SIEM挑戰：為什麼你的安全團隊沒有「慧眼」？

現如今許多企業採用安全信息和事件管理（SIEM）軟體協助檢測網路上的可疑行為。然而，要想成為一家高效的企業，需要圍繞SIEM提供諸多元素，比如安全專家、高級用例、威脅情報以及值得推敲的流程來響應威脅。

自從SIEM每天收集數以百萬計的安全事件，最常見的誤解就是，它會立即識別攻擊指標，並提供開箱即用的有意義的建議。許多人認為「這就是我買它的原因啊！」然而，SIEM只是一個工具。不幸的是SIEM只是構建內容的基礎，並不是一個全面運作的網路安全解決方案，即使有一個廠商為您安裝了它。T安全團隊需要持續構建過程、關聯規則和用例，從而真正受益於它的功能。簡而言之，SIEM不是靜態的，而是動態的，需要不斷的維護和操作化。

你是否經歷過不斷增加數量的高優先順序警報？這也表明你的IT安全團隊沒有有效用例來抑制假警報或找到更先進的攻擊場景。因此，SIEM交付的少量信息，難以篩選並提供高優先順序和相關事件的可視化。如果一個企業沒有操作工作流或記錄升級稍微運行手冊，安全分析人士不會有文檔來驗證警報、整合與其他威脅來源，證實事件是否需要解決，然後決定做什麼。如果公司沒有一個明確的修復過程，他們就沒辦法在最壞的情況下響應。分析師也缺乏操作的依據。

雖然SIEM可以收集和匯總各種信息，它需要成功實現需要尋找哪些信息。像任何計算機解決問題，你必須告訴計算機邏輯遵循以獲得所需的數據。問問自己：我需要什麼數據分析來識別潛在威脅？程序邏輯化工具來過濾數據確定這些關鍵的離群值；這可以歸類為一個用例。在SIEM世界，創建用例對於任何SIEM是至關重要的。企業必須知道他們在尋找什麼，和將什麼數據輸入到系統中來衡量，產出有效內容。

SIEM通常尋找已知的可疑行為指標。根據用例和相關性與其他變數，它可能仍然需要人工監督和驗證來確認告警是合法的。例如，一個員工通常在美國工作，可能從中國訪問資料庫。雖然這可能看起來可疑的，但是合法的。在一個安全運營中心(SOC)，分析師通常尋找指標不好的活動，而非基於結構化的用例。尋找未知的壞指標是檢測高級持續威脅（APT）的重要部分。先進的分析幫助SIEM根據以往的可以活動指標、異常值和風險尋找未知指標。

為了建立有效的用例，IT安全團隊需要優先考慮不同的安全事件，定義關鍵資產，考慮他們的業務上下文環境。他們需要根據黑客採用的新型攻擊來不斷改善這些用例。，這是一個持續的過程。通常，安全團隊需要維持一個最低50用例模型的SIEM業務環境。

除了識別潛在的威脅或漏洞，SIEM可以用來管理未來的審計和法規遵從。如果公司審計失敗，他們需要找出存在差距的安全策略和過程，什麼是審計需要特別滿足的部分。公司也需要理解如何保持合規的同時維持高效。所有的合規性和框架要求企業集中收集日誌，積極地監控這些日誌，並積極響應攻擊指標。這就是SIEM進入的原因。通常企業無法模型化資產，這意味著他們失去了對於關鍵數據是否在適當的伺服器上的控制，以及整個設備上應該發生哪些行為。

這不只是SIEM，更是流程。不僅僅是管理SIEM，更是是關於管理流程和用例，發現威脅並響應。安全團隊,不斷構建和維護用例和應用關聯規則，使其適合於其商業環境，從而從SIEM中獲取更多有價值的見解，最大化這種投資工具。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！