长期以来，安全信息和事件管理（SIEM）技术一直是SOC的基石，SOC是指收集、关联和集中安全数据，以实现更高效和有效的威胁检测和事件响应。

SIEM通常与整个组织的工具、服务和端点集成，并处理大量数据，这使迁移工作变成艰巨任务。好消息是，深思熟虑的战略规划可以使部署变得顺利。如果你最近已经部署SIEM技术或正在考虑部署SIEM技术，下面让我们看看有关部署的最佳做法。

关键的SIEM部署步骤

虽然每个部署都不同，但建议在大多数或所有SIEM部署中执行以下关键步骤。

1. 设计SIEM的架构

SIEM架构包括SIEM相关的所有支持系统。在这个阶段，仔细考虑平台当前和未来的性能、弹性和安全需求。

确定你企业的主要SIEM用例，并确定其优先次序，这些用例可帮助你部署适合的SIEM架构。如果你有SIEM本身无法解决的用例，请考虑采用额外的补充技术或技巧。现在的企业通常将SIEM与其他工具相结合，例如SOAR和XDR。

在设计SIEM架构和规划其部署时，请注意主要和边际成本。可能的意外费用包括以下内容：

• SIEM需要获取网络威胁情报数据。
• 将存储的日志数据从现有的SIEM迁移到新的SIEM。
• 由于分阶段迁移或日志保留要求，传统SIEM和新SIEM的并行运行。
• 长期日志数据保留。
• 对新SIEM开展员工培训。
• 基于数据摄取的定价模型，可能会导致不可预见的成本增加。例如，在不寻常的安全事件的情况下，日志记录的大幅增长可能会导致成本飙升。

2. 规划部署

由于与SIEM交互的系统量很大，规划阶段可能非常复杂。例如，SIEM平台必须与它所依赖的所有信息技术集成，包括日志、情报提要、漏洞和资产管理系统，以及提供关键数据的任何其他技术。

这里的部署还需要包括SIEM本身提供的所有技术——例如，安全编排、自动化和响应；端点检测和响应；以及其他事件响应工具。

如果你有传统的SIEM，你还需要考虑以下几点：

• 你需要迁移哪些自定义仪表板、配置和工作流程，以确保连续性，并确保重要的安全警报不会遗漏。
• 你的企业是否需要保留遗留日志数据，例如满足监管要求或建立绩效基线。如果是这样，请确定遗留数据的方式和位置——例如，在旧的SIEM、新的SIEM或第三方数据管理平台中。
• 是否有已知或未知用户存在于SecOps之外，其用例可能扩大迁移范围，并引入其他挑战。

3. 执行分阶段部署

迅速切换到新的SIEM可能会导致混乱和混乱，几乎不可能确定特定问题的原因并及时修复它。

因此，最好并行运行新旧SIEM，并逐步测试和集成更多系统与新平台。解决任何出现的故障。测试SIEM，以衡量性能、弹性和安全性。

警告：在生产中长时间运行两个SIEM可能会使员工超负荷工作。安全领导者需要同时确保顺利部署和高效部署。

4. 配置和调整

SIEM需要大量的初始手动配置（随着时间的推移不断重新配置），以将误报和漏报警报保持在合理的水平。创建和完善规则集和过滤器；调整警报、阈值和触发器；以及开发和完善仪表板和报告以满足企业的需求。

5. 更新政策、流程和程序

在理想情况下，这项工作从前几个步骤开始，并在SIEM正式上线前结束。对员工开展培训，以学习如何使用和维护新SIEM。