siem SIEM是什么？它是怎么运作的？又该如何选择正确的工具？

安全信息和事件管理(SIEM)起源于日志管理，但它比事件管理发展得更强。现在的SIEM软件提供商也引入了机器学习、高级统计分析等分析方法。

SIEM软件是什么？

SIEM软件可以为企业安全人员提供洞察力，并跟踪其信息技术环境中的活动记录。

SIEM技术已经存在了十几年，最早是从日志管理发展而来的。它将实时分析日志和事件数据以提供威胁监控、事件关联和事件响应的安全事件管理(SEM)与收集、分析和报告日志数据的安全信息管理(SIM)相结合。

SIEM的运行机制是什么

SIEM软件收集并汇总公司所有技术基础设施生成的日志数据。数据源包括主机系统和应用程序，以及防火墙和软件过滤器等网络和安全设备。

收集数据后，SIEM软件开始识别和分类事件并对其进行分析。该软件的主要目标有两个:

1.生成安全相关事件的报告，例如成功/失败的登录、恶意软件活动和其他可能的恶意活动。

2.如果分析显示某个活动违反了预定义的规则集，并且存在潜在的安全问题，则会发出警报。

企业对更好的合规管理的需求是早期采用该技术的主要驱动力。审核员需要检查是否符合规定，SIEM提供符合HIPPA、SOX、PCI DDS等强制性要求的监控和报告功能。但专家表示，近年来，企业对更好的安全措施的需求是SIEM市场更大的驱动力。

"

如今，大型企业通常将SIEM作为支持安全运营中心(SOC)的基础。

分析和情报

在安全操作中使用SIEM软件的主要驱动因素之一是市场上许多产品中包含的新功能。除了传统的日志数据，许多SIEM技术还引入了威胁情报馈送，许多SIEM产品具有安全分析功能，不仅可以监控网络行为，还可以监控用户行为，并可以提供更多关于某个操作是否恶意的情报。

事实上，在2017年5月的全球SIEM市场报告中，Gartner指出了SIEM工具中的智能，并将其描述为“SIEM市场的创新正在以惊人的速度创造更好的威胁检测工具。”

报告进一步指出，提供商正在产品中引入机器学习、高级统计分析等分析方法，部分提供商还在尝试人工智能和深度学习功能。

提供商市场的发展得益于更快地产生更准确的检测率的功能。但企业并不确定这些功能是否给公司带来新的收益，或者如何为公司创收。

至于这些技术的前景，弗雷斯特研究公司的首席分析师罗布·斯特劳德认为:

"

借助AI和机器学习，我们可以进行推理和基于模式的监控和报警，但真正的机会是预测性修复。这是目前的市场趋势。它正从监控工具转变为提供维修建议的软件。将来，SIEM甚至可以自动进行维修操作。

企业中的SIEM

SIEM软件只占全球企业安全支出的一小部分。Gartner估计，2017年全球企业安全支出约为984亿美元，SIEM软件将获得约24亿美元。高德纳预测，SIEM技术的支出将稳步增长，从2018年到26亿美元，从2021年到34亿美元。

SIEM软件主要用于大型企业和上市公司，这类公司的合规性要求是采用该技术的重要原因。

虽然一些中型企业也在使用SIEM软件，但是小公司既没有必要也不愿意在SIEM上投入资金。分析师表示，他们通常无法购买自己的解决方案，因为他们的年度支出可能达到数万至数十万美元。而且，小公司无法雇佣持续维持SIEM所需的人才。

也就是说，一些中小企业(SMB)已经从外包供应商那里获得了SIEM，这些供应商可以通过软件即服务来销售服务。

鉴于敏感数据流经SIEM系统，目前大型企业用户习惯于在本地运行SIEM软件。葛兰素史克美国SOC首席分析师、SANS研究所导师约翰·哈巴德(John Habad)说:“你在记录敏感的东西，而这种东西并不是每个人都敢在网上发的风险。”

