从 SIEM 到下一代 SIEM 的演变

简介: 从 SIEM 到下一代 SIEM 的演变

640.png


在此文中,我们详细介绍了下一代 SIEM 的演变。传统的 SIEM 主要用于提高网络可见性和网络安全性,同时支持合规性。它们跨应用程序、网络和系统摄取、收集和存储日志数据。

SIEM 使捕获和搜索数据变得更加容易,这些数据有助于组织进行审计、取证和事件响应。

因为它充当可以提供整个企业可见性的中央数据存储库,所以它经常被安全运营中心 (SOC) 用作识别和调查指示活动威胁和攻击活动的事件的主要控制台。

SIEM 中的“S”已经成熟了好几年。


传统和第二代 SIEM 的局限性


早期版本的 SIEM 具有平庸的搜索功能,这使得检索随时间推移收集的数据变得非常困难。管理员能够执行简单的关联,使他们能够根据时间和/或 IP 地址将相关数据分组在一起。

虽然这很有帮助,但第二代 SIEM 显着改善了可搜索性问题,但还没有真正的安全分析。有些人试图添加这些技术。

但是,从根本上说,这些平台是为本地日志收集而设计的。添加新的分析功能,如网络流量分析、网络检测和响应 (NDR) 或用户实体行为分析 (UEBA) 几乎是不可能的,因此这些技术是“附加”的,而不是真正集成的。


云也是如此。如今向混合云、去中心化云和多云环境的转变需要对 SIEM 进行全面的重新架构。


传统和第二代 SIEM 平台无法充分投资重建全新产品。所以他们尝试“MacGyver”它在云端工作。但是,如果不手动关联多个安装,大多数都无法处理所需的数量和/或提供完整的可见性。较新的云原生产品缺乏传统 SIEM 的功能。

这导致事件、误报和 SOC 分析师在确定威胁是否真实、活动是否正在进行或如何及时准确地做出响应时遇到的大量事件急剧增加。在威胁检测、调查和响应方面,传统的 SIEM 表现不佳。


为什么下一代 SIEM 优于传统 SIEM?


真正的下一代 SIEM 被设计为云原生 SaaS 平台,可在分散的、混合的、多云环境中可靠地工作。

它可以接受更广泛的遥测,包括应用程序、网络端点和云以及威胁情报。

它提供了一套统一的分析、训练有素的机器学习 (ML) 和人工智能 (AI) 以进行准确检测;收集与攻击相关的上下文以确定攻击活动的优先级并验证攻击活动(调查);并且具有动态响应能力,可实现更快、更精确的补救。

以下要求概述了下一代 SIEM 应提供的功能以满足当今现代基础设施的需求:

  • 云原生、混合和多云部署
  • 从所有可用来源收集和管理数据
  • 大数据架构
  • 完全可观察性
  • 主动线程检测和修复
  • 自动线程修复
  • 合规性(仅举几例,例如 GDPR)

支持云原生、混合和多云部署


下一代 SIEM 必须专门构建以在各种公共和私有云环境中运行,其中包括 AWS、Microsoft Azure、GCP 等。

这包括跨地理分散的云(也称为“联合搜索”)无缝管理和支持数据需求的能力。对于混合环境也必须如此,因为大多数企业仍将在云端和本地维护数据。

支持多云环境不仅仅是从云端收集数据。SIEM 必须支持正确收集数据并跨多个云应用高级威胁分析的能力,以识别隐藏在公共云环境中的威胁。


提高完整的可观察性


由于其基础架构和基于数据的许可模型,许多 SIEMS 难以在整个企业范围内大规模摄取和整合数据。然而,能够从其他安全解决方案、应用程序、端点、网络数据包信息等向 SIEM 发送数据以获得环境的整体视图至关重要。

此外,大多数 SIEM 和 XDR 解决方案都是基于规则的 ML/AI 引擎。真正的下一代 SIEM 使用训练有素的机器学习,它提供比基于规则的 ML/AI 更好的结果,因为它吸收更广泛的数据源而不是固定的数据集。

