■

SIEM需要一種最佳方法和全新功能（這些功能可能位于SIEM內(nèi)部或作為獨立功能與SIEM一起合作）的組合。此外，企業(yè)還需要更新的部署選擇，如可管理服務(wù)。

誠然，沒有SIEM，要實現(xiàn)健全的網(wǎng)絡(luò)安全是很困難的。比如，有的大型公司每小時需要及時處理的事件達(dá)1000萬次以上。單靠人工是無法做到這一點的。然而，良好的SIEM可以將此數(shù)字降到100以下。

另一方面，如果SIEM沒有配置正確，它也會產(chǎn)生一些浪費時間的假情報，使人產(chǎn)生“狼其實沒有來的感覺”。當(dāng)然，“似非而是”的假情報同樣糟糕，因為它會透露一種虛假的安全感。

如果企業(yè)能夠正確實施SIEM，就能夠在整個企業(yè)中提供一種全面的安全觀和事件關(guān)聯(lián)。而且，SIEM還能夠極大地增強事件響應(yīng)和取證功能。

另一方面，在事件發(fā)生時SIEM能夠檢測事件，將這些事件與有漏洞的系統(tǒng)關(guān)聯(lián)起來，并能夠幾乎適時地響應(yīng)攻擊。

SIEM及其問題

使用SIEM的公司與其生產(chǎn)廠商之間在對SIEM的期望以及公司需要向SIEM投入哪些資源問題上存在很大分歧。因而，公司可能希望投入1.5個全時當(dāng)量來實施SIEM，而廠商認(rèn)為企業(yè)需要三到四個全時當(dāng)量。

實施SIEM時如果人員配備不足其實效性將大打折扣，不斷增長的事件負(fù)載會使有效地管理和響應(yīng)十分困難。

大型公司更有可能擁有必要的資源實施和使用SIEM，但對于小型企業(yè)，信息損害的警告數(shù)量仍很巨大。

因而，確認(rèn)安全事件簡直無異于大海撈針。SIEM方案可能很擅長找到“針”。問題是，在大型企業(yè)這些“針”的數(shù)量仍很巨大。所以，SIEM在獲取與分析有關(guān)額外功能方面已經(jīng)成熟，但在過去的兩年間，廠商們已經(jīng)開始轉(zhuǎn)向分析和情報智能，所以這些原始的警告可能會得到更好的分析和優(yōu)化。

SIEM仍不完善。由于多數(shù)攻擊源自公司內(nèi)聯(lián)網(wǎng)的外部，那么包含損害的事件日志有何益處呢？SIEM已經(jīng)能夠改善其信噪比，并提供那些資產(chǎn)由于安全事件而需要關(guān)注的審查以及合規(guī)報告、日志分析以及其他領(lǐng)域的意見。

但是，SIEM的完善程度與其包含的信息密切相關(guān)。如果缺乏關(guān)于特定攻擊的情報，SIEM的廠商們不太可能確認(rèn)某種高級持續(xù)性威脅。簡言之，SIEM的智能性與其獲得的數(shù)據(jù)有緊密關(guān)聯(lián)。

SIEM不失為強大的工具。SIEM平臺在過去的幾年確實有了巨大改觀。例如，有些SIEM產(chǎn)品提供“重放”功能，可以使管理員重新生成過去的事件或攻擊，因而就可以制定一種新策略以應(yīng)對將來再次發(fā)生的攻擊。

警告和響應(yīng)在多數(shù)SIEM平臺中也有了改善。早期自動響應(yīng)的實施引起了問題，例如，當(dāng)警告是虛假情報時，企業(yè)卻據(jù)以采取了措施。如今，自動響應(yīng)系統(tǒng)的困難已得到了解決。企業(yè)越來越滿意，因為其SIEM能夠正確地將攻擊與來自其它工具（如Web內(nèi)容過濾產(chǎn)品）的信息關(guān)聯(lián)起來，并正確地進(jìn)行響應(yīng)。

一般來說，企業(yè)使用SIEM有兩個原因，一是發(fā)現(xiàn)安全威脅或安全損害的證據(jù)，二是確保其企業(yè)遵循規(guī)范標(biāo)準(zhǔn)。SIEM捕獲的這兩類數(shù)據(jù)日志都在增長，尤其是SIEM平臺開始從移動設(shè)備中捕獲使用和事件。因而，有些廠商正努力將業(yè)務(wù)情報和分析工具與SIEM數(shù)據(jù)結(jié)合起來。安全企業(yè)使用高級數(shù)據(jù)方法做出前瞻性的決策，數(shù)據(jù)倉儲、業(yè)務(wù)情報和SIEM的結(jié)合能更好地發(fā)現(xiàn)和響應(yīng)新的威脅。

