浅析SIEM、态势感知平台、安全运营中心

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全基线管理CSPM免费试用,1000次1年
云安全中心漏洞修复资源包免费试用,100次1年
简介: 近年来SIEM、态势感知平台、安全运营中心等概念炒的火热,有的人认为这都是安全管理产品,这些产品就是一回事,有人认为还是有所区分。那么到底什么是SIEM、什么是态势感知平台、什么是安全运营中心,他们之间有什么联系和区别呢?

近年来SIEM、态势感知平台、安全运营中心等概念炒的火热,有的人认为这都是安全管理产品,这些产品就是一回事,有人认为还是有所区分。那么到底什么是SIEM、什么是态势感知平台、什么是安全运营中心,他们之间有什么联系和区别呢?

一、SIEM

SIEM英文是security information and event managemen安全信息和事件管理
SIEM是一个由多个监视和分析组件组成的安全系统,旨在帮助组织检测和减轻威胁
一款典型的SIEM产品是将许多其他安全规则和工具结合在一个综合的框架下形成的一个合集。
典型的包括以下模块
日志管理(LMS)——用于传统日志收集和存储的工具。
安全信息管理(SIM)——集中于从多个数据源收集和管理与安全相关的数据的工具或系统。例如,这些数据源可以是防火墙、DNS服务器、路由器和防病毒应用程序。
安全事件管理(SEM)——基于主动监视和分析的系统,包括数据可视化、事件相关性和警报
大多数的SIEM包括以下元素
1、安全数据采集
主要是基于安全日志数据,日志表示在数字环境中运行的进程的原始输出,是提供实时发生的事情的准确图像的最佳来源,因此是SIEM系统的主要数据源。无论是防火墙日志、服务器日志、数据库日志,还是在实际网络环境中生成的任何其他类型的日志,SIEM系统都能够收集这些数据并将其存储在一个中心位置以进行扩展的保留。此采集过程通常由代理或应用程序执行,部署在监视的系统上,并配置为将数据转发到SIEM系统的中央数据存储。
2、安全数据解析处理和标准化
为了能够跨不同源和事件相关性高效地解释数据,SIEM系统能够规范化日志。这个规范化过程包括将日志处理为可读的结构化格式,从日志中提取重要数据,并映射日志中包含的不同字段。
3、安全数据集中存储
安全信息数据存储的目地当然是为了利用数据进行管理分析发现安全事件。
4、安全数据分析
一旦收集、解析和存储,SIEM系统中的下一步将负责连接这些点并关联来自不同数据源的事件。这种关联工作基于各种SIEM工具提供的规则、为不同的攻击场景预定义的规则,或者由分析人员创建和调整的规则。大多数SIEM系统还提供生成报告的内置机制。这些报告可以用于管理、审计或合规性原因。例如,可以将详细描述触发警报或规则的每日报告嵌入到仪表板中。
5、安全数据呈现
可视化数据和事件的能力是SIEM系统中的另一个关键组件,因为它允许分析人员方便地查看数据。包含多个可视化或视图的仪表板有助于识别趋势、异常情况,并监控环境的总体健康或安全状态。一些SIEM工具将附带预先制作的仪表板,而另一些工具将允许用户创建和调整自己的仪表板。
基于目前海量的安全信息数据,大数据架构已经成为主流。并不是说SIEM必须使用大数据架构,因为这是一个应用场景问题而非技术问题。但面对大量数据需要处理的场景时,基于大数据架构的SIEM则必不可少。所以有些厂商提出了SDC(security data center)安全大数据中心的概念就是把所有的安全数据集中管理起来,在SDC的基础上构建安全数据分析和展现能力,形成SIEM平台。

