一、概念

SIEM ( Security Information Event Management，安全信息與事件管理)

Gartner的定義：安全信息和事件管理（SIEM）技術(shù)通過(guò)對(duì)來(lái)自各種事件和上下文數(shù)據(jù)源的安全事件的實(shí)時(shí)收集和歷史分析來(lái)支持威脅檢測(cè)和安全事件響應(yīng)。它還通過(guò)分析來(lái)自這些來(lái)源的歷史數(shù)據(jù)來(lái)支持合規(guī)報(bào)告和事件調(diào)查。SIEM技術(shù)的核心功能是廣泛的事件收集，以及跨不同來(lái)源關(guān)聯(lián)和分析事件的能力。

SIEM技術(shù)已經(jīng)存在了十多年，是從日志管理學(xué)科發(fā)展而來(lái)的。最初是基于傳統(tǒng)的日志收集和管理，引入了對(duì)日志數(shù)據(jù)的長(zhǎng)期存儲(chǔ)，分析和報(bào)告，并將日志與威脅情報(bào)結(jié)合起來(lái)（SIM）；后來(lái)具備可以解決系統(tǒng)安全事件的能力：通過(guò)對(duì)防病毒系統(tǒng)、防火墻和入侵檢測(cè)等事件的聚合、關(guān)聯(lián)，實(shí)時(shí)分析日志和事件數(shù)據(jù)，提供威脅監(jiān)控和事件響應(yīng)（SEM）。

高級(jí)的SIEM已經(jīng)發(fā)展到包括用戶(hù)行為分析（UEBA）以及安全編排自動(dòng)響應(yīng)（SOAR）。

用戶(hù)行為分析（UEBA）- 高級(jí)SIEM超越了規(guī)則和相關(guān)性，利用AI和深度學(xué)習(xí)技術(shù)來(lái)研究人類(lèi)行為的模式，有助于檢測(cè)內(nèi)部威脅、針對(duì)性攻擊和欺騙。

安全編排自動(dòng)化響應(yīng)（SOAR） - SIEM與企業(yè)系統(tǒng)集成并自動(dòng)化響應(yīng)事件。例如，在攻擊者可以加密數(shù)據(jù)之前，SIEM可能會(huì)檢測(cè)到勒索軟件的警報(bào)并在受影響的系統(tǒng)上自動(dòng)執(zhí)行應(yīng)對(duì)操作。

二、作用

image.png

1、數(shù)據(jù)聚合

聚合來(lái)自網(wǎng)絡(luò)，服務(wù)器，數(shù)據(jù)庫(kù)，應(yīng)用程序和其他安全系統(tǒng)（如防火墻，防病毒和入侵檢測(cè)系統(tǒng)（IDS））的數(shù)據(jù)。

2、威脅情報(bào)提供

將內(nèi)部數(shù)據(jù)與包含漏洞，威脅參與者和攻擊模式數(shù)據(jù)的威脅情報(bào)源相結(jié)合。

3、關(guān)聯(lián)

將事件和相關(guān)數(shù)據(jù)鏈接到有意義的捆綁包中，這些捆綁包代表真正的安全事件，威脅，漏洞或取證發(fā)現(xiàn)。

4、Analytics（分析）

使用統(tǒng)計(jì)模型和機(jī)器學(xué)習(xí)來(lái)識(shí)別數(shù)據(jù)元素之間更深層次的關(guān)系，以及與已知趨勢(shì)相比的異常，并將它們與安全問(wèn)題聯(lián)系起來(lái)。

5、警報(bào)

分析事件并發(fā)出警報(bào)，通過(guò)電子郵件或其他方式，比如安全儀表板即時(shí)告知安全人員。

6、儀表板和可視化

創(chuàng)建可視化，以允許員工查看事件數(shù)據(jù)，識(shí)別不符合標(biāo)準(zhǔn)模式的活動(dòng)

7、合規(guī)

