企業(yè)在選擇SIEM時(shí)有哪些事項(xiàng)需注意，如何進(jìn)行正確選擇

SIEM（安全信息和事件管理）堪稱(chēng)企業(yè)安全運(yùn)營(yíng)的發(fā)動(dòng)機(jī)，它不但從IT基礎(chǔ)架構(gòu)中的海量信息資源中收集和分析各種活動(dòng)，同時(shí)也是安全自動(dòng)化、DevSecOps、下一代SOC等安全管理和運(yùn)營(yíng)的基礎(chǔ)。

SANS 2019年的報(bào)告（下圖）顯示，超過(guò)70％的大型企業(yè)仍然依賴(lài)安全信息和事件管理（SIEM）系統(tǒng)來(lái)進(jìn)行數(shù)據(jù)關(guān)聯(lián)、安全分析和運(yùn)營(yíng)。此外，很多企業(yè)的安全運(yùn)營(yíng)中心（SOC）團(tuán)隊(duì)還圍繞SIEM配備了用于威脅檢測(cè)/響應(yīng)、調(diào)查/查詢(xún)、威脅情報(bào)分析以及流程自動(dòng)化/編排的其他工具。

沒(méi)有人懷疑SIEM的重要性，但是由于SIEM本身也存在諸多疑難問(wèn)題（例如與大量安全工具的可擴(kuò)展和集成性、需要大量人員培訓(xùn)和經(jīng)驗(yàn)、消耗大量運(yùn)營(yíng)資源、誤報(bào)過(guò)多、對(duì)新威脅力的響應(yīng)不從心、供應(yīng)商產(chǎn)品之間差異過(guò)大等）。因此，企業(yè)選擇SIEM需要格外謹(jǐn)慎，不僅僅是因?yàn)樵摦a(chǎn)品是企業(yè)安全運(yùn)營(yíng)的基石，SIEM需要考量的因素眾多（尤其是考慮到當(dāng)前很多企業(yè)安全架構(gòu)正在面臨重大升級(jí)或者DevSecOps范型轉(zhuǎn)移），同時(shí)還有很強(qiáng)的鎖定效應(yīng)。

近日，國(guó)外多位網(wǎng)絡(luò)安全專(zhuān)家就SIEM的選型發(fā)表了觀點(diǎn)，整理如下：

Elastic Security高級(jí)總監(jiān) Jae Lee

SIEM是很成熟的產(chǎn)品類(lèi)別，并且還在不斷發(fā)展中。但是，隨著SecOps從“傳統(tǒng)”轉(zhuǎn)變?yōu)椤白赃m應(yīng)”，SIEM產(chǎn)品需要支持團(tuán)隊(duì)的“進(jìn)化”。

首先，從人的角度來(lái)看：傳統(tǒng)安全技能是基于工具的（例如，漏洞、防火墻、IDS/IPS等），但是未來(lái)的安全運(yùn)營(yíng)需要更廣泛的技能，例如處理和分析數(shù)據(jù)、進(jìn)行協(xié)作研究、了解對(duì)手/廠商等，一個(gè)好的SIEM方案應(yīng)當(dāng)能幫助安全團(tuán)隊(duì)增強(qiáng)和發(fā)展這些技能。

其次是流程。提升技能、不再被告警“統(tǒng)治”（除非允許），預(yù)定義的靜態(tài)SOP /預(yù)案對(duì)于新一代的SIEM來(lái)說(shuō)是不夠的。團(tuán)隊(duì)現(xiàn)在需要進(jìn)行實(shí)時(shí)分析以進(jìn)行搜尋，包括進(jìn)行研究、逆向工程和模擬威脅等等。上下文（context）決定一切。有效地進(jìn)行搜尋和操作需要完全的可見(jiàn)性——不是在單獨(dú)的工具中，而是在SIEM中。

最后是技術(shù)。全面的安全可見(jiàn)性不僅指廣泛的覆蓋范圍，也包括快速的見(jiàn)解。同樣，檢測(cè)需要支持OOTB。例如端點(diǎn)安全中，OOTB檢測(cè)具有很高的準(zhǔn)確性。SIEM中應(yīng)該應(yīng)用相同的規(guī)則，而不要求每個(gè)分析師都是規(guī)則編寫(xiě)專(zhuān)家。SIEM不僅是“技術(shù)”，還需要經(jīng)過(guò)現(xiàn)實(shí)世界驗(yàn)證過(guò)的安全性?xún)?nèi)容。