目前成熟的SIEM产品有很多,开源的有OSSIM、Elastic SIEM、Opensoc
OSSIM是SIEM的代表性产品,在产品形式上和Kali类似是一个基于Debain进行二次开发的Linux发行版,当前5.6.5版本基于Dibian 8(jessie)。
OSSIM使用Nmap等实现资产发现、使用Nessus等实现漏洞扫描、使用Snort等实现入侵检测、使用MySQL等进行数据存储,自己实现的部分主要是工具、数据整合和可视化展示。ossim存储架构是mysql,支持多种日志格式,包括鼎鼎大名的Snort、Nmap、 Nessus以及Ntop等,对于数据规模不大的情况是个不错的选择,新版界面很酷炫
从架构上来看,OSSIM系统是一个开放的框架,它的核心价值在于创新的集成各开源软件之所长,它里面的模块既有C/S架构,又有B/S架构,但作为最终用户主要掌握OSSIM WebUI主要采用B/S架构,Web服务器使用Apache。OSSIM系统结构示意图如下图所示。
在这里插入图片描述
第1层,属于数据采集层,使用各种采集技术采集流量信息、日志、各种资产信息,经过归一化处理后传入核心层。改层体现安全事件来源,入侵检测、防火墙、重要主机发出的日志都是安全事件来源,它们按发出机制分为两类:模式侦查器和异常监控(两者都采集警告信息,功能互补)由它们采集的安全事件,再被Agent转换为统一的格式发到OSSIM服务器,这一层就是Sensor要完成的内容。
第2层,属于核心处理层,主要实现对各种数据的深入加工处理,包括运行监控、安全分析、策略管理、风险评估、关联分析、安全对象管理、脆弱性管理、事件管理、报表管理等。该层中OSSIM Server是主角,OSSIM服务器,主要功能是安全事件的集中并对集中后的事件进行关联分析、风险评估及严重性标注等。所谓的集中就是以一种统一格式组织所有系统产生的安全事件告警信息(Alarms)并将所有的网络安全事件告警存储到数据库,这样就完成了对网络中所产生事件的一个庞大视图。系统通过事件序列关联和启发式算法关联来更好的识别误报和侦查攻击的能力。
OSSIM本质上通过对各种探测器和监控产生的告警进行格式化处理,再进行关联分析,通过后期这些处理能提高检测性能,即减少告警数量,减小关联引擎的压力,从整体上提高告警质量。
第3层,属于数据展现层,主要负责完成与用户之间的交互,达到安全预警和事件监控、安全运行监控、综合分析的统一展示,形式上以图形化方式展示给用户。Web框架(Framework)控制台界面即OSSIM的Web UI(Web User Interface,Web用户界面),其实就是OSSIM系统对外的门户站点,它主要由仪表盘、SIEM控制台、Alarm控制台、资产漏洞扫描管理、可靠性监控、报表及系统策略等部分组成。
OSSIM主要模块的关系
OSSIM系统主要使用了PHP、Python、Perl和C等四种编程语言,从软件层面上看OSSIM框架系统包括五大模块:Agent模块、Server模块、Database数据库模块、Frameworkd模块以及Framework模块,逻辑结构如图所示。
在这里插入图片描述
Elastic SIEM 的核心是全新的 SIEM 应用,此应用是安全团队的交互式工作空间,可允许他们对事件进行分类并开展初期调查。其中包括的时间线事件查看器 (Timeline Event Viewer) 能够允许分析师收集和存储攻击证据,固定相关活动并添加注释,以及添加评论并分享他们的发现,而且这一切在 Kibana 中即可完成;这样一来,您便能够轻松处理符合 ECS 格式的任何数据了。
在这里插入图片描述Opensoc是思科2014年在BroCon大会上公布的开源项目,但是没有真正开源其源代码,只是发布了其技术框架。可以参考Opensoc发布的架构,结合实际落地SIEM的方案。Opensoc完全基于开源的大数据框架kafka、storm、spark和es等,天生具有强大的横向扩展能力
在这里插入图片描述
所以从SIEM的定义和功能来看有两个核心能力,一个是安全信息数据的采集汇聚能力,一个就是安全事件的分析能力。

