扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
过去几年里,安全信息和事件管理(SIEM)技术一直备受指责。其复杂性和对专业服务的过度需求招致了很多抱怨,很多企业都对其部署SIEM进行安全监控的经历感到失望。
但那是以前,现在已经不同。公平地说,技术已经不再是企业难以成功部署SIEM的原因。领先的SIEM平台已经经历了“大脑移植”,迁移到特定目的的数据存储,这些数据存储能够提供足够的性能和规模。曾经笨重且不可靠的系统连接器和日志聚合器现在更有效,使数据收集变得相对简单。
但SIEM仍然面临着很多困难,所有依赖基于规则的政策的技术都是如此。SIEM必须知道它要寻找什么。神奇的SIEM产品并不会自动地发现利用新方法或罕见漏洞的攻击。
要知道,SIEM在攻击检测中发挥着重要作用。但要成功检测出已知甚至是未知攻击类型,企业必须建立一套策略来寻找其环境中的攻击情况和指标,并持续监控这些情况。
那么,到底该如何建立这种策略呢?当然,等待它自己出现并不现实。下面我们看看建立有效SIEM政策的简单过程。
在合理范围内收集所有数据
如果没有收集足够的数据,SIEM就无法进行全面分析。所以第一步是收集正确的数据。这意味着什么呢?先从明显的数据开始,例如网络、安全和服务器设备日志。这些数据很多,且容易获得。接着,从应用基础设施(数据库、应用)获取日志信息。当然,SIEM还需要各种其它数据源,包括身份数据、网络流量、漏洞扫描结果以及配置数据。
对于SIEM系统而言,数据越多越好。如果可以的话,收集所有数据。如果需要对收集的数据进行优先排序,应该先考虑从最重要的技术资产(即受保护环境中的设备以及处理受监管数据的设备)收集的数据。另外还要注意处理关键知识产权的系统。
构建规则
建立SIEM规则库是一个迭代的过程。这意味着这个过程相对较慢,需要长期的细化或调整。很多人在开始这个过程时出现“分析瘫痪”,因为有数百万种可能建立的规则。因此,我们建议首先要明确应该被定义的规则。
在建模过程中,从重要资产开始。将你自己放在攻击者的角色,并开始监视你会想窃取的数据。
顺便说一句,这个过程永远不会结束。总会有新攻击需要建模,新指标需要监测。企业必须密切关注安全新闻来了解哪种攻击很流行。最新威胁研究报告(例如Mandiant公司的APT1报告)包含明确的指标,每个企业都可以(而且应该)考虑将这些指标加入其SIEM。有了威胁情报和全面的数据收集环境,你就找不到借口了:现在是时候开始寻找不断涌现的高级攻击了。
也请记住,随着时间的推移,你需要添加新的数据类型到SIEM,这将需要重新考虑所有的SIEM规则。例如,如果捕捉网络数据包流量并发送到SIEM,这将会提供大量可供分析的新信息。如果能够查看实际网络流量,这会给查找某种攻击带来什么影响?我们可以添加哪些其他规则来更快地检测攻击?这些都不是琐碎的问题。每次添加(或删除)一种数据源,检查SIEM规则可以帮助提高攻击检测速度。
这个过程最重要的是保持一致性。SIEM并不是“一次设置,终身无忧”的技术。它需要悉心的照顾和对待--不只是现在,而是它的整个生命周期。如果你对此有任何侥幸心理,你最终会很失望。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者