很多企業(yè)主要依靠安全信息和事件管理技術(shù)（SIEM）來生成周期性、集中的安全報(bào)告，這些報(bào)告用于合規(guī)性目的以及對攻擊事件事后檢測及調(diào)查。不過，大多數(shù)SIEM平臺其實(shí)還能夠執(zhí)行實(shí)時分析。

這意味著它們可接收最新安全事件日志數(shù)據(jù)、持續(xù)監(jiān)測和分析所有最近收集的數(shù)據(jù)，以及確定需要采取進(jìn)一步行動的事件。這可能涉及更密切地監(jiān)控特定網(wǎng)絡(luò)連接、生成警報(bào)讓安全運(yùn)營中心人員作出回應(yīng)，或者調(diào)配其他企業(yè)安全控制來阻止正在進(jìn)行的攻擊。

現(xiàn)在很多企業(yè)正在利用SIEM產(chǎn)品的實(shí)時分析功能來更快速檢測和阻止攻擊，這可幫助減少重大數(shù)據(jù)泄露和其他攻擊活動。下面讓我們看看在評估SIEM系統(tǒng)用于實(shí)時分析時應(yīng)考慮的三個因素：

多種分析技術(shù)。不同的情況需要不同的分析技術(shù)或技術(shù)組合。例如，通過基于簽名的技術(shù)來檢測攻擊可能比其他方法更快，但這也很容易被攻擊者繞過，讓其失去效用。

SIEM平臺應(yīng)該支持可查找異常事件、用戶行為模式改變、統(tǒng)計(jì)異常和其他突發(fā)性活動的技術(shù)。此外，SIEM產(chǎn)品還應(yīng)該為每種情況使用正確的技術(shù)。

事件關(guān)聯(lián)功能。SIEM最大優(yōu)勢之一是它可發(fā)現(xiàn)單個事件的關(guān)聯(lián)部分或者多個日志的相關(guān)事件，并結(jié)合這些來看到整個局面。例如，網(wǎng)絡(luò)入侵防御系統(tǒng)可能檢測到服務(wù)器正受到攻擊，但需要訪問服務(wù)器的操作系統(tǒng)和應(yīng)用日志來確定攻擊是否成功以及發(fā)生了什么。

而SIEM平臺可自動分析所有這些日志，它們可更詳細(xì)描述發(fā)生了什么。在某些情況下，SIEM平臺可發(fā)現(xiàn)一系列相關(guān)事件，讓人類分析師可追蹤攻擊者在整個公司的活動。

威脅情報(bào)支持和使用。威脅情報(bào)源可提供有關(guān)最新檢測到的威脅的信息，例如攻擊其他企業(yè)的設(shè)備的IP地址。SIEM利用威脅情報(bào)信息可顯著提高其實(shí)時分析能力，讓攻擊檢測更快更準(zhǔn)確，并讓SIEM平臺可更好地優(yōu)先排序其操作。

有些SIEM平臺使用供應(yīng)商提供的威脅情報(bào)；其他平臺還支持使用第三方威脅情報(bào)。這種威脅情報(bào)的質(zhì)量非常重要，質(zhì)量包括更新頻率、是否全面以及精確度。同樣重要的是考慮SIEM產(chǎn)品如何利用這些威脅情報(bào)，這應(yīng)該是實(shí)時分析考慮的因素之一。不平衡的做法可能會顯著增加誤報(bào)或漏報(bào)率，讓實(shí)時分析事倍功半。