有些廠商和用戶正開始試驗新技術(shù)，如將大數(shù)據(jù)用于安全目的，在SIEM上的現(xiàn)有投資事實上正在改進(jìn)性能。為了這些目的，SIEM技術(shù)的最大優(yōu)點就是其能夠執(zhí)行適時的關(guān)聯(lián)，而無需大量編碼或開發(fā)復(fù)雜的算法。此外，SIEM還有能力在大范圍內(nèi)從多個源接收信息（其中既有傳統(tǒng)的IT數(shù)據(jù)又有各種形式的參考數(shù)據(jù)），用以建立業(yè)務(wù)環(huán)境并支持工作流的自動化，這會簡化事件的處理和報告。

但這并不意味著SIEM簡化了處理過程。雖然廠商們提供更多預(yù)置的使用案例邏輯和報告，但將SIEM用于信息風(fēng)險的使用案例仍需要大量的定制。大型的SIEM系統(tǒng)還是勞動密集型的，尤其是在其吸收的數(shù)據(jù)量不斷增加時。由于這些原因，許多企業(yè)選擇獲得外部幫助，例如通過專業(yè)服務(wù)或可管理服務(wù)。

可管理服務(wù)的選擇

事實上，在部署SIEM系統(tǒng)時要涉及的方面很廣，而且其操作和管理都復(fù)雜。而且，付款卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）推動著大型企業(yè)采用SIEM方案，而中小型企業(yè)擔(dān)心自己會遭受高級持續(xù)性威脅，所以愿意采用SIEM，這會導(dǎo)致中小型企業(yè)關(guān)注擁有可管理安全服務(wù)供應(yīng)商的SIEM方案。

SIEM方案應(yīng)當(dāng)能夠智能地關(guān)聯(lián)需要關(guān)注的重大事件。提供事件數(shù)據(jù)的源系統(tǒng)正不斷地發(fā)生變化，而隨著攻擊變得越來越多層化和復(fù)雜化，SIEM面臨的挑戰(zhàn)看起來就是關(guān)聯(lián)新的源和數(shù)據(jù)類型?？晒芾淼腟IEM方案與內(nèi)部審查和響應(yīng)過程相結(jié)合已經(jīng)被證明是一種成功的方案。

但企業(yè)給內(nèi)部部署的SIEM配備人員面臨著非常大的挑戰(zhàn)，除非企業(yè)使用全天候工作模式。在復(fù)雜的大型公司，全天候的安全操作中心能夠檢測和響應(yīng)跨越企業(yè)多個業(yè)務(wù)單元的高級持續(xù)性威脅事件。

在部署這種監(jiān)視時，這種經(jīng)驗看似成為了一個使用強健的集中化方法的理由。而且，能夠?qū)①Y產(chǎn)和漏洞數(shù)據(jù)進(jìn)行綁定，并與攻擊發(fā)生關(guān)聯(lián)，這會帶來一種更集中和更智能的事件響應(yīng)。然而，有多少公司能夠達(dá)到這種成熟水平呢？

另一方面，采用可管理方案也存在問題，其中包括必須信任第三方以有效地監(jiān)視和強化事件，在發(fā)生事件時與公司協(xié)作，甚至在第三方退出服務(wù)或完全結(jié)束業(yè)務(wù)時，企業(yè)還要應(yīng)對由此造成的后果。因而，許多公司正積極尋求“人員增加模式”，以解決晚間和周末的問題，而不是采用完全可管理的服務(wù)，但許多供應(yīng)商并不支持。使用可管理服務(wù)依賴于預(yù)算和可用的才能。使用可管理服務(wù)的效益之一是企業(yè)有可能獲得最佳的安全體驗、建議和教訓(xùn)，因為有能力的供應(yīng)商可能有許多經(jīng)驗?？晒芾矸?wù)對公司來說可能說是好事，但是企業(yè)對于是否自己動手還是將其外包給可管理的服務(wù)供應(yīng)商這個問題，需要進(jìn)行成本效益分析。

然而，這種方法未必適合每個企業(yè)。適應(yīng)于大型企業(yè)的SIEM設(shè)備有其生命力。這是因為企業(yè)尋求整合更多的環(huán)境數(shù)據(jù)，如捕獲的數(shù)據(jù)包和漏洞數(shù)據(jù)，因而企業(yè)的存儲和處理需求更多。相反，雖然像云SIEM產(chǎn)品等如今都可用，但對于大型企業(yè)來說，仍不適用，這是由于數(shù)據(jù)保留要求以及歷史數(shù)據(jù)的在線訪問要求，還有與其他內(nèi)部系統(tǒng)進(jìn)行集成的需要等。

