14个SIEM报告和警报助力提高安全性

日期: 2018-09-10 翻译:邹铮 来源:TechTarget中国 英文

管理数据中心需要大量协调工作。你每天都要花时间查看仪表板、性能趋势、功耗和系统访问情况。

而对于更高级的监控,安全信息和事件管理(SIEM)可为你的数据中心增加另一层安全保护。

为了创建高效的SIEM环境,企业需要进行规划以确定哪些事件需要手动干预以及每天、每周或每月需要哪些报告。

常见报告选项

为了快速确定SIEM范围,其中一种方法是查看整体报告。由于现在有非常多选择,所以在选择初始报告结构时应该关注重点因素。通常,你会想要跟踪用户、时间、地点以及用户使用的身份验证设备。

为了获取所有这些信息,常见SIEM报告包括:

  • 用户活动报告;
  • 配置变更报告;
  • 访问报告;
  • 事件跟踪报告;
  • 按需运营报告;
  • 月度总结报告。

这些详细信息可帮助你轻松地整理这些报告所需的频率、哪个管理员负责查看报告以及当数据中发现异常时应该采取的措施。

感兴趣的事件

SIEM工具可提醒你注意每个潜在事件,但你需要先设置基线警报。通过掌握这些基础警报后,你将能够快速启动和运行SIEM系统。然后,你可在熟悉该软件后添加更多特定警报。

目前有六类SIEM警报:用户身份验证、网络攻击、主机级活动、未知源攻击、Web服务器活动和日志源活动。这里主要涉及以下特定事件:

  • 登陆源失败;
  • 登陆目标失败;
  • 一分钟内从单个IP重复登录
  • 来自单个IP地址的多次入侵检测系统警报

这些系统警报可让你了解数据中心内活动的基本视图以及有关谁在访问所有内容的信息。

如果你希望获得细粒度的信息,则这里可以使用防病毒软件警报。防病毒相关的警报可提供攻击通知以及软件干预的更新信息。示例如下:

  • 重复攻击主机;
  • 检测到病毒;
  • 间谍软件或病毒被移除;
  • 检测到病毒,但未成功清除或删除。

除防病毒相关的攻击外,你还需要为特定攻击源和未知攻击设置SIEM报告和警报。这包括来自黑名单来源的流量、针对特定主机的IP地址、重复攻击、过多连接爆发和多个受感染主机。

自动化SIEM报告

即使部署所有这些措施,你仍然可能想知道哪些功能可简化SIEM报告、警报和工作流程。这里就需要自动化和编排功能,因为新算法可帮助识别性能和整体安全趋势。此外,通过这些附加设置,你将能够编写攻击响应以及有效对警报排序。

在你研究SIEM软件前,你需要考虑这几件事情:你如何将数据提供给SIEM系统、是否存在任何潜在的安装难点以及你将如何利用SIEM工具。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • 补丁和更新应用:花多长时间科学?

    安全厂商Prevoty公司的一则调查报告对多达1000名IT和安全专家进行了调查,结果显示52%的受访者每天至少进行一次应用更新,有时候一天要进行n多次。那么,安全团队每天花这么多时间在更新应用方面,这科学吗?

  • SIEM功能如何用于实时分析?

    很多企业主要依靠安全信息和事件管理技术(SIEM)来生成周期性、集中的安全报告,这些报告用于合规性目的以及对攻击事件事后检测及调查。不过,大多数SIEM平台其实还能够执行实时分析……

  • 进攻是最好的防御:重新思考如何使用SIEM产品

    企业防御的关键组成部分是安全信息和事件管理(SIEM)产品,SIEM为企业提供了中央存储库来收集和监控网络行为。

  • 利用SIEM进行高级攻击检测的最佳实践

    领先的SIEM平台已经经历了“大脑移植”,迁移到特定目的的数据存储,这些数据存储能够提供足够的性能和规模。