SIEM软件产品和服务结合了安全信息管理 (SIM) 和安全事件管理(SEM)。它们提供对网络硬件和应用程序生成的安全警报的实时分析。

供应商将 SIEM 作为软件、设备或托管服务销售；这些产品还用于记录安全数据并为合规目的生成报告。

尽管业界已经将“ SIEM ”这个术语作为一个包罗万象的术语。

• LMS“日志管理系统” ——一个从多个主机和系统收集和存储日志文件（来自操作系统、应用程序等）到一个位置的系统，允许集中访问日志，而不是从每个系统单独访问它们。

• SLM /SEM “安全日志/事件管理” ——一种 LMS，但面向安全分析师而非系统管理员销售。SEM 是关于突出显示日志条目对安全性比其他条目更重要。

• SIM“安全信息管理” ——一种资产管理系统，但也具有加入安全信息的功能。主机可能在其摘要中列出漏洞报告，入侵检测和防病毒警报可能会显示映射到所涉及的系统。

• SEC“安全事件关联” ——对于特定的软件，来自三个不同客户端的同一用户帐户的三次失败登录尝试仅在其日志文件中显示三行。对于分析师来说，这是值得调查的特定事件序列，而日志关联（在日志文件中查找模式）是一种在这些事情发生时发出警报的方法。

• SIEM“安全信息和事件管理” ——SIEM 是“以上所有”选项，随着上述技术合并为单一产品，它成为管理安全控制和基础设施生成的信息的通用术语。我们将在本演示文稿的其余部分使用术语 SIEM。

能力

· 数据聚合： 日志管理 聚合来自许多来源的数据，包括网络、安全、服务器、数据库、应用程序，提供整合监控数据的能力，以帮助避免错过关键事件。

· 相关性：寻找共同的属性并将事件链接到有意义的包中。该技术提供了执行各种关联技术以整合不同来源的能力，从而将数据转化为有用的信息。关联通常是完整 SIEM 解决方案的安全事件管理部分的功能

· 警报：自动分析相关事件并生成警报，以告知接收者即时问题。警报可以发送到仪表板或通过电子邮件等第三方渠道发送。

· 仪表板：工具可以获取事件数据并将其转换为信息图表，以帮助查看模式或识别未形成标准模式的活动。

· 合规性：应用程序可用于自动收集合规性数据，生成适应现有安全、治理和审计流程的报告。

· 保留：采用历史数据的长期存储来促进数据随时间的关联，并提供合规要求所需的保留。长期日志数据保留在取证调查中至关重要，因为不太可能在违规发生时发现网络违规。

· 取证分析：根据特定标准在不同节点和时间段上搜索日志的能力。这减轻了您必须在头脑中汇总日志信息或必须搜索成千上万条日志的情况。

SIEM 是如何工作的？

您可能已经注意到“共同关系”这个词，是的，对于 SIEM 如何工作的问题，一站式的答案是共同关系。但当然不止如此。

基本上，SIEM 工具从组织基础设施中的设备收集日志。一些解决方案还收集 NetFlow 甚至原始数据包。通过收集到的数据（主要是日志、数据包），该工具可以深入了解网络的情况。

它为网络中发生的每个事件提供数据，从而充当一个完整的集中式安全监控系统。

除此之外，SIEM 工具可以配置为检测特定事件。例如，用户尝试登录 AD 服务器。前 3 次身份验证失败，第 4 次成功。现在，这是一个值得关注的事件。

有很多可能性。也许一个人试图猜测另一个用户的密码并且猜对了，这是一种违规行为。或者如果用户忘记了他的密码，但在最后得到了它，等等。这就是协同关系出现的地方。

对于这种情况，可以通过以下方式制定关联规则：如果身份验证失败事件连续发生 3 次，然后在特定时间段内成功，则弹出警报。

这可以通过分析来自各个机器的日志来进一步调查。所以我对关联关系的定义是：“它是将事件聚合成事件的规则，由特定的应用程序或场景定义。”