事實上，將大量的內(nèi)部和外部數(shù)據(jù)與威脅檢測關(guān)聯(lián)起來，可促使更多企業(yè)愿意采用一種可管理服務(wù)的“合作共源模式”：第三方幫助企業(yè)管理常駐于企業(yè)內(nèi)部的SIEM基礎(chǔ)架構(gòu)。

使SIEM響應(yīng)更快和更高效的另一種方法是用專門的情報組件進(jìn)行強化，使其執(zhí)行對象感知和狀態(tài)攻擊的檢測。這種方法有助于實施一些重要的實時檢測功能，而不會降低中央SIEM架構(gòu)的性能。例如，從高級數(shù)據(jù)分析功能中剝離日志存儲和收集這些功能有助于增加效率和性能，卻不會犧牲用于取證或合規(guī)目的的數(shù)據(jù)量。

這些分布式更強的架構(gòu)繼續(xù)利用SIEM實施與中心的關(guān)聯(lián)和工作流的管理，這非常有益，因為這種架構(gòu)可以解決監(jiān)視更多復(fù)雜環(huán)境的挑戰(zhàn)，同時又可以減輕傳統(tǒng)的SIEM所面臨的性能和容量問題。

新出現(xiàn)的最佳方法

在部署SIEM方案時，你需要記住幾個關(guān)鍵問題。首先，理解你要回答哪些問題，然后利用使用案例決定將哪些數(shù)據(jù)提供給SIEM。通常，SIEM部署時的數(shù)據(jù)負(fù)擔(dān)過重，分析人員并不能真正在其日常的工作流程中使用這些數(shù)據(jù)。

其次，很重要的一點是，要確保將數(shù)據(jù)發(fā)送給SIEM方案的設(shè)備配置正確。此外，我們必須管理進(jìn)入SIEM的安全數(shù)據(jù)的信噪比。太多情況下，提供給SIEM的日志是噪音，而來自不健全的入侵檢測系統(tǒng)或反病毒系統(tǒng)的虛假信息又造成混亂。要確保所有這些設(shè)備配置正確，或者將數(shù)據(jù)的接收配置正確，這對于支持高效的分析工作流十分關(guān)鍵，而且也不至于使系統(tǒng)負(fù)擔(dān)過重。

雖然許多SIEM部署重視理解現(xiàn)有的事件數(shù)據(jù)，而另一類所謂的下游設(shè)備根據(jù)發(fā)送給SIEM的已知惡意活動發(fā)出警告。我們可以看到有的分析人員努力找到日志數(shù)據(jù)中已知的異?；顒樱@一般被稱為“打獵”，這些分析要求借助大量的原始數(shù)據(jù)。

這種原始數(shù)據(jù)包括典型的安全日志，也包括來自企業(yè)其它部分的數(shù)據(jù)，這些數(shù)據(jù)以往被認(rèn)為不屬于常規(guī)的安全監(jiān)視范圍，其中包括人力資源數(shù)據(jù)、電子郵件記錄、應(yīng)用程序日志等等。分析師利用其業(yè)務(wù)環(huán)境、網(wǎng)絡(luò)架構(gòu)等方面的知識以及對企業(yè)所使用協(xié)議的精確理解等，可以判定正常及惡意的活動。工作流程包括反復(fù)確認(rèn)已知的善意通信，以及重視其余的通信。這可稱為“大海撈針”。但是，許多SIEM產(chǎn)品正在努力實現(xiàn)靈活的數(shù)據(jù)接收、定制化（以支持分析專門的查詢）、可擴展性（以支持這些新出現(xiàn)的工作流程）。

這種轉(zhuǎn)變已經(jīng)使安全分析人員轉(zhuǎn)而救助于大數(shù)據(jù)方案（往往是Hadoop的變種）。在筆者與關(guān)鍵基礎(chǔ)架構(gòu)分析人員的交流過程中，常常感覺到他們對于增強定制化水平的需要，以及重視構(gòu)建其自己的定制方案而不是完全定制廠商產(chǎn)品的渴求，其目的當(dāng)然是為了滿足自己的具體需要。

當(dāng)然，所有這些活動都主要依賴于數(shù)據(jù)質(zhì)量。因而，隨著業(yè)務(wù)發(fā)展和分析人員更好地理解數(shù)據(jù)的價值，配置問題（接收哪些數(shù)據(jù)以及分析人員尋求哪些數(shù)據(jù)）都要經(jīng)常變化。雖然在定制方案或在內(nèi)部的部署中這往往易于實施，但也可得到MSSP的支持，前提條件是企業(yè)將靈活性構(gòu)建到合同中。

