很多企业主要依靠安全信息和事件管理技术(SIEM)来生成周期性、集中的安全报告,这些报告用于合规性目的以及对攻击事件事后检测及调查。不过,大多数SIEM平台其实还能够执行实时分析。
这意味着它们可接收最新安全事件日志数据、持续监测和分析所有最近收集的数据,以及确定需要采取进一步行动的事件。这可能涉及更密切地监控特定网络连接、生成警报让安全运营中心人员作出回应,或者调配其他企业安全控制来阻止正在进行的攻击。
现在很多企业正在利用SIEM产品的实时分析功能来更快速检测和阻止攻击,这可帮助减少重大数据泄露和其他攻击活动。下面让我们看看在评估SIEM系统用于实时分析时应考虑的三个因素:
多种分析技术。不同的情况需要不同的分析技术或技术组合。例如,通过基于签名的技术来检测攻击可能比其他方法更快,但这也很容易被攻击者绕过,让其失去效用。
SIEM平台应该支持可查找异常事件、用户行为模式改变、统计异常和其他突发性活动的技术。此外,SIEM产品还应该为每种情况使用正确的技术。
事件关联功能。SIEM最大优势之一是它可发现单个事件的关联部分或者多个日志的相关事件,并结合这些来看到整个局面。例如,网络入侵防御系统可能检测到服务器正受到攻击,但需要访问服务器的操作系统和应用日志来确定攻击是否成功以及发生了什么。
而SIEM平台可自动分析所有这些日志,它们可更详细描述发生了什么。在某些情况下,SIEM平台可发现一系列相关事件,让人类分析师可追踪攻击者在整个公司的活动。
威胁情报支持和使用。威胁情报源可提供有关最新检测到的威胁的信息,例如攻击其他企业的设备的IP地址。SIEM利用威胁情报信息可显著提高其实时分析能力,让攻击检测更快更准确,并让SIEM平台可更好地优先排序其操作。
有些SIEM平台使用供应商提供的威胁情报;其他平台还支持使用第三方威胁情报。这种威胁情报的质量非常重要,质量包括更新频率、是否全面以及精确度。同样重要的是考虑SIEM产品如何利用这些威胁情报,这应该是实时分析考虑的因素之一。不平衡的做法可能会显著增加误报或漏报率,让实时分析事倍功半。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
Azure Sentinel增加AI驱动SIEM以加强云安全
微软确信其最新的公共云工具将提升其Azure云平台的安全性,并可赶超竞争对手,例如AWS和谷歌。 微软的新工具 […]
-
14个SIEM报告和警报助力提高安全性
管理数据中心需要大量协调工作。你每天都要花时间查看仪表板、性能趋势、功耗和系统访问情况。 而对于更高级的监控, […]
-
云是网络攻击的潜在金矿,端到端安全成迫切需求
为保企业借助云计算进行数字化转型成果不被网络攻击者破坏,企业在部署云服务之初就需要将云安全问题考虑在内,并通过部署整合的安全方案为企业的数据资产护航。
-
补丁和更新应用:花多长时间科学?
安全厂商Prevoty公司的一则调查报告对多达1000名IT和安全专家进行了调查,结果显示52%的受访者每天至少进行一次应用更新,有时候一天要进行n多次。那么,安全团队每天花这么多时间在更新应用方面,这科学吗?