一目了然 掌握先机 SIEM选型概述

随着企业网络设备的增多,来自各个设备的日志也像洪水一样每天不断的冲击着IT部门的管理人员,因此,企业开始通过安全信息和事件管理(SIEM)方案来帮助管理如此大量的日志信息,同时通过这个方案来分析每一份日志,发现其中指示的安全问题。但是要成功的实施一套SIEM 方案并不是简单的事情。接下来我们就来看看该如何考察一个SIEM产品并对方案实施给出一些建议。

什么是SIEM?

SIEM 实际上是两类产品的集合体,其中SIM(安全信息管理)负责收集来自各个安全日志文件的数据,并整理创建成最终报告,SEM(安全事件管理)利用事件关联和报警机制来帮助分析安全事件。而传统的日志管理工具只能收集日志文件并给出报告。

要真正从SIEM方案的功能中获益,企业必须时刻监视日志并对安全日志揭示的安全事件做出响应。最起码企业应该有一个日志审核流程,确保有一定的资源用于定期审核安全日志,并保证任何异常的时间能够从日志中被提取出来并被及时处理。最好情况是,企业还具备突发事件响应机制,包括针对安全事故的响应策略以及所调用的企业资源。

另一个需要考虑的因素是企业必须愿意拿出一部分资源用于SIEM产品和方案的维护、调整以及改进。SIEM 方案的诊断依据之一是事件关联,而它是不会返回原始数据的。大部分SIEM产品都是针对通用情况设计的默认关联规则、条件或显示面板,并不一定就符合某个企业的特定环境和需求。因此企业的IT分析人员还必须定制和不断修改SIEM的诊断规则、报告参数以及显示面板的显示内容等,以便符合企业的日常工作需求。如果企业不愿意拿出一部分系统资源进行这些工作,那么SIEM工具的大部分好处都不会体现出来。

该怎么考察SIEM解决方案?

现在我们知道了什么是SIEM以及需要一定的系统资源来支持SIEM,那么在选择SIEM产品时,我们需要注意哪些方面呢?

许可证和可扩展性: 不同的 SIEM 厂商对他们的产品所采用的许可方式也不同。最常见的许可模式包括:

· 根据监控计算机和网络设备的数量

· 根据每天/每小时/每分钟的系统事件和日志大小(MB)。如果你在选购SIEM产品之前就研究过企业内每天产生的日志,那么对这个数据应该心里有谱。

需要注意的是,有些SIEM产品会在过期后限制功能(甚至会停止事件日志功能),尤其是哪些以日志数量和记录体积来计算许可证的产品。

另外,还要确保你所选择的SIEM产品能够适应未来的成长,尤其是在存储部分。因为你必须为产品未来的事件分析日志和原始日志的增长做好准备。

日志兼容性: 由于目前市场上没有一个统一的日志标准,因此也不是所有的SIEM产品都能从所有的日志生成设备(计算机或网络设备)中捕获对应的事件日志。在选购 SIEM之前你要确定所选择的SIEM产品能够支持企业内部的全部有关的日志源。另外,考虑到未来企业可能会新添加一些未知的日志源设备, 你应该确保SIEM产品能够添加新的日志源,或者询问厂商是否能在未来提供相应的支持和扩展服务。

关联引擎: 关联引擎主要依赖于产品所使用的规则。因此能否轻松的建立规则是很重要的一项指标。对于事件的搜索功能也非常重要,因为你需要通过这种功能在多种设备、日志和时间范围进行搜索。理想情况是,可以通过搜索结果调出原始数据并进行某些处理。

面板、报表和一般用户界面: 你所选择的SIEM工具必须能够让你自己建立个性化的监控面板和报告系统。理想情况下,监控面板应该能够显示实时监控信息,并提供一定的深化操作能力。而能够方便的创建个性化的报告系统,也非常重要,因为这将提高数倍的检验效率。由于SIEM产品将会成为在检测和分析安全事件时的主要工具,因此它的常规界面应该足够人性化并符合企业需求,避免因为这些问题而降低操作效率。

你是否需要SIEM解决方案?

正如我前面提到的,SIEM方案需要专用的设备资源,并不是每个企业都已经为此做好了准备。你可以随时评估一些日志管理工具并根据自己的需求进行修改,等待时机成熟时再选择完整的SIEM方案。

SIEM并不是解决企业安全问题的万灵丹,但是只要正确的部署和使用,它就能够让企业快速发现安全事故并立刻做出响应。