很多企業主要依靠安全資訊和事件管理技術(siem)來生成周期性、集中的安全報告,這些報告用于合規性目的以及對攻擊事件事後檢測及調查。不過,大多數siem平台其實還能夠執行實時分析。
這意味着它們可接收最新安全事件日志資料、持續監測和分析所有最近收集的資料,以及确定需要采取進一步行動的事件。這可能涉及更密切地監控特定網絡連接配接、生成警報讓安全營運中心人員作出回應,或者調配其他企業安全控制來阻止正在進行的攻擊。
現在很多企業正在利用siem産品的實時分析功能來更快速檢測和阻止攻擊,這可幫助減少重大資料洩露和其他攻擊活動。下面讓我們看看在評估siem系統用于實時分析時應考慮的三個因素:
多種分析技術。不同的情況需要不同的分析技術或技術組合。例如,通過基于簽名的技術來檢測攻擊可能比其他方法更快,但這也很容易被攻擊者繞過,讓其失去效用。
siem平台應該支援可查找異常事件、使用者行為模式改變、統計異常和其他突發性活動的技術。此外,siem産品還應該為每種情況使用正确的技術。
事件關聯功能。siem最大優勢之一是它可發現單個事件的關聯部分或者多個日志的相關事件,并結合這些來看到整個局面。例如,網絡入侵防禦系統可能檢測到伺服器正受到攻擊,但需要通路伺服器的作業系統和應用日志來确定攻擊是否成功以及發生了什麼。
而siem平台可自動分析所有這些日志,它們可更較長的描述發生了什麼。在某些情況下,siem平台可發現一系列相關事件,讓人類分析師可追蹤攻擊者在整個公司的活動。
威脅情報支援和使用。威脅情報源可提供有關最新檢測到的威脅的資訊,例如攻擊其他企業的裝置的ip位址。siem利用威脅情報資訊可顯著提高其實時分析能力,讓攻擊檢測更快更準确,并讓siem平台可更好地優先排序其操作。
有些siem平台使用供應商提供的威脅情報;其他平台還支援使用第三方威脅情報。這種威脅情報的品質非常重要,品質包括更新頻率、是否全面以及精确度。同樣重要的是考慮siem産品如何利用這些威脅情報,這應該是實時分析考慮的因素之一。不平衡的做法可能會顯著增加誤報或漏報率,讓實時分析事倍功半。
作者:karen scarfone
來源:51cto