自動(dòng)收集合規(guī)性數(shù)據(jù)，生成適應(yīng)HIPAA，PCI / DSS，HITECH，SOX和GDPR等標(biāo)準(zhǔn)的安全性、治理和審計(jì)流程的報(bào)告。

8、存儲(chǔ)

長(zhǎng)期存儲(chǔ)歷史數(shù)據(jù)，以便為合規(guī)性要求、追蹤取證等提供數(shù)據(jù)。

9、威脅發(fā)現(xiàn)

允許安全人員對(duì)SIEM數(shù)據(jù)運(yùn)行查詢(xún)，過(guò)濾和透視數(shù)據(jù)，以主動(dòng)發(fā)現(xiàn)威脅或漏洞。

10、事件響應(yīng)

提供圍繞安全事件的案例管理，協(xié)作和知識(shí)共享，使安全團(tuán)隊(duì)能夠快速同步基本數(shù)據(jù)并及時(shí)響應(yīng)威脅。

11、SOC自動(dòng)化

使用API與其他安全解決方案集成，并允許安全人員定義應(yīng)執(zhí)行以響應(yīng)特定事件的自動(dòng)化手冊(cè)和工作流。

以下是評(píng)估SIEM產(chǎn)品時(shí)要審核的一些最重要的功能：

?與其他控件集成 - 系統(tǒng)是否可以向其他企業(yè)安全控件發(fā)出命令以防止或阻止正在進(jìn)行的攻擊？

? 人工智能 - 系統(tǒng)能否通過(guò)機(jī)器和深度學(xué)習(xí)提高自身的準(zhǔn)確性？

?威脅情報(bào)源 - 系統(tǒng)是否支持組織選擇的威脅情報(bào)源，或者是否強(qiáng)制要求使用特定的源？

?強(qiáng)大的合規(guī)性報(bào)告 - 系統(tǒng)是否包含針對(duì)常見(jiàn)合規(guī)性需求的內(nèi)置報(bào)告，以及是否為組織提供定制或創(chuàng)建新合規(guī)性報(bào)告的能力？

? 取證功能 - 系統(tǒng)是否可以通過(guò)記錄感興趣的數(shù)據(jù)包的標(biāo)頭和內(nèi)容來(lái)捕獲有關(guān)安全事件的其他信息？

三、工作原理

SIEM軟件的工作原理是收集整個(gè)組織基礎(chǔ)架構(gòu)中的主機(jī)系統(tǒng)，安全設(shè)備和應(yīng)用程序生成的日志以及事件數(shù)據(jù)，并在集中平臺(tái)上進(jìn)行整理。從防病毒事件到防火墻日志，SIEM軟件可識(shí)別此數(shù)據(jù)并將其分類(lèi)，例如惡意軟件活動(dòng)，失敗和成功登錄以及其他潛在的惡意活動(dòng)。

安全信息和事件管理過(guò)程可以分解如下：

1. 數(shù)據(jù)收集 - 所有網(wǎng)絡(luò)安全信息源（例如服務(wù)器，操作系統(tǒng)，防火墻，防病毒軟件和入侵防御系統(tǒng)）都配置為將事件數(shù)據(jù)提供給SIEM工具。大多數(shù)現(xiàn)代SIEM工具使用代理從企業(yè)系統(tǒng)收集事件日志，然后處理，過(guò)濾并將它們發(fā)送到SIEM。一些SIEM允許無(wú)代理數(shù)據(jù)收集。例如，Splunk使用WMI（Windows Manage Instrumentation，windows管理規(guī)范）在Windows中提供無(wú)代理數(shù)據(jù)收集。

2. 策略 - 配置文件由SIEM管理員創(chuàng)建，該管理員在正常情況下和預(yù)定義的安全事件期間定義企業(yè)系統(tǒng)的行為。SIEM提供默認(rèn)規(guī)則，警報(bào)，報(bào)告和儀表板，可以進(jìn)行調(diào)整和自定義以滿(mǎn)足特定的安全需求。