二、安全态势感知平台

“态势感知”早在 20 世纪 80 年代由美国空军提出,其包含感知、理解和预测三个层次。截止目前,业界对网络安全态势感知还没有一个统一全面的定义,基于美国Endsley 博士的理论对网络安全态势感知做出的定义:“网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势,并以可视化的方式展现给用户,并给出相应的报表和应对措施。”
什么是态势感知平台,大家都认为应该是利用大数据、机器学习等技术对态势感知态势海量数据进行提取,进行多维度的关联分析。能够提供对安全风险保持报警、趋势预测等,海量数据、关联分析、大屏展示和趋势预测是四个重点。而趋势预测最核心,目前做起来也比较难。
个人理解,SIEM重点在于对安全事件的感知和理解,态势感知重点在于通过大数据、机器学习等技术加深了对安全趋势的预测。国外一般不提态势感知系统,而国内,很多厂商都推出了态势感知系统。
目前国内安全厂商提供的“态势感知产品”包含的功能模块有:资产管理、漏洞管理、大数据平台、日志分析平台、威胁情报、沙箱、用户行为分析、网络流量分析、取证溯源、威胁捕捉等能力。
几个关键点:
1、 大数据平台。随着监测范围的扩大,数据量也在扩大,需要一个具备大数据处理和计算能力的平台,这是整个态势感知平台建设很重要的基础。
2、 基于威胁情报的监测。威胁情报对于降低大量数据和报警中的垃圾数据或者报警噪声,帮助更快速、更高效的发现攻击行为和攻击者非常关键,威胁情报的质量是检验态势感知平台能力的很重要的方面。
3、 全要素数据的采集。利用态势感知这样的平台能力的核心目的,是要监测到复杂的、高级的攻击,就需要态势感知平台首先要捕获到微观的状态,低成本、高效率的全要素数据采集能力是基础。
4、 基于攻击场景的分析研判。攻击不再是基于特征的监测,需要运用威胁情报、运用一些专家的经验,来构建基于场景的分析系统,它不是一个静态的东西,是一个与时俱进的攻防对抗过程中不断学习、学习参考的过程,需要持续运营这样的分析管理,需要更多的专家的经验和安全运营人员的参与。

三、安全运营中心

SOC(安全运营中心)来源于NOC(网络运营中心)。
随着信息安全问题的日益突出,安全管理理论与技术的不断发展,需要从安全的角度去管理整个网络和系统,而传统的NOC在这方面缺少技术支撑,于是,出现了SOC的概念。
以前大家所说的SOC是SOC 1.0阶段,只是在SOC的核心部件SIEM的买卖,国外所说的SOC是一个复杂的系统,它使用SIEM产品进行运维又以此向客户提供服务,也就是我们所说的SOC 2.0
SOC(安全运营中心)是以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件及风险分析,预警管理,应急响应的集中安全管理系统。
SOC是一个复杂的系统,它既有产品,又有服务,还有运维,SOC是技术、流程和人的有机结合。
随着安全态势感知平台的兴起,安全运营中心将以态势感知平台作为智能安全运营的载体,在风险监测、分析研判、通知协作、响应处置、溯源取证等各方面进行了增强,同时融入了当前流行的技术和平台作为支撑,如大数据技术、东西向流量采集技术,EDR 终端检测响应技术、机器学习、欺骗攻击技术等。同时态势感知平台与 ITIL(Information Technology Infrastructure Library,ITIL)理念与信息安全管理标准相融合,将安全运营划分为不同角色,如安全管理人员、安全专家、安全运维、安全分析师、安全应急响应人员、安全研究人员等,在集成了安全事件管理全生命周期的流程中,通过工作流程将其串联起来,使安全运营流程更加规范和有序。

