SIEM功能如何用于实时分析?

日期: 2016-08-31 作者:Karen Scarfone翻译:邹铮 来源:TechTarget中国 英文

很多企业主要依靠安全信息和事件管理技术(SIEM)来生成周期性、集中的安全报告,这些报告用于合规性目的以及对攻击事件事后检测及调查。不过,大多数SIEM平台其实还能够执行实时分析。

这意味着它们可接收最新安全事件日志数据、持续监测和分析所有最近收集的数据,以及确定需要采取进一步行动的事件。这可能涉及更密切地监控特定网络连接、生成警报让安全运营中心人员作出回应,或者调配其他企业安全控制来阻止正在进行的攻击。

现在很多企业正在利用SIEM产品的实时分析功能来更快速检测和阻止攻击,这可帮助减少重大数据泄露和其他攻击活动。下面让我们看看在评估SIEM系统用于实时分析时应考虑的三个因素:

多种分析技术。不同的情况需要不同的分析技术或技术组合。例如,通过基于签名的技术来检测攻击可能比其他方法更快,但这也很容易被攻击者绕过,让其失去效用。

SIEM平台应该支持可查找异常事件、用户行为模式改变、统计异常和其他突发性活动的技术。此外,SIEM产品还应该为每种情况使用正确的技术。

事件关联功能。SIEM最大优势之一是它可发现单个事件的关联部分或者多个日志的相关事件,并结合这些来看到整个局面。例如,网络入侵防御系统可能检测到服务器正受到攻击,但需要访问服务器的操作系统和应用日志来确定攻击是否成功以及发生了什么。

而SIEM平台可自动分析所有这些日志,它们可更详细描述发生了什么。在某些情况下,SIEM平台可发现一系列相关事件,让人类分析师可追踪攻击者在整个公司的活动。

威胁情报支持和使用。威胁情报源可提供有关最新检测到的威胁的信息,例如攻击其他企业的设备的IP地址。SIEM利用威胁情报信息可显著提高其实时分析能力,让攻击检测更快更准确,并让SIEM平台可更好地优先排序其操作。

有些SIEM平台使用供应商提供的威胁情报;其他平台还支持使用第三方威胁情报。这种威胁情报的质量非常重要,质量包括更新频率、是否全面以及精确度。同样重要的是考虑SIEM产品如何利用这些威胁情报,这应该是实时分析考虑的因素之一。不平衡的做法可能会显著增加误报或漏报率,让实时分析事倍功半。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Karen Scarfone
Karen Scarfone

TechTarget网站编辑

翻译

邹铮
邹铮

相关推荐