3. 數(shù)據(jù)整合和關(guān)聯(lián) - SIEM解決方案整合，解析和分析日志文件。然后根據(jù)原始數(shù)據(jù)對(duì)事件進(jìn)行分類(lèi)，并應(yīng)用將各個(gè)數(shù)據(jù)事件組合成有意義的安全問(wèn)題的關(guān)聯(lián)規(guī)則。

4. 通知 - 如果事件或事件集觸發(fā)SIEM規(guī)則，系統(tǒng)會(huì)通知安全人員

當(dāng)軟件識(shí)別出可能對(duì)組織構(gòu)成威脅的活動(dòng)時(shí)，會(huì)生成警報(bào)以指示潛在的安全問(wèn)題。可以使用一組預(yù)定義規(guī)則將這些警報(bào)設(shè)置為低優(yōu)先級(jí)或高優(yōu)先級(jí)。例如，如果用戶(hù)帳戶(hù)在20分鐘內(nèi)生成20次失敗登錄嘗試，則可能會(huì)將其標(biāo)記為可疑活動(dòng)，但設(shè)置為較低優(yōu)先級(jí)，因?yàn)樗钣锌赡苁峭浧涞卿浽敿?xì)信息的用戶(hù)。但是，如果帳戶(hù)在5分鐘內(nèi)遇到120次登錄嘗試失敗，則更有可能是正在進(jìn)行的暴力攻擊并被標(biāo)記為高嚴(yán)重性事件。

四、日志管理流程

SIEM服務(wù)器的根源是日志管理平臺(tái)。日志管理涉及收集數(shù)據(jù)，對(duì)其進(jìn)行管理以啟用分析以及保留歷史數(shù)據(jù)。

哪些組織系統(tǒng)將其日志提供給SIEM？SIEM對(duì)哪些其他業(yè)務(wù)數(shù)據(jù)感興趣呢，下圖大致描繪了SIEM的數(shù)據(jù)源。

image.png

1、數(shù)據(jù)采集

SIEM從數(shù)百個(gè)組織系統(tǒng)收集日志和事件（有關(guān)部分列表，請(qǐng)參閱下面的日志源）。每次設(shè)備發(fā)生時(shí)，每個(gè)設(shè)備都會(huì)生成一個(gè)事件，并將事件收集到平面日志文件或數(shù)據(jù)庫(kù)中。SIEM可以通過(guò)四種方式收集數(shù)據(jù)：

• 通過(guò)安裝在設(shè)備上的代理（最常用的方法）

• 通過(guò)使用網(wǎng)絡(luò)協(xié)議或API調(diào)用直接連接到設(shè)備

• 通過(guò)直接從存儲(chǔ)訪(fǎng)問(wèn)日志文件，通常采用Syslog格式

• 通過(guò)SNMP，Netflow或IPFIX等事件流協(xié)議

SIEM的任務(wù)是從設(shè)備中收集數(shù)據(jù)，對(duì)其進(jìn)行標(biāo)準(zhǔn)化并將其保存為能夠進(jìn)行分析的格式。下一代SIEM預(yù)先集成了通用云系統(tǒng)和數(shù)據(jù)源，允許直接提取日志數(shù)據(jù)。

2、數(shù)據(jù)管理

在大型組織中，SIEM可以存儲(chǔ)大量數(shù)據(jù)。這些數(shù)據(jù)或存儲(chǔ)在本地或存儲(chǔ)在云端，基于Amazon S3，Hadoop或ElasticSearch等技術(shù)實(shí)現(xiàn)數(shù)據(jù)的高效存儲(chǔ)和檢索。

3、記錄保留

PCI DSS，HIPAA和SOX等行業(yè)標(biāo)準(zhǔn)要求將日志保留1到7年，大型企業(yè)每天都會(huì)從IT系統(tǒng)中創(chuàng)建大量日志，SIEM需要了解他們保留哪些日志以滿(mǎn)足合規(guī)性和取證要求，SIEM使用以下策略來(lái)減少日志量：

