在本文中,專家Karen Scarfone介紹了企業(yè)評估安全信息和事件管理(SIEM)產(chǎn)品的重要標(biāo)準(zhǔn)。
安全信息和事件管理(SIEM)產(chǎn)品及服務(wù)負(fù)責(zé)從大量企業(yè)安全控件、主機(jī)操作系統(tǒng)、企業(yè)應(yīng)用和企業(yè)使用的其他軟件收集安全日志數(shù)據(jù),并進(jìn)行分析和報告。有些SIEM還可以試圖阻止它們檢測到正在進(jìn)行的攻擊,這可能幫助阻止破壞或者限制成功攻擊可能造成的損壞。
現(xiàn)在有很多可用的SEIM系統(tǒng),包括“輕量級”SIEM產(chǎn)品—專門針對負(fù)擔(dān)不起或感覺他們不需要全功能SIEM的企業(yè)。對于企業(yè)來說,確定要評估哪些產(chǎn)品已經(jīng)是相當(dāng)大的挑戰(zhàn),更遑論選擇最適合特定企業(yè)或部門的產(chǎn)品。SIEM評估過程應(yīng)包括創(chuàng)建標(biāo)準(zhǔn)清單,以列出企業(yè)特別需要考慮的SIEM功能。
本文中提供了一些標(biāo)準(zhǔn)(也就是問題)以幫助企業(yè)進(jìn)行SIEM評估。由于 “輕量級”產(chǎn)品提供較少的功能,它們更容易評估,所以它們不在本文的討論范圍。這篇文章中探討的是“常規(guī)”SIEM中值得特別關(guān)注的方面。
1. SIEM能為相關(guān)日志來源提供多少本地支持?
如果SIEM無法接收和理解來自所有企業(yè)感興趣的日志產(chǎn)生源的日志數(shù)據(jù),那么,SIEM沒有那么多價值。其中最常見的是企業(yè)安全控件,例如防火墻、虛擬專用網(wǎng)、入侵防御系統(tǒng)、電子郵件和網(wǎng)絡(luò)安全網(wǎng)關(guān),以及反惡意軟件產(chǎn)品。SIEM應(yīng)該可以本地了解任何主要產(chǎn)品或這類云服務(wù)產(chǎn)生的日志文件。
此外,SIEM應(yīng)該對企業(yè)使用的操作系統(tǒng)品牌和版本產(chǎn)生的日志文件提供本地支持。其中的例外是移動設(shè)備操作系統(tǒng),這通常不提供任何安全日志記錄功能。SIEM還應(yīng)該本地支持企業(yè)的主要數(shù)據(jù)庫平臺,以及讓多個用戶與敏感數(shù)據(jù)交互的任何企業(yè)應(yīng)用。對企業(yè)使用的其他軟件提供本地SIEM支持也不錯,但并不是必要功能。
如果SIEM無法本地支持日志源,那么,企業(yè)通常可以開發(fā)自定義代碼來提供必要的支持,或者使用沒有日志來源數(shù)據(jù)的SIEM。
2. SIEM能否補充現(xiàn)有日志記錄功能?
企業(yè)使用的特定應(yīng)用和其他軟件可能缺乏強(qiáng)大的日志記錄功能。有些SIEM產(chǎn)品和服務(wù)可通過代表其他軟件執(zhí)行其自己的監(jiān)控來補充這些功能。從本質(zhì)上來說,這擴(kuò)展了SIEM,讓它不只是集中式日志收集、分析和報告解決方案,同時也可代表其他主機(jī)產(chǎn)生原始日志數(shù)據(jù)。
3.SIEM可如何有效地利用威脅情報?
大多數(shù)SIEM能夠獲取威脅情報信息。這些情報信息通常是通過單獨訂閱各種服務(wù)而獲取,其中包括世界各地發(fā)現(xiàn)的最新威脅活動情報,包括哪些主機(jī)正被用于發(fā)起攻擊,以及這些攻擊有什么特性等。在SIEM中使用這些威脅情報的最大價值在于能夠更準(zhǔn)確地發(fā)現(xiàn)攻擊,以及做出更明智的決策,通常還可自動確定需要阻止哪些攻擊,以及阻止它們的最佳方法。
當(dāng)然,在供應(yīng)商之間,威脅情報的質(zhì)量各不相同。當(dāng)評估威脅情報有效性時需要考慮的因素包括威脅情報更新的頻率,以及威脅情報供應(yīng)商如何表達(dá)對每個威脅惡意性質(zhì)。