这允许 ML/AI 支持的任何分析在生命周期的更早阶段查明攻击,而不是等待规则触发。此外,经过训练的机器学习检测模型可以更有效地发现新的攻击和变体,这些攻击和变体可以轻松逃避基于规则的系统。


支持大数据架构


由于 SIEM 是 SOC 的“真实来源”,因此它可以完美地提供有关整个组织中几乎所有 IT 系统中的用户、应用程序、网络、设备和事件的上下文。传统的 SIEM 无法很好地处理大规模数据,并且还会产生高百分比的误报,尤其是当企业迁移到云端时,因为它生成的事件比本地解决方案多得多。


相反,下一代 SIEM 应该扩展以处理更多的数据源、增加的数据量、搜索与安全相关的数据集的能力以及持续的监控和分析。这些功能以及第三方威胁情报源的结合,增强了检测更复杂攻击的能力。


通过自动化提高更好的威胁检测


下一代 SIEM 提供一组可以链接在一起的统一分析,通常称为模型链接,具有分析链的能力。模型链分析通过警报的交叉验证消除了确定威胁时的歧义。


例如:您看到危险行为的早期警告与不寻常的横向移动相结合。然后,还有潜在的指挥和控制 (C2) 通信,以及地理位置问题。此数据与上下文统一以建立真正的威胁。

使用传统的 SIEM,安全团队可能需要几天或几周的时间来收集所有必要的上下文并手动验证作为攻击活动一部分的各种事件。为了让安全团队真正做出响应并防止违规行为。


促进优先调查


大多数 SIEM 和安全分析平台只是将攻击阶段关联起来,从而增加风险级别。它们为每个攻击阶段或用于触发事件的任何数据源提供妥协指标,但由分析师确定包含的警报集是否与攻击相关。

下一代 SIEM 必须能够跨任何数据源提供统一的数据集。结合广泛的分析,它可以提供必要的上下文,从而减轻安全团队执行调查和确认攻击活动有效性所需的大量手动工作。


如前所述,将分析模型链接在一起、交叉验证攻击活动并将这些结果提交到企业风险引擎的能力对于确定攻击的优先级至关重要。相反,大多数 SIEM 只是依赖汇总的第三方风险评分,而不是生成与组织特别相关的动态风险评分。


启用动态威胁修复


对于大多数 SIEM 和相关的SOAR,响应手册中缺乏上下文和精度。通常,他们只提供指导。IT 团队必须协作以提出适合组织的正确纠正措施,这会减慢响应时间。

下一代 SIEM 必须通过正确的遥测集收集一整套“相关”上下文,以提供有关攻击的准确详细信息,从而采取一套精确的行动来阻止违规行为。重要的是要摆脱静态剧本以生成动态响应,而不是自定义静态响应操作,这会减慢修复速度。

此外,下一代 SIEM 必须能够确定各个操作的优先级,以最大程度地减少业务中断并为有针对性的响应提供步骤。根据风险确定行动的优先级,使安全团队能够采取必要的步骤来阻止或限制攻击,而不是等待一次采取所有行动。


支持合规性


下一代 SIEM 必须支持和改进传统 SIEM 最常见的用例,法规遵从性。这是通过支持整个业务基础架构的集中合规性审计和报告实现的。

下一代 SIEM 应该内置对常见合规性要求和标准的支持和报告,例如健康保险流通与责任法案 (HIPAA)、支付卡行业数据安全标准 (PCI DSS) 和萨班斯-奥克斯利法案 ( SOX)、NIST、GDPR、MITRE 攻击框架等。