SIEM 食谱 – 良好 SIEM 部署所需的成分列表

安全信息/事件日志

•日志收集是 SIEM 的核心和灵魂——日志源越多，

将日志发送到 SIEM，使用 SIEM 可以完成的工作越多。

• 日志本身很少包含了解其所需的信息

您的业务范围内的内容。

• 安全分析师的带宽有限，无法熟悉每个最后的系统

您的 IT 运营所依赖的。

• 只有日志，分析师看到的只是“从主机 A 到主机 B 的连接”

• 然而，对于该系统的管理员来说，这变成了“日常活动转移

从销售点到应收账款”。

• 分析师需要这些信息来对任何

涉及此连接的安全警报。

• 日志的真正价值在于获取可操作的信息。

日志记录封面：

• 正常活动

• 错误条件

• 配置更改

• 政策变化

• 用户访问资产

• 事件警报

• 未经授权使用资源

• 对文件的非特权访问

• 用户行为模式

• 清除敏感数据

• 访问审计跟踪

日志提供有关 IT 资源状态和通过它们的所有活动的反馈。

日志如何到达 SIEM？

日志以两种不同的方式提取到 SIEM。基于代理和非代理。在基于代理的方法中，日志推送代理安装在从中收集日志的客户端机器中。

然后将此代理配置为将日志转发到解决方案。在后一种类型中，客户端系统使用 Syslog 或 Windows 事件收集器服务等服务自行发送日志。

还有一些特定的应用程序和设备可以通过一系列供应商特定的程序进行集成。

SIEM 究竟会如何发出警报？

好吧，现在您知道来自不同设备的日志正在被转发到 SIEM。举个例子：针对特定机器启动端口扫描。在这种情况下，机器会生成大量异常日志。

分析日志，可以清楚地看到不同端口定期发生许多连接故障。

如果可能的话，查看数据包信息，我们可以检测到定期从同一 IP 发送到同一 IP 但发送到不同端口的 SYN 请求。得出的结论是，有人对我们的资产发起了 SYN 扫描。

SIEM 自动执行此过程并发出警报。不同的解决方案以不同的方式做到这一点，但产生相同的结果。

SIEM 成功之路

SIEM 成功之路如下所示：

· 从标准安全源收集日志。

· 使用补充数据丰富日志。

· 全球威胁情报（黑名单）。

· 人力资源/互联网下载管理。

· 相关 - 在日志干草堆中找到众所周知的针。

· 调查——跟进和修复。

· 该文件 — 标准操作程序、服务水平协议、故障单。

· 合并——建立白名单、新内容。

SIEM 的 10 大用例

随着 SIEM 解决方案的使用越来越多，商业机构热衷于解决其日常运营中出现的大量安全和业务用例。在这篇文章中，我们将介绍前 10 个用例，并概述如何使用它来检测基础架构中的任何此类行为

以下是前 10 个用例：

1. 认证活动

使用来自 Windows、Unix 和任何其他身份验证应用程序的数据的异常身份验证尝试、非工作时间身份验证尝试等。

2. 共享账户

多个来源（内部/外部）在给定时间范围内使用来自 Windows、Unix 等来源的登录数据为特定用户帐户发出会话请求。

3. 会议活动

会话持续时间、非活动会话等，使用专门来自 Windows 服务器的登录会话相关数据。

4. 连接细节

连接可以是真实的或虚假的。可疑行为可能包括使用来自防火墙、网络设备或流数据的数据在关闭的端口上尝试连接、阻止内部连接、连接到错误的目的地等。可以进一步丰富外部资源以发现域名、国家和地理详细信息。

5、异常管理行为

使用来自 AD 帐户管理相关活动的数据监控非活动帐户、未更改密码的帐户、异常的帐户管理活动等。

6. 信息盗窃

数据泄露尝试、通过电子邮件等泄露信息、使用来自邮件服务器、文件共享应用程序等的数据。

7. 漏洞扫描与关联

Qualys 等应用程序检测到的安全漏洞与其他可疑事件的识别和关联。

8. 统计分析

可以进行统计分析来研究数据的性质。可以使用平均值、中位数、分位数、四分位数等函数来实现此目的。来自各种来源的数字数据可用于监控诸如入站与出站带宽使用比率、每个应用程序的数据使用、响应时间比较等关系。