隨著SecOps的成熟，企業(yè)通常需要大量投資來(lái)維護(hù)SIEM。安全主管必須有效阻止威脅來(lái)證明安全投資的合理性。你需要樹(shù)立目標(biāo)，例如通過(guò)部署SIEM滿(mǎn)足快速發(fā)展的安全需求，并就擴(kuò)展性和靈活性向供應(yīng)商提出一些尖刻的問(wèn)題——從檢測(cè)到集成，部署選項(xiàng)到定價(jià)指標(biāo)。

Christopher Meenan，IBM Cloud和認(rèn)知軟件QRadar產(chǎn)品管理和策略總監(jiān)

選擇SIEM解決方案首先要考慮的是您需要解決的是哪種用例，例如是在云轉(zhuǎn)換期間保護(hù)企業(yè)？還是構(gòu)建統(tǒng)一的IT和OT安全運(yùn)營(yíng)程序？還是僅解決合規(guī)性問(wèn)題？SIEM的用例是千差萬(wàn)別的。不同用例的集成、用例內(nèi)容、分析和部署方法的需求也有很大差異。

可以咨詢(xún)供應(yīng)商幫助解決需求問(wèn)題。了解包括哪些集成和用例內(nèi)容，以及哪些需要單獨(dú)的許可證或自定義開(kāi)發(fā)。了解可用的分析以及如何使用這些分析來(lái)檢測(cè)已知和未知威脅。詢(xún)問(wèn)本機(jī)支持哪些框架，例如MITER ATT＆CK。

如果像大多數(shù)公司一樣，您的團(tuán)隊(duì)人手不足，這意味著您需要可用性更高的產(chǎn)品，這些產(chǎn)品可以幫助縮短新分析師的學(xué)習(xí)曲線(xiàn)，并使經(jīng)驗(yàn)豐富的團(tuán)隊(duì)成員更有效率。詢(xún)問(wèn)每種解決方案如何在檢測(cè)、調(diào)查和響應(yīng)過(guò)程中如何提高效率。如果需要降低管理成本，同時(shí)還需要詢(xún)問(wèn)有關(guān)SaaS部署和MSSP合作伙伴關(guān)系的信息。

最重要的是，不要害羞，要求廠商提供概念驗(yàn)證以確保您正在考慮的產(chǎn)品對(duì)您有用。

Exabeam首席安全策略師 Stephen Moore

即使是經(jīng)驗(yàn)和資源最豐富的安全團(tuán)隊(duì)也很容易被一天之內(nèi)收到的SIEM警報(bào)數(shù)量所淹沒(méi)，讓SOC安全人員頭大的問(wèn)題還有很多，例如基于憑據(jù)攻擊的復(fù)雜性、警報(bào)疲勞、缺乏熟練的分析師和漫長(zhǎng)的調(diào)查時(shí)間等。很多都是傳統(tǒng)SIEM方案無(wú)法解決的。

現(xiàn)在，許多組織正在將其SIEM遷移到云中，這使分析師可以利用更多的計(jì)算能力來(lái)篩選、解釋和運(yùn)營(yíng)SIEM數(shù)據(jù)?，F(xiàn)在，他們將更多的時(shí)間花在了發(fā)現(xiàn)不利因素上，而不是平臺(tái)和服務(wù)器支持上。但是要為“企業(yè)”選擇合適的SIEM，您需要花時(shí)間調(diào)查咨詢(xún)。您需要確保SIEM的功能與業(yè)務(wù)的目標(biāo)、關(guān)注和期望保持一致，顯然，很多企業(yè)的目標(biāo)和期望在最近幾個(gè)月中已經(jīng)發(fā)生了重大變化。最重要的是，企業(yè)需要花一些時(shí)間來(lái)提問(wèn)。

然后，基于已知的攻擊者行為和違規(guī)結(jié)果做出選擇，重點(diǎn)關(guān)注憑據(jù)相關(guān)信息，確保您的平臺(tái)具有適應(yīng)性和以對(duì)象為中心。詢(xún)問(wèn)廠商這樣的問(wèn)題，例如產(chǎn)品是否會(huì)縮短您回答問(wèn)題的時(shí)間（TTA），例如“與該警報(bào)關(guān)聯(lián)的帳戶(hù)或資產(chǎn)是什么？” 或者“事件之前，之中和之后發(fā)生了什么？”

