很多企业主要依靠安全信息和事件管理技术(SIEM)来生成周期性、集中的安全报告,这些报告用于合规性目的以及对攻击事件事后检测及调查。不过,大多数SIEM平台其实还能够执行实时分析。
这意味着它们可接收最新安全事件日志数据、持续监测和分析所有最近收集的数据,以及确定需要采取进一步行动的事件。这可能涉及更密切地监控特定网络连接、生成警报让安全运营中心人员作出回应,或者调配其他企业安全控制来阻止正在进行的攻击。
现在很多企业正在利用SIEM产品的实时分析功能来更快速检测和阻止攻击,这可帮助减少重大数据泄露和其他攻击活动。下面让我们看看在评估SIEM系统用于实时分析时应考虑的三个因素:
多种分析技术。不同的情况需要不同的分析技术或技术组合。例如,通过基于签名的技术来检测攻击可能比其他方法更快,但这也很容易被攻击者绕过,让其失去效用。
SIEM平台应该支持可查找异常事件、用户行为模式改变、统计异常和其他突发性活动的技术。此外,SIEM产品还应该为每种情况使用正确的技术。
事件关联功能。SIEM最大优势之一是它可发现单个事件的关联部分或者多个日志的相关事件,并结合这些来看到整个局面。例如,网络入侵防御系统可能检测到服务器正受到攻击,但需要访问服务器的操作系统和应用日志来确定攻击是否成功以及发生了什么。
而SIEM平台可自动分析所有这些日志,它们可更详细描述发生了什么。在某些情况下,SIEM平台可发现一系列相关事件,让人类分析师可追踪攻击者在整个公司的活动。
威胁情报支持和使用。威胁情报源可提供有关最新检测到的威胁的信息,例如攻击其他企业的设备的IP地址。SIEM利用威胁情报信息可显著提高其实时分析能力,让攻击检测更快更准确,并让SIEM平台可更好地优先排序其操作。
有些SIEM平台使用供应商提供的威胁情报;其他平台还支持使用第三方威胁情报。这种威胁情报的质量非常重要,质量包括更新频率、是否全面以及精确度。同样重要的是考虑SIEM产品如何利用这些威胁情报,这应该是实时分析考虑的因素之一。不平衡的做法可能会显著增加误报或漏报率,让实时分析事倍功半。