安全檢測與營運是企業網絡安全建設中的重要支柱。Gartner于今日釋出了針對SIEM的一份最新分析報告《Critical Capabilities forSecurity Information and Event Management》,其中提出了兩個重要的企業網絡安全戰略假設:
1. 到2025年,90%的SIEM部署模式均為 SaaS(雲)模式;
2. 到2025年,75%的SIEM解決方案中會自帶完整的TDIR(威脅檢測、調查和響應)能力,例如包含EDR\NDR\CASB等功能。
這再次說明了以下兩個大趨勢:
1、 雲是安全的未來;
2、 融合統一內建是安全能力的未來。
其中微軟的SIEM/SOC解決方案MicrosoftSentinel 名列SIEM核心能力榜單的兩個榜首,如下所示:
這是繼上個月 Gartner 把MicrosoftSentinel列入到SIEM魔力象限上司者象限的又一肯定:
以下是Gartner對微軟的相關評價:
微軟的SIEM産品是Microsoft Sentinel,該平台僅在SaaS版本中可用,并包括大量用于Microsoft功能和合作夥伴技術的開箱即用連接配接器。包含的 SOAR 功能基于 Azure 邏輯應用建構,對Jupyter 筆記本案例管理與報告的支援都是标準包的一部分。
Microsoft Sentinel 通過區域資料中心在全球範圍内提供,作為标準配置。它提供 90 天的資料保留期,可選擇延長至兩年,并包括長達 7 年的冷存儲。該産品提供了許多附加功能,包括Microsoft Defender for Endpoint和Microsoft Defenderfor IoT。
最近添加和值得注意的功能包括:
- 增加的MITRE ATT&CK覆寫映射和專用儀表闆支援跟蹤和了解組織與架構标準的一緻性。
- 直接内置于 Microsoft 平台中的無代碼連接配接器和資料規範化功能簡化了載入新資料源的過程。
- 通過“基本日志”進行的低成本日志管理擴充了現有的“分析日志”功能,無需持續監控和進階分析即可提供搜尋功能。
微軟擁有強大的TDIR功能,還提供許多SIEM額外收費的内置元件,例如SOAR。
這個分析報告中的其他關鍵内容:
對于SIEM相關産品而言,
- 擴充功能通常随SIEM 一起提供,以增強安全營運團隊集中執行更多職責的能力。這些擴充功能正在建立新的功能,而不是簡單地重新定義SIEM。
- 處理日志資料以及建立邏輯驅動的關聯規則和分析的需求仍将是 SIEM 的核心功能。 但是,通常包含附加元件以及從整個市場中選擇和內建與 SIEM 配合使用或內建的最佳技術的靈活性是一個單獨的主張。
- 安全營運團隊需要一個平台來一緻地檢測、調查和響應威脅,執行威脅搜尋流程,自動執行擴充活動并遠端激活緩解步驟。盡管SIEM是解決方案的一部分,但買家最終将需要TDIR功能。SIEM将與其他安全解決方案一起使用,例如安全編排、自動化和響應(SOAR),使用者實體和行為分析(UEBA),威脅情報平台(TIP)和事件管理等等。
主要發現
- Gartner 客戶通常更喜歡軟體即服務安全資訊和事件管理部署。由于許多 IT 職能将大部分 IT 功能作為SaaS 外包給單一供應商,他們需要為雲優先業務提供互補且緊密內建的解決方案。
- SIEM 功能正在偏離安全營運中心的核心角色,許多人意識到他們需要更廣泛的內建威脅檢測、調查和響應功能,這些功能超越傳統的日志驅動解決方案。
- 許多 SIEM 解決方案正在簡化其營運能力,并專注于更不成熟的買家,提供更多開箱即用的内容、自動化和向導來幫助設定日志攝取。這種簡化有時是以定制解決方案的能力為代價的,并且可能對成熟的買家沒有吸引力。
- SIEM 解決方案的打包和許可選項開始與其他 SaaS 解決方案的購買方式保持一緻。計算和存儲模型通常被棄用,以便更好地調整每個使用者/每個資産模型。然而,将資料發送到平台的成本仍然存在,大多數雲提供商都需要支付跨境資料費用。
負責安全營運的安全和風險管理主管必須:
- 使用關鍵安全風險建立用例要求,并确定 SIEM 支援威脅檢測用例所需的必要資料源和內建。“所有你可以吃”的SIEM資料通常非常昂貴或對大多數買家來說不可用。
- 通過評估合規性/法規要求、關鍵需求驅動資料源的位置及其組織的體系結構政策,确定 SIEM 的部署模型(例如 SaaS、本地、混合)。
- 實施 SIEM 作為更廣泛戰略的一部分,為安全營運 中心員工和/或托管服務提供商建立威脅檢測、調查和響應功能,以執行安全營運職責。考慮業務流程、自動化、進階檢測功能,例如使用者實體和行為分析以及響應管理的案例管理要求。
完整的分析報告,請通路:
https://www.gartner.com/doc/reprints?id=1-2AHCXAHL&ct=220701&st=sb