SIEM的核心：日志分析、管理与审计

进入信息化时代的今天，人们对信息安全重要性的认识越来越深刻。而如何保证信息安全，防止内鬼的盗用和黑客的威胁，是每个企业或组织面临的难题。一直以来，对安全信息进行分析、关联、取证被认为是最常见也是最有效的手段。也被认为是安全信息和事件管理(SIEM)的主要任务。

自从计算机系统诞生，日志分析就作为故障诊断的手段之一，也就有了日志管理一说。但初期的日志管理，大多以收集IT网络资源产生的各种日志，统一存储，以备查询为目的。到了上世纪90年代末期，出现了SIM(Security Information Management - 安全信息管理)和SEM(Security Event Management - 安全事件管理)两个技术。这些技术建立在最早的日志管理之上，并更多地关注日志采集后的分析、审计、发现问题。当时在产品化方面还比较初级，多见于研究领域。直到2005年，Gartner提出了SIEM的概念，首次将SIM和SEM整合到了一起，强调SIM关注于内控，包括特权用户和内部资源访问控制的行为监控，合规性管理;而SEM则关注于内外部的威胁行为监控，安全事故应急处理，更偏重于安全本身。从此，日志分析管理才算掀开了新的篇章。

全球知名的IT管理软件厂商ManageEngine对日志管理领域同样进行了持续的关注与研究，并提供了相应的SIEM工具。ManageEngine安全专家认为好的日志管理解决方案，必须解决客户在合规性、运维支撑、威胁检测、取证分析方面的需求，除了集中管理、存储来自企业和组织中所有IT资源(包括网络、系统和应用)产生的安全信息(包括日志、告警等)外，还应能够实时监控、历史分析、审计分析、调查取证、出具报表。鉴别出来自外部的入侵和内部的违规、误操作行为，从而实现IT资源合规性管理的目标，提升企业和组织的安全运营、威胁管理和应急响应能力。

在国外，IT环境及IT行为合规性的重要性，早就得到政府、机构和企业的认可。而日志分析和审核被认为是达到合规性的一个重要手段和途径。因此在构建IT环境时，除了采购所需的硬件设备之外，还会配备必要的软件产品。而国内，用户大都集中在硬件投资上，而忽略了配套软件或监管手段。即使有的单位上了相应的项目，大多也以SOC为主，搞所谓的高大全、华而不实，起不到应有的作用。据权威机构对来自58个国家的数万份问卷调查统计，有超过52%的IT机构依然靠人工或者自制脚本进行日志管理，而采用专用解决方案管理日志的IT机构不足48%。在国内部署专用解决方案的数量要远低于该数值。

就日志分析而言，实现异源日志的全面收集、海量存储，通过强大的分析、搜索引擎，为用户提供多方位、全视角的分析报表，才能满足SIEM的核心管理要求。从而为客户带来实实在在的管理效益。