所以个人认为SDC<SIEM<态势感知<安全运营中心


作者博客:http://xiejava.ishareread.com/

目录
相关文章
|
3天前
|
云安全 安全 数据安全/隐私保护
带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)
随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。
|
3天前
|
云安全 安全 网络安全
带你读《阿里云安全白皮书》(十一)——云上安全重要支柱(5)
阿里云通过内部红蓝对抗体系,常态化模拟真实场景下的APT攻击,持续提升平台安全性。蓝军团队采用MITRE ATT&CK框架,系统模拟外部攻击,红军团队则进行持续防守。整个过程包括攻击规划、执行和复盘修复阶段,确保及时发现并修复安全漏洞,提升整体防御水平。
|
1天前
|
存储 云安全 人工智能
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
|
3天前
|
云安全 安全 数据可视化
带你读《阿里云安全白皮书》(十二)——云上安全重要支柱(6)
阿里云构建了7x24小时全自动化红蓝对抗平台,通过深度整合内外部攻防案例,进行高频次、自动化的演练,提升对复杂攻击的应对能力,确保安全防护体系持续优化。平台具备全自动化演练、随机性与多样化、可视化输出、节点负载智能控制、日志追踪与审计、应急场景秒级熔断等特性,确保演练过程稳定高效。
|
1天前
|
存储 云安全 安全
带你读《阿里云安全白皮书》(二十一)——云上安全重要支柱(15)
阿里云安全白皮书(2024版)详细介绍了其在面对线上威胁时的快速响应与恢复能力。通过一体化的安全运营能力,阿里云帮助客户在极端威胁下快速感知、响应风险并恢复数据及服务。白皮书还涵盖了全面的资产梳理、及时的威胁情报分析、高效的风险识别与治理、专业的安全服务等内容,旨在为企业提供全方位的安全保障。
|
3天前
|
云安全 存储 运维
带你读《阿里云安全白皮书》(十七)——云上安全重要支柱(11)
阿里云提供了《阿里云安全白皮书(2024版)》,介绍客户数据安全保护技术能力。针对敏感行业,阿里云推出了专属区域和云盒两种形态,确保数据本地存储和合规要求,同时提供标准的公有云产品。此外,阿里云数据安全中心提供敏感数据识别、细粒度数据审计、数据脱敏/列加密、数据泄露检测与防护等四大功能,全面保障数据安全。
|
3天前
|
云安全 安全 测试技术
带你读《阿里云安全白皮书》(十三)——云上安全重要支柱(7)
阿里云通过全方位红蓝对抗反向校验,引入国内外优秀的第三方渗透测试服务,确保云平台及产品的安全性达到国际领先水平。同时,通过外部安全生态建设,与白帽社区合作,建立阿里安全响应中心(ASRC)和先知平台,提升整体安全水位。
|
1天前
|
云安全 监控 安全
带你读《阿里云安全白皮书》(二十三)——云上安全建设最佳实践
淘宝作为全球最大规模、峰值性能要求最高的电商交易平台,基于阿里云成功通过了多年“双11”峰值考验。淘宝的安全体系涵盖了系统安全、网络安全、账号与凭据安全、云资源安全等多个方面,通过阿里云提供的多种安全产品和服务,确保了业务的稳定运行和数据的安全。淘宝的安全实践不仅为自身业务提供了坚实的保障,也为其他行业的云上安全建设提供了宝贵的经验和参考。
|
1天前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(二十二)——云上安全重要支柱(16)
在全球化背景下,阿里云高度重视云平台的安全合规建设,确保客户在不同地区和行业能够满足监管要求。阿里云通过140多项安全合规认证,提供全面的专业安全合规服务和便捷高效的安全合规产品,帮助企业高效且低成本地实现安全合规目标。更多详情可参见阿里云官网“阿里云信任中心 - 阿里云合规”。
|
3天前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(十六)——云上安全重要支柱(10)
阿里云提供了全面的数据安全保护措施,包括细粒度访问控制策略、网络访问控制、私网访问通道、RAM权限管理、安全组能力、可信计算与机密计算等,确保客户数据的主权和机密性。

热门文章

最新文章

下一篇
无影云桌面