淘汰还是加强落后的SIEM系统?(一)

日期: 2012-04-18 作者:Robert Westervelt翻译:许伟林 来源:TechTarget中国 英文

据专家介绍,部署着老旧的安全信息和事件管理(Security Information Event Management,以下简称SIEM)系统的企业正重新审视他们的硬件,有时候他们在想到底是用额外的工具来完善SIEM系统,还是完全替换成新的系统。   通信服务提供商MetroPCS Wireless公司的Gregg Woodcock发现,日志相关性分析是运营高效安全业务必不可少的一部分。   实际上,这位来自达拉斯的软件工程师发现了日志相关性分析的巨大价值。他成立并维护了一个位于达拉斯的用户群组,致力于完善免费、开源的搜索工具Splunk。

这款工具可以接收客户交易、网络活动、通话数据等多种类型……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

据专家介绍,部署着老旧的安全信息和事件管理(Security Information Event Management,以下简称SIEM)系统的企业正重新审视他们的硬件,有时候他们在想到底是用额外的工具来完善SIEM系统,还是完全替换成新的系统。

  通信服务提供商MetroPCS Wireless公司的Gregg Woodcock发现,日志相关性分析是运营高效安全业务必不可少的一部分。

  实际上,这位来自达拉斯的软件工程师发现了日志相关性分析的巨大价值。他成立并维护了一个位于达拉斯的用户群组,致力于完善免费、开源的搜索工具Splunk。这款工具可以接收客户交易、网络活动、通话数据等多种类型的数据,并对它们作关联性分析,以发现有价值的情报。据Woodcock表示,这款工具非常受欢迎,虽然Splunk用户群组内的很多成员所在的企业都安装了安全信息和事件管理(SIEM)系统,但他们也希望把Splunk当作类似Google的搜索框来加强SIEM。

  MetroPCS使用Splunk来监控违反免费国际电话呼叫计划服务条款的用户。Woodcock表示,用户立即就能知道通话去向和费用。人们违反服务条款——将免费国际呼叫用于商业的行为很快就能从呼叫记录数据中被检测出来,并在费用失控之前切断通话。

  “它的速度和提供信息的深度令人惊奇,”Woodcock说。“它本质上是Google你的日志;它实时接受日志并标出时间戳,然后你可以使用类似Unix的搜索命令集做任何事情。”

  Splunk在2010年增加了对安全监控的支持。它也可以产生实时警报。Woodcock说,它正被成千上万的人用来增强已有SIEM系统,这一事实表明,很多早期部署的SIEM系统要么很难正确配置,要么很难给出有价值的情报。“有了Splunk,你可以输入所有数据,在上面采用只对你有用的特定模式进行排序和搜索,这就是一个巨变,”他说。“而其他很多产品,你必须作二次开发才能得到可用的数据模式。”

  Bill Sielein是CISO Executive Network公司的CEO,他说,目前大部分SIEM系统只是用来满足合规和提供报告功能,而且很多系统还继续被部署来满足这最小用例。Sieglein最近参加了财富1000强企业CISO圆桌会议,内容包括日志管理和SIEM。他说很多CISO正在考虑是否要用更新的SIEM技术淘汰老旧的SIEM系统,以建立一个情报平台。

  “几乎在每一个案例中,安装启用新系统所花的时间和经费都超过预想,”Sieglein说。“他们正努力更新继续许可证,以在风险管理和情境认识方面发掘更大价值。”

  Sieglein说,早期的SIEM系统非常难于部署,在某些情况下要花费两到三年时间,还要耗费四分之三的经费用于协助部署的专业服务。今天,人们更多地考虑轻量级系统——来自McAfee(NitroSecurity)、IBM(Q1 Labs)以及LogRhythm的SIEM平台,这些系统承诺了更快的实现和更多易用的自动化功能。

  他说,实际投入过SIEM的企业都体验过历程的艰辛。企业一旦希望审阅好日志,就不仅要雇佣大量员工从事事件监控,还要雇人管理系统以防止被数据淹没。系统必须要完全打好补丁,还需要一些明白如何编写专业报告的人,以实现系统的价值。

  “很多人抱怨,从系统的角度看,SIEM 1.0需要太多管理人员,”Sieglein说。“它使资源不能集中于实时观察事件。”现在SIEM 2.0承诺了更快的实现、少得多的系统管理,使资源和时间能被集中用于分析警报类型并采取实际行动。“

  Chris Petersen是LogRhythm公司的联合创始人和CTO,他也同意部署和维护早期的SIEM系统是一个恶梦,而且这些系统经常为了满足特定的合规要求而运行在一个糟糕的配置状态。

  Petersen说,SIEM最初被设计用来处理入侵检测系统生成的大批量数据,将IDS数据裁减到可行的、更容易管理的规模。SIEM厂商不断增加来自网络层、设备层、应用层和数据库层的日志数据,使它越来越复杂。现在的焦点是更好地管理数据来源和自动化分析。”今天的目标是检测更广泛的来自内部威胁的事件类型、复杂的入侵、和深嵌型泄露,以更好地取证。SIEM厂商已经认识到寄望于企业手动分析日志是不可能的。

相关推荐

  • Azure Sentinel增加AI驱动SIEM以加强云安全

    微软确信其最新的公共云工具将提升其Azure云平台的安全性,并可赶超竞争对手,例如AWS和谷歌。 微软的新工具 […]

  • 云时代:“SIEM即服务”,你怎么看?

    向云服务的迁移给试图应对海量数据的企业带来不少挑战。而新出现的“SIEM即服务”的出现展示出,云安全领域是动态变化的,而且在此领域更为有趣的许多发展都有望在未来几年崭露头角。

  • SIEM功能如何用于实时分析?

    很多企业主要依靠安全信息和事件管理技术(SIEM)来生成周期性、集中的安全报告,这些报告用于合规性目的以及对攻击事件事后检测及调查。不过,大多数SIEM平台其实还能够执行实时分析……

  • QRadar SIEM:以安全智能保护企业资产和信息远离高级威胁

    IBM Security QRadar SIEM 可整合在网络各处分散的数千个设备、终端和应用中的日志源事件数据。它对原始数据执行直接的标准化和关联化活动,以区分实际威胁和错误判断。