如何从安全信息和事件管理中取得价值
发布时间:2022-05-11 09:43:05 所属栏目:安全 来源:互联网
导读:由于企业发生安全事件和漏洞变得越来越普遍,安全信息和事件管理(SIEM)解决方案日渐引起了企业的兴趣和重视。理想情况下,SIEM将帮助企业收集和关联日志、以及相关事件数据来识别和应对那些真正会引发安全威胁的问题。这是一个相当艰巨的任务,许多部署了SIE
|
由于企业发生安全事件和漏洞变得越来越普遍,安全信息和事件管理(SIEM)解决方案日渐引起了企业的兴趣和重视。理想情况下,SIEM将帮助企业收集和关联日志、以及相关事件数据来识别和应对那些真正会引发安全威胁的问题。这是一个相当艰巨的任务,许多部署了SIEM的企业均对此感到失望,因为他们没有达到他们所期望的效果。 托管安全服务提供商Proficio公司的总裁兼首席执行官布拉德·泰勒表示说,他的公司经常被客户的电话叫去抢救各种没有成功部署的SIEM。在积累了数年的经验之后,泰勒对于客户的相关项目最有可能在何处脱轨有着清晰的把控。 企业没有得到他们所需要的可操作的警报,因为来自诸如防火墙和入侵检测系统(IDS)这样的设备仍然有太大的噪音,并且围绕着警报也没有足够的背景能让他们真正信任。这可能会导致安全分析师把时间浪费在意义不太重大的事件上。泰勒强调了来自SIEM设备上的超越了基层内容,并能够提供自定义的使用案例,而且是特定于企业用户的业务和计算环境的重要性。  “我们在SIEM和使用案例中看到缺乏相关的内容。”根据泰勒介绍。“一个SIEM可以帮助您找到很多东西,但你必须告诉需要寻找的是什么,或者你可以给它一些条件,这样其就可以开始分析行为。你也必须明白,相关的安全威胁是不断发展的,需要不断地适应你的内容和你的使用案例。” 他说,一个简单的使用案例:可能是想知道“当企业的某个员工在办公室登录到自己的台式机,并在同一时间从远程位置登录到VPN。毕竟一个人不能同时出现在两个地方,这样,企业就会知道这是一个值得深入挖掘的情况。需要查看分析两个登录源,对两个登录源分别来自何处做定位分析,并发出相关类型的警报。这是一个非常简单的企业可能想基于员工的差旅和使用VPN设置的使用案例。当然还有更复杂的使用案例,也可以围绕应用程序、Web门户网站和寻找恶意软件和恶意活动的基本内容建立。” 他给出了一个如何把一次安全事件融入周围环境的例子。假设你企业有IDS检测活动,正试图利用一个危险的漏洞,如Shellshock。但流量是针对那些不具有漏洞的系统,基于漏洞扫描你企业已经有的数据。重要的是要关联这些数据点,这样你就不会以追逐那些根本没什么要紧的东西而结束了。 很多企业并没有花时间去将他们的内部资源和政策模拟成SIEM,使其更有效地确定可疑的内部威胁,以及周边环境的安全性。 “企业需要模拟他们的资产,”泰勒说。“他们需要确保熟悉其环境中的一切,熟悉金融区域与开发区域,熟悉相关的企业政策应该从哪里传达到哪里,这就是业务的环境背景。它告诉我很多关于什么情况应该是正常的,然后我可以创建使用案例和行为,这样我可以寻找那些异常的东西。” 他补充说,“你不能依靠SIEM的基本内容以回答有关环境背景和重点的问题。所有的SIEM有基本的内容固然是相当不错,但你必须去适应它,将其模拟到您自己的环境和当下的安全威胁。你必须不断增加和调整内容。” (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