雖然我們看到了從傳統(tǒng)的SIEM產(chǎn)品的一種轉(zhuǎn)變，但廠商們還在快速適應(yīng)，以滿足市場的定制化和可擴展性的需要。尤其是有些產(chǎn)品能夠利用大數(shù)據(jù)方案，使分析人員能夠創(chuàng)建定制的工作流程，并運行自己特定的查詢。

SIEM的成功所要求的不僅僅是技術(shù)。獲取SIEM價值的最大挑戰(zhàn)來自于人員和過程因素，而不是技術(shù)本身。

部署SIEM要求大量的整體思維。SIEM在與一些互補性技術(shù)結(jié)合使用時，確實可以很好地工作，但是要讓全部功能協(xié)作會面臨諸多挑戰(zhàn)，并存在許多技術(shù)障礙。此外，將各種組件連接起來、解析沒有充足細(xì)節(jié)的日志數(shù)據(jù)等都代表著部署SIEM過程中的技術(shù)障礙。

因而，筆者建議企業(yè)在部署時要從小到大，具有目標(biāo)和針對性，并考慮到未來的擴展。最大的錯誤并不是管理期望過高以及部署面鋪得過大（這會導(dǎo)致高成本以及實施的復(fù)雜化）。事實上，許多公司一開始就想做到大而全的集中化部署，然后立即打開所有的功能。這些部署在人員和可擴展的技術(shù)架構(gòu)等方面沒有進(jìn)行正確的資源配置，這可能會導(dǎo)致部署的停滯或完全失敗。另一個錯誤是過于關(guān)注合規(guī)。PCI的合規(guī)仍是這種部署的重要因素，但僅僅為了合規(guī)而簡單地部署SIEM并不可能提供真正的價值。

保證修復(fù)和事件響應(yīng)過程的正確需要花費時間，并需要在整個企業(yè)中的協(xié)作和協(xié)調(diào)一致的過程。我們不能簡單地部署軟件而不解決人員和過程因素。

簡言之，SIEM應(yīng)成為企業(yè)優(yōu)先考慮的問題。正確部署SIEM需要花費資金、資源以及在整個企業(yè)中的協(xié)作。其中企業(yè)要面對諸多挑戰(zhàn)，但系統(tǒng)目錄的清查、定義良好的標(biāo)準(zhǔn)和進(jìn)入事件響應(yīng)和修復(fù)活動的過程等通常都代表著真正的挑戰(zhàn)。

找到正確的專業(yè)技術(shù)人員以及充足的資源是確保SIEM成功的首要挑戰(zhàn)。這是提高SIEM方案完善程度的重要因素。但是，一般情況下，在部署SIEM時，企業(yè)的人員配置往往根據(jù)所期望的警告水平而任意配置。以后，管理員往往被要求處理并集成更高級的警告，但沒有更多資源。我們可以使用技術(shù)來過濾信息，但在涉及到警告時，我們確實需要人員來分析確定企業(yè)在何時采取哪些行動。

另外，還有一個SIEM在企業(yè)內(nèi)的行政所有權(quán)問題。安全操作往往涉及到企業(yè)的很多方面，但從SIEM的觀點看，在部門內(nèi)部可能存在孤島系統(tǒng)。例如，人力資源部門就需要跟蹤哪些人是當(dāng)前的雇員而哪些人不是。獲得訪問可能涉及到跨越部門之間的邊界問題，并要求企業(yè)將SIEM的價值傳達(dá)到整個企業(yè)。

與此類似的是，在企業(yè)合并或并購時，有可能給SIEM的實施帶來額外的復(fù)雜性。例如，某大型公司A并購了一小型企業(yè)，該公司發(fā)現(xiàn)小型公司遭受了攻擊。A公司需要保證并沒有將遭到損害的網(wǎng)絡(luò)集成到現(xiàn)有的運作中。此外，A公司需要更好地監(jiān)視新的實施，用以發(fā)現(xiàn)真正遭受攻擊的系統(tǒng)或區(qū)域。這個挑戰(zhàn)就像是在汽車運動時試圖更換輪胎一樣。

SIEM還會有哪些進(jìn)一步的技術(shù)改進(jìn)？筆者認(rèn)為有許多新的特性可歸入到SIEM中，例如，有些SIEM現(xiàn)在能夠接收流數(shù)據(jù)，并能對異常做出標(biāo)記。這種功能雖然有用，卻需要有人深入分析細(xì)節(jié)。此外，由于客戶端收集海量的數(shù)據(jù)，筆者認(rèn)為越來越多的方案會進(jìn)行擴展，并以使數(shù)據(jù)可用且立即可行的速度執(zhí)行并行處理。