即使在購(gòu)買(mǎi)SIEM軟件之前,為實(shí)施SIEM,企業(yè)仍需要做大量的準(zhǔn)備工作。SIEM要求安全團(tuán)隊(duì)而不僅僅是IT和網(wǎng)絡(luò)工程師深刻理解網(wǎng)絡(luò)拓?fù)浜蛥f(xié)議。SIEM還要求企業(yè)清楚地理解SIEM完成哪些功能。
SIEM 重要功能就是記錄和監(jiān)視。幾乎所有的SIEM廠商都想向企業(yè)推薦一種“大而全”的方法,但企業(yè)部署SIEM的最佳方法是分階段進(jìn)行。日志和監(jiān)視功能的管理(不管是由企業(yè)內(nèi)部的工程師管理,還是由服務(wù)供應(yīng)商管理),以及對(duì)SIEM警告的響應(yīng)是成功實(shí)施SIEM的最重要因素。
但成功實(shí)施的SIEM絕對(duì)不僅僅是記錄和監(jiān)視網(wǎng)絡(luò)。有很多企業(yè)并不知道其關(guān)鍵資產(chǎn)是什么,因而也不知道如何保護(hù)。
企業(yè)對(duì)員工進(jìn)行培訓(xùn),使其正確理解和使用SIEM應(yīng)用非常重要。很多情況下,企業(yè)往往僅依靠一個(gè)SIEM操作員或分析人員。但是,只有一個(gè)受到訓(xùn)練的操作人員會(huì)遭遇單點(diǎn)失效的問(wèn)題,在雇員離職或無(wú)法聯(lián)系時(shí),如果發(fā)生了事件,就會(huì)帶來(lái)嚴(yán)重的問(wèn)題。
深刻地理解SIEM的需求和目的有助于規(guī)劃實(shí)施SIEM的規(guī)模。如果企業(yè)的目標(biāo)僅僅是合規(guī),那么其實(shí)施規(guī)模往往要小得多,但是,定制SIEM就需要付出大量工作,只有這樣才能滿足所有的合規(guī)要求。如果企業(yè)的目標(biāo)是全面的可見(jiàn)性,那么,SIEM的部署規(guī)模就要大得多,但為滿足需求而進(jìn)行的SIEM定制則會(huì)少很多。
提前確認(rèn)需要哪些系統(tǒng)日志文件用于監(jiān)視是非常關(guān)鍵的。有些公司要求大量的以不同方式收集和處理數(shù)據(jù)的日志。在SIEM系統(tǒng)能夠提供報(bào)告之前,各種日志都需要標(biāo)準(zhǔn)化,其目的是保持?jǐn)?shù)據(jù)的一致性。
公司往往在規(guī)模很小的時(shí)候就開(kāi)始記錄日志,并隨著服務(wù)器的增長(zhǎng)而簡(jiǎn)單地復(fù)制日志規(guī)則,因而,日志文件就是在復(fù)制日志,或者在公司合并時(shí),公司能夠收集不同物理設(shè)備中相似日志文件中的不同數(shù)據(jù)。此外,在不同時(shí)區(qū)擁有服務(wù)器的公司往往沒(méi)有對(duì)時(shí)區(qū)實(shí)現(xiàn)標(biāo)準(zhǔn)化就收集日志,因而在不同時(shí)區(qū)同時(shí)創(chuàng)建的日志會(huì)擁有未同步的時(shí)間戳。此時(shí),在信息安全人員跟蹤安全事件時(shí),這種情況就成為一種巨大的挑戰(zhàn)。
在公司能夠充分利用SIEM產(chǎn)品的好處之前,需要配置SIEM系統(tǒng),其目的是解決時(shí)區(qū)以及在每類服務(wù)器上收集哪些數(shù)據(jù)、數(shù)據(jù)如何存放、存放到哪里以及SIEM系統(tǒng)如何分類可能發(fā)生的事件等問(wèn)題,這至關(guān)重要。
SIEM 系統(tǒng)需要與公司的需要相匹配。例如,假設(shè)一家中等規(guī)模的公司要首次實(shí)施其SIEM,而公司的IT人員僅能在正常的經(jīng)營(yíng)時(shí)間監(jiān)視系統(tǒng)。如果公司購(gòu)買(mǎi)了一種可以全天候生成實(shí)時(shí)結(jié)果和警告的SIEM,卻只能在經(jīng)營(yíng)時(shí)間才去監(jiān)視這些警告,那么公司就為其無(wú)法使用的特性和功能多花了錢(qián)。因而,管理層的期望有可能無(wú)法匹配實(shí)際的結(jié)果。
每個(gè)SIEM系統(tǒng)都擁有其自己的一套收集日志的需求。一般說(shuō)來(lái),Syslog系統(tǒng)日志可以發(fā)送給代理實(shí)現(xiàn)收集。微軟的日志是一般是通過(guò)安裝在本地設(shè)備上的代理來(lái)收集的,其中的日志是通過(guò)WMI 或RPC來(lái)收集的。當(dāng)然,還有許多其它類型的日志源,但Syslog系統(tǒng)日志和Windows一般占據(jù)了公司環(huán)境的大多數(shù)。
安全是一個(gè)過(guò)程而不是一種一勞永逸的戰(zhàn)術(shù)性操作。為獲得在SIEM和其它安全產(chǎn)品及服務(wù)上進(jìn)行投資的重要效果,負(fù)責(zé)信息安全的主要管理人員首先應(yīng)當(dāng)能夠確認(rèn)所有的IT 資產(chǎn),并且知道每種資產(chǎn)所需要的安全水平是什么。
在選擇了一種SIEM產(chǎn)品后,公司不妨僅對(duì)最關(guān)鍵的資產(chǎn)先實(shí)施日志記錄。在日志環(huán)境全面配置完成后,就可以啟用其它的特性。
通常SIEM的實(shí)施會(huì)比最初預(yù)期的花費(fèi)更多。在公司低估了準(zhǔn)備實(shí)施SIEM的時(shí)間和努力時(shí)(無(wú)論是從技術(shù)方面還是從人員方面),就會(huì)發(fā)生這種事情。此外,如果公司在開(kāi)始時(shí)沒(méi)有一個(gè)詳細(xì)的SIEM方案,就很容易購(gòu)買(mǎi)超出其實(shí)際需要的多余功能。企業(yè)調(diào)整應(yīng)用程序,使其處理所有的日志還可能花費(fèi)比預(yù)計(jì)的時(shí)間更長(zhǎng),從而導(dǎo)致更高昂的預(yù)期成本。此外,IT和安全人員還可能需要進(jìn)行培訓(xùn),才能管理SIEM應(yīng)用。