Syslog服務(wù)器 - syslog是一種標(biāo)準(zhǔn)化日志的標(biāo)準(zhǔn)，僅保留標(biāo)準(zhǔn)格式的基本信息。Syslog允許您壓縮日志并保留大量歷史數(shù)據(jù)。

刪除計(jì)劃 - SIEM會(huì)自動(dòng)清除不再需要的舊日志，通過(guò)從Syslog格式訪(fǎng)問(wèn)日志文件。

日志過(guò)濾 - 并非所有日志都是組織面臨的合規(guī)性要求或法醫(yī)目的所需的?？梢园丛聪到y(tǒng)，時(shí)間或SIEM管理員定義的其他規(guī)則過(guò)濾日志。

匯總 - log數(shù)據(jù)可以匯總為僅維護(hù)重要的數(shù)據(jù)元素，例如事件計(jì)數(shù)，唯一IP等。

歷史日志不僅對(duì)合規(guī)性和取證有用，還可用于深度行為分析。如用戶(hù)行為分析（UEBA）技術(shù)，該技術(shù)使用機(jī)器學(xué)習(xí)和行為分析來(lái)智能地識(shí)別異?；蜈厔?shì)。

下一代SIEM利用低成本的分布式存儲(chǔ)，允許組織保留完整的源數(shù)據(jù)。這樣可以對(duì)歷史數(shù)據(jù)進(jìn)行深入的行為分析，以捕獲更廣泛的異常和安全問(wèn)題。

五、SOAR的介入

1、概念

SOAR（security orchestration, automation and response，安全編排自動(dòng)化響應(yīng)）

安全編排自動(dòng)化響應(yīng)（SOAR，Security Orchestration and Automation Response）是Gartner 2018年在安全領(lǐng)域定義的最新前沿技術(shù)，與UEBA、EDR等側(cè)重于威脅識(shí)別發(fā)現(xiàn)的技術(shù)不同，SOAR集中在識(shí)別后的威脅處理，強(qiáng)調(diào)用戶(hù)可以通過(guò)事件編排以編碼實(shí)現(xiàn)任意的威脅處理邏輯。

2、作用

大部分傳統(tǒng)安全廠商只關(guān)注識(shí)別，忽略了處理，支持簡(jiǎn)單的阻斷/通知/放行的處理方式，另一方面，企業(yè)對(duì)于威脅的處理又有復(fù)雜的邏輯編排需求，希望通過(guò)和已有的安全產(chǎn)品聯(lián)動(dòng)起來(lái)，形成威脅處理的閉環(huán)。SIEM雖然可以對(duì)可疑行為發(fā)出警報(bào)，但真正的目標(biāo)是盡可能快速有效地對(duì)可疑行為采取行動(dòng)。SOAR整合數(shù)據(jù)源，使用威脅情報(bào)源提供的信息，并自動(dòng)響應(yīng)以提高效率和效果。SIEM可以“說(shuō)”某些東西，但那些包含SOAR的東西可以“做”某些東西。

SOAR通過(guò)更豐富，更高質(zhì)量的數(shù)據(jù)和日常安全任務(wù)的自動(dòng)化的聚合和關(guān)聯(lián)，幫助組織增強(qiáng)威脅檢測(cè)和響應(yīng)。SOAR影響SIEM的另一個(gè)關(guān)鍵方法是幫助標(biāo)準(zhǔn)化事件分析和響應(yīng)程序。這里的目標(biāo)是部分或完全自動(dòng)化一系列活動(dòng)，以便安全人員有更多時(shí)間來(lái)尋找威脅而不是響應(yīng)威脅。通過(guò)自動(dòng)執(zhí)行響應(yīng)操作，例如阻止防火墻或入侵檢測(cè)系統(tǒng)上的IP地址，暫停用戶(hù)帳戶(hù)或?qū)⑹芨腥镜亩它c(diǎn)與網(wǎng)絡(luò)隔離，SOAR可以幫助促進(jìn)更快的事件響應(yīng)，從而減少潛在的破壞和破壞原因。