真正的下一代 SIEM 改进了安全操作的每个阶段。它旨在解决与可观察性、合规性和审计相关的所有用例。

它还可以加速准确的威胁检测、调查和响应。


相关文章
|
2月前
|
运维 监控 安全
利用DevSecOps强化应用安全
【10月更文挑战第11天】DevSecOps是将安全性集成到DevOps流程中的文化和实践,旨在自动化安全措施并将其贯穿软件开发生命周期。本文介绍了DevSecOps的核心原则、关键实践及实施步骤,帮助团队在不牺牲开发速度的情况下提升应用安全性。
|
4月前
|
数据采集 监控 安全
实时检出率仅19%,SIEM还是网络威胁处理的“瑞士军刀”吗?
在很多企业中,SIEM(安全信息和事件管理)已经成为安全团队日常处理威胁事件的必备工具,但这项曾被视为网络安全“瑞士军刀”的技术如今却备受质疑。 近日,安全研究机构CardinalOps发布了第四版《SIEM安全风险检测年度报告》,报告收集分析了来自Splunk、Microsoft Sentinel、IBM QRadar和Sumo Logic等行业主流厂商的SIEM系统真实应用数据,并使用MITRE ATT&CK技术对这些SIEM系统的实时威胁分析检测能力进行了测试。
|
7月前
|
人工智能 安全 网络安全
云端防御策略:融合云服务与先进网络安全技术
【5月更文挑战第30天】 在数字化时代,云计算为企业提供了弹性、可伸缩的资源管理解决方案,而网络安全则成为维护数据完整性和保障业务连续性的关键。本文深入探讨了云服务模型与网络安全技术的交叉领域,分析了当前面临的主要安全挑战,并提出了一套综合的云端防御策略。通过实施这些策略,组织能够更有效地保护其云基础设施,抵御日益复杂的网络威胁。
|
7月前
|
监控 安全 网络安全
云端防御策略:融合云服务与网络安全的新纪元
【5月更文挑战第28天】 在数字化时代,云计算已成为企业运营的核心,但随之而来的是日益复杂的网络威胁。本文探讨了如何在不牺牲云服务灵活性和效率的前提下,加强网络和信息安全。我们将详细分析多层次安全框架、加密技术、身份验证机制以及智能监控,并讨论如何将这些安全措施融入日常的云服务管理中。目标是为读者提供一个清晰的指南,帮助他们在享受云计算带来的便利时,确保数据和资源的安全。
|
7月前
|
运维 安全 网络安全
云端防御策略:融合云服务的网络安全新范式
【5月更文挑战第15天】 随着企业逐渐将关键业务迁移至云平台,云计算服务的安全性成为维护信息安全的前沿阵地。本文深入探讨了云服务模型中的网络安全挑战与对策,分析了在公有云、私有云和混合云环境下,如何通过创新的安全架构和技术手段强化数据保护和威胁防御。文章着重讨论了多租户环境中的数据隔离问题、云安全访问控制的最新进展以及针对云环境的安全运维管理实践。通过综合分析,提出了一个多层次、动态适应的安全框架,旨在为云服务用户提供一个更加安全、可靠的计算环境。
|
7月前
|
机器学习/深度学习 安全 网络安全
云端防御战线:构建云计算环境下的多层次网络安全体系
在数字化转型的时代浪潮中,云计算以其灵活性、可扩展性和成本效益成为企业IT架构的核心。然而,随着云服务模式的普及和复杂性的增加,网络安全问题也日益凸显。本文深入探讨了在动态变化的云计算环境中,如何构建一个多层次的网络安全体系,以确保数据安全和业务连续性。我们分析了云服务模型的安全挑战,提出了一系列创新的网络安全策略,并讨论了实现这些策略的技术手段和管理措施。此外,文章还强调了信息安全管理的重要性,以及如何在不断变化的威胁景观中保持敏捷和有效的防御机制。
|
人工智能 运维 供应链
悬镜云鲨SaaS三大核心能力 构筑下一代积极防御体系
悬镜首创的代码疫苗技术,核心是把安全检测和防护逻辑注入到运行时的数字化应用中,如同疫苗一般与应用融为一体,使其实现对风险的自发现和对威胁的自免疫。在0Day等未知漏洞防御、东西向流量防护、软件供应链投毒免疫等方面,拥有绝对的核心优势。
235 0
悬镜云鲨SaaS三大核心能力 构筑下一代积极防御体系