但是，随着SIEM产品中机器学习和人工智能的增加，一些分析师也预计SIEM提供商会提出混合选项，一些分析将在云中执行。

"

云情报的收集、整理和输出都在上升，因为提供商比公司能收集和整理更多的数据。

选择SIEM工具和提供商

从全球销售额来看，SIEM市场有几个占主导地位的供应商，尤其是IBM、Splunk和HPE。还有更多主流玩家，如Alert Logic、Intel、LogRhythm、ManageEngine、Micro Focus、太阳风、Trustwave等。

Gartner2017SIEM年SIEM领域象限图

音乐说，公司需要根据自己的目标来评价产品，决定哪一个最符合自己的需求。主要是为了合规的公司会比想用SIEM建立SOC的公司更注重报表等具体功能。

同时，PT级海量数据的企业也会寻找一些更适合自己需求的供应商，而数据较少的企业可能会选择其他。同样，需要优秀的威胁搜索功能的公司也会寻求顶级的数据可视化工具和搜索功能。

安全监督员在评估SIEM供应商时，需要考虑很多其他因素，比如是否能支持特定的工具，系统中会有多少数据，会付出多少钱。例如，HPE的ArcSight ESM是一个功能齐全且成熟的工具，但它需要大量的专业知识，并且比其他选项更昂贵。安全操作越复杂，工具就越好用。

鉴于SIEM选择背后的两种驱动力导致的不同功能需求，很多企业会选择两种不同的系统，一种侧重于合规性，但这将减缓威胁检测。另一个是战术SIEM，用于威胁检测。

最大化SIEM的价值

大多数公司仍然主要使用SIEM软件来跟踪和调查发生的事情。该用例的驱动因素是数据泄漏威胁的升级，以及安全主管和公司在此类事件中面临的日益严重的后果。可想而知，如果公司被黑了，没有一个CIO会在董事会问的时候说“我要是知道就好了”。他们最应该想说的是“我们会整理日志数据，搞清楚到底发生了什么。”

但是很多公司对SIEM的这个用例并不满意，开始在检测和近实时响应中更多的使用这个技术。现在的游戏是:你的探测速度有多快？机器学习的不断发展正在帮助SIEM系统更准确地识别异常活动和潜在的恶意活动。

尽管有这些发展，公司仍然面临着最大化工具效果甚至最大限度地提取现有系统价值的挑战。这有很多原因。

首先，SIEM技术是一个资源密集型的工具，需要有经验的人员来实施、维护和调整——这类人员并不是所有企业都能完全投入的。

许多企业购买这项技术是因为他们知道这是他们所需要的，但他们没有能够处理这项技术的人，或者他们没有培训他们的员工。

为了最大化SIEM软件的输出，需要有高质量的数据。数据源越大，工具的输出越好，可以识别的异常值越多。然而，公司很难定义和提供正确的数据。

即使有强大的数据和高端团队来操作SIEM技术，软件本身也有局限性。SIEM在检测可接受的活动和合法的潜在威胁方面并不完全准确。正是这种差异导致了许多SIEM部署中的大量误报。这种情况需要企业内部强有力的监管和有效的程序，以避免安全团队被警报过载拖累。

"

安全人员往往从追逐大量的误报开始。成熟的公司会学会调整工具，让软件明白什么是正常事件，从而减少误报的数量。另一方面，一些安全团队跳过这一步，习惯性地忽略太多的误报——这种操作可能会错过真正的威胁。

高端公司也编写脚本来自动化更多的常规功能。例如，从不同的数据源中提取上下文数据，以构建更完整的警报视图，并加快对真实威胁的调查和识别。这需要良好的工艺和安全的操作成熟度。也就是说，SIEM不仅仅是作为一个单独的工具使用，而是与其他技术集成在一起，有一个完整的过程来指导各种动作。

这样可以减少员工在低端行动上花费的时间，让他们把精力集中在高价值的任务上，改善公司的整体安全状况。