4. SIEM產(chǎn)品可提供哪些取證功能?
傳統(tǒng)上來講,SIEM只收集其他日志源提供的數(shù)據(jù)。然而,最近有些SIEM產(chǎn)品添加了各種取證功能,可收集它們自己有關(guān)可疑活動的數(shù)據(jù)。常見的例子是SIEM產(chǎn)品能夠?qū)阂饣顒酉嚓P(guān)的網(wǎng)絡(luò)連接進(jìn)行全數(shù)據(jù)包捕獲。假設(shè)這些數(shù)據(jù)包未加密,SIEM分析師可更密切地審查其內(nèi)容,以更好地了解這些活動的性質(zhì)。取證的另一個方面是主機(jī)活動日志記錄;這種日志記錄可在任何時候執(zhí)行,或者當(dāng)發(fā)現(xiàn)涉及特定主機(jī)的可疑活動時觸發(fā)。
5. SIEM產(chǎn)品提供哪些功能來協(xié)助執(zhí)行數(shù)據(jù)分析?
用于事件檢測和/或處理的SIEM產(chǎn)品應(yīng)該提供功能來幫助人們審查和評估SIEM自己的日志數(shù)據(jù),以及SIEM自己的警報和其他發(fā)現(xiàn)。其中一個原因是,即使是高度精確的SIEM偶爾也會誤報事件,所以人們需要有一種方法來驗證SIEM的結(jié)果。另一個原因是調(diào)查事件的人們需要可用的界面來方便這些調(diào)查。這種界面的例子包括高級搜索功能和數(shù)據(jù)可視化功能等。
6. SIEM自動響應(yīng)功能是否及時、安全和有效?
評估SIEM產(chǎn)品的自動響應(yīng)功能是企業(yè)需要做的工作,因為這非常涉及企業(yè)的網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)安全控件和安全的其他方面。例如,特定SIEM產(chǎn)品可能不能導(dǎo)向企業(yè)的防火墻或其他網(wǎng)絡(luò)安全控件來終止攜帶惡意活動的連接。除了確保SIEM產(chǎn)品可將其需求傳達(dá)到其他主要安全控件外,同樣重要的是要考慮以下幾個特征:
· 及時性:SIEM檢測攻擊和引導(dǎo)適當(dāng)?shù)陌踩丶碜柚构粢嚅L時間?
· 安全性:SIEM和其他安全控件之間的通信如何受到保護(hù)以防止竊聽和篡改?
· 有效性:SIEM產(chǎn)品在損壞發(fā)生前阻止攻擊的有效性如何?
7. 具有內(nèi)置報告的SIEM支持哪些安全合規(guī)要求?
大多數(shù)SIEM提供高度定制的報告功能。很多這些產(chǎn)品還提供內(nèi)置支持以生成符合各種安全合規(guī)要求的報告。每個企業(yè)應(yīng)確定哪些舉措適用于它,然后確保SIEM產(chǎn)品支持盡可能多的合規(guī)要求。對于SIEM不支持的合規(guī)要求,確保其報告功能可很容易地進(jìn)行定制,以滿足這些合規(guī)報告要求。
做好你的工作以及評估
SIEM是復(fù)雜的技術(shù),它需要與企業(yè)安全控件以及各種主機(jī)的全面整合。為了評估最適合你企業(yè)的SIEM產(chǎn)品,你應(yīng)該定義基本評估標(biāo)準(zhǔn)。并沒有適合所有企業(yè)的單個最佳SIEM產(chǎn)品;每個環(huán)境都有自己的IT特征和安全需求。即使是部署SIEM的主要目的,都可能非常不同,例如滿足合規(guī)報告要求或者協(xié)助事件檢測。
因此,每個企業(yè)在購買SIEM產(chǎn)品或服務(wù)前都應(yīng)該進(jìn)行自己的評估工作。本文中介紹了一些企業(yè)在評估中應(yīng)該考慮的標(biāo)準(zhǔn),但這并不是說其他標(biāo)準(zhǔn)都沒有必要。企業(yè)應(yīng)將本文列出的標(biāo)準(zhǔn)作為出發(fā)點,以根據(jù)自己的需求構(gòu)建自己的SIEM標(biāo)準(zhǔn)清單。這將幫助確保企業(yè)選擇最佳SIEM產(chǎn)品。