最后，任何解決方案都需要幫助您的SOC分析人員專(zhuān)注于正確的事情。自動(dòng)化的關(guān)鍵是“自動(dòng)化”——既以時(shí)間表或故事板的形式完整展示事件的情節(jié)，又可以在恢復(fù)過(guò)程中提供自動(dòng)化的事件響應(yīng)功能。部分調(diào)查流程的自動(dòng)化對(duì)于事件響應(yīng)人員來(lái)說(shuō)意義重大，可以更快地采取行動(dòng)，最大程度地降低響應(yīng)不完全的風(fēng)險(xiǎn)。

Rapid7首席安全研究員 Wade Woolwine

盡管SIEM這個(gè)縮寫(xiě)的第一個(gè)詞是“安全”，但事件和日志管理不僅僅針對(duì)安全團(tuán)隊(duì)。

當(dāng)企業(yè)打算投資SIEM或替換現(xiàn)有SIEM時(shí)，他們應(yīng)考慮跨安全性、IT/云、工程、物理安全性以及任何其他可能從集中式日志聚合中受益的業(yè)務(wù)部門(mén)的用例。一旦確定了利益相關(guān)者，明確了記錄日志的類(lèi)型、來(lái)源和用例，企業(yè)才能制定出評(píng)估SIEM供應(yīng)商的需求主清單。

企業(yè)還應(yīng)該認(rèn)識(shí)到用例將隨著時(shí)間而變化，不斷會(huì)有新的用例“沖擊”SIEM，尤其是在安全團(tuán)隊(duì)內(nèi)部。因此，企業(yè)還應(yīng)將以下內(nèi)容視為支持未來(lái)增長(zhǎng)的SIEM的硬性要求：

·支持安全團(tuán)隊(duì)添加和分類(lèi)自定義事件源

·支持基于云的事件源

·具有高級(jí)跨數(shù)據(jù)類(lèi)型搜索功能和支持正則表達(dá)式的字段搜索

·可保存的警報(bào)搜索

·使用動(dòng)態(tài)儀表板報(bào)告保存搜索

·整合威脅源的能力

·支持自動(dòng)化平臺(tái)集成

·API支持

·報(bào)價(jià)包括多日培訓(xùn)

LogPoint首席執(zhí)行官 Jesper Zerlang

隨著企業(yè)基礎(chǔ)架構(gòu)復(fù)雜性的增加，現(xiàn)代SIEM解決方案的關(guān)鍵能力是能夠從任何地方捕獲數(shù)據(jù)。這包括云中和本地?cái)?shù)據(jù)以及來(lái)自軟件（包括SAP等企業(yè)應(yīng)用程序）的數(shù)據(jù)。在當(dāng)今復(fù)雜的威脅形勢(shì)下，集成UEBA并幫助企業(yè)快速增強(qiáng)安全性分析是SIEM的大勢(shì)所趨。

SIEM解決方案的效率完全取決于您輸入的數(shù)據(jù)。如果SIEM解決方案的許可證模型依賴(lài)于攝取的數(shù)據(jù)量或事務(wù)數(shù)量，那么由于數(shù)據(jù)量的整體增長(zhǎng)，成本將不斷增加。因此，有些企業(yè)會(huì)選擇讓縮小SIEM的覆蓋范圍，忽略部分基礎(chǔ)架構(gòu)以降低成本，這種做法非常危險(xiǎn)。

選擇許可模型的SIEM時(shí)，需要確保該模型支持企業(yè)的完全數(shù)字化并且其未來(lái)成本可以預(yù)測(cè)。這將確保業(yè)務(wù)需求與您的技術(shù)選擇保持一致。最后一點(diǎn)，但也可能是最重要的一點(diǎn)：選擇那些有段時(shí)間見(jiàn)效案例的SIEM方案，并且確保能夠按時(shí)完成部署的SIEM項(xiàng)目。SIEM部署，無(wú)論是初次實(shí)施還是替代，通常被認(rèn)為是復(fù)雜且耗時(shí)的，這方面要保持高度警惕。

責(zé)任編輯：gt