的報告。每個企業應確定哪些舉措適用于它,然后確保SIEM產品支持盡可能多的合規要求。對于SIEM不支持的合規要求,確保其報告功能可很容易地進行定制,以滿足這些合規報告要求。
做好你的工作以及評估
SIEM是復雜的技術,它需要與企業安全控件以及各種主機的全面整合。為了評估最適合你企業的SIEM產品,你應該定義基本評估標準。并沒有適合所有企業的單個最佳SIEM產品;每個環境都有自己的IT特征和安全需求。即使是部署SIEM的主要目的,都可能非常不同,例如滿足合規報告要求或者協助事件檢測。
因此,每個企業在購買SIEM產品或服務前都應該進行自己的評估工作。本文中介紹了一些企業在評估中應該考慮的標準,但這并不是說其他標準都沒有必要。企業應將本文列出的標準作為出發點,以根據自己的需求構建自己的SIEM標準清單。這將幫助確保企業選擇最佳SIEM產品。
京公網安備 11010502049343號