9. 入侵检测和感染

这可以通过使用来自 IDS/IPS、防病毒、反恶意软件应用程序等的数据来完成。

10. 系统变更活动

这可以通过使用配置更改、审计配置更改、策略更改、策略违规等的数据来完成。

关键控制和 SIEM

关键控制 1：授权和未授权设备清单

SIEM 可以将用户活动与用户权限和角色相关联，以检测违反最低

权限强制执行的情况，这是此控制所必需的。

关键控制 2：授权和未授权软件清单

SIEM 应用作授权软件

产品的库存数据库，以与网络和应用程序活动相关联。

关键控制 3：笔记本电脑、工作站和服务器上硬件和软件的安全召唤

已知漏洞仍然是成功利用的主要途径。如果自动

设备扫描工具在通用

配置枚举 (CCE) 扫描期间发现配置错误的网络系统，则应将该错误配置报告给

SIEM，作为这些警报的中央来源。这有助于对事件进行故障排除

以及改善整体安全状况。

关键控制 4：防火墙、路由器和交换机等网络设备的安全配置

网络设备上的任何错误配置也应报告给 SIEM 以进行综合分析

关键控制 5：边界防御

网络规则违规，如 CCE 发现，也应报告给一个中央

源 (SIEM)，以便与存储在 SIEM

解决方案中的授权库存数据相关联

关键控制 6：审计日志的维护、监控和分析

控制 6 基本上是关于 SIEM 的控制，SIEM 是收集

和集中关键日志数据的主要手段；事实上，甚至还有一个

专门研究 SIEM 的分析子控制。SIEM 是核心分析引擎，可以在日志事件

发生时对其进行分析。

关键控制 7：应用软件安全

与 CCE 扫描结果一样，在软件应用程序中发现的漏洞

也应报告给中央源，这些漏洞可以与

有关特定系统的其他事件相关联。SIEM 是存储这些扫描

结果并将信息与通过日志捕获的网络数据相关联的好地方，以

确定漏洞是否被实时利用。

关键控制 8：管理权限的受控使用

当不满足此控制的原则时（例如管理员运行

Web 浏览器或不必要地使用管理员帐户），SIEM 可以关联访问

日志以检测违规并生成警报。

关键控制 9：基于需要知道的受控访问

SIEM 可以将用户活动与用户权限和角色相关联，以检测违反最低

权限强制执行的情况，这是此控制所必需的。

关键控制 10：持续关键控制

SIEM 可以将漏洞上下文与实际系统活动相关联，以确定

漏洞是否被利用。

关键控制 11：账户监控

只有与已知良好活动的基线相比，才能检测到异常的帐户活动。满足此控制的基线应由

SIEM 记录；并且，随着未来的快照或基线被记录下来，它们可以与

SIEM 中批准的基线进行比较。

关键控制 12：恶意软件防御

发现的恶意软件应根据此控制记录。集中

式反恶意软件工具应将其发现报告给 SIEM，SIEM 与系统和漏洞数据相关联，以确定哪些系统由于在该系统上发现

的恶意软件而构成更大的风险

关键控制13：网络端口、协议和服务的限制和控制

如果系统运行的端口、协议或服务未经授权，则还应报告给中央源，在该源中，这些漏洞可以与有关特定系统的其他事件相关联。SIEM 可以监控日志数据以检测受限端口、协议和服务上的流量。组织可以使用这些控制来决定哪些端口和服务对业务有用，哪些没有，以及限制哪些类型的流量和端口

关键控制 14：无线设备控制

应将设备错误配置和无线入侵报告给中央

数据库以进行事件处理。

SIEM 是整合此信息并将其用于关联或检测对无线

基础设施的威胁的理想选择

关键控制 15：数据丢失预防

数据丢失规则违规，如 CCE 发现，也应该报告给一个中央源，如 SIEM，它可以将数据丢失事件与库存或资产信息以及其他系统和用户活动相关联，以检测敏感数据的复杂违规行为。

关键控制 15：数据丢失预防

数据丢失规则违规，如 CCE 发现，也应该报告给一个中央源，如 SIEM，它可以将数据丢失事件与库存或资产信息以及其他系统和用户活动相关联，以检测敏感数据的复杂违规行为。

本文翻译自：https://gbhackers.com/security-information-and-event-management-siem-a-detailed-explanation/如若转载，请注明原文地址 - 4HOU.COM