即使在购买SIEM软件之前,为实施SIEM,企业仍需要做大量的准备工作。SIEM要求安全团队而不仅仅是IT和网络工程师深刻理解网络拓扑和协议。SIEM还要求企业清楚地理解SIEM完成哪些功能。
SIEM 重要功能就是记录和监视。几乎所有的SIEM厂商都想向企业推荐一种“大而全”的方法,但企业部署SIEM的最佳方法是分阶段进行。日志和监视功能的管理(不管是由企业内部的工程师管理,还是由服务供应商管理),以及对SIEM警告的响应是成功实施SIEM的最重要因素。
但成功实施的SIEM绝对不仅仅是记录和监视网络。有很多企业并不知道其关键资产是什么,因而也不知道如何保护。
企业对员工进行培训,使其正确理解和使用SIEM应用非常重要。很多情况下,企业往往仅依靠一个SIEM操作员或分析人员。但是,只有一个受到训练的操作人员会遭遇单点失效的问题,在雇员离职或无法联系时,如果发生了事件,就会带来严重的问题。
深刻地理解SIEM的需求和目的有助于规划实施SIEM的规模。如果企业的目标仅仅是合规,那么其实施规模往往要小得多,但是,定制SIEM就需要付出大量工作,只有这样才能满足所有的合规要求。如果企业的目标是全面的可见性,那么,SIEM的部署规模就要大得多,但为满足需求而进行的SIEM定制则会少很多。
提前确认需要哪些系统日志文件用于监视是非常关键的。有些公司要求大量的以不同方式收集和处理数据的日志。在SIEM系统能够提供报告之前,各种日志都需要标准化,其目的是保持数据的一致性。
公司往往在规模很小的时候就开始记录日志,并随着服务器的增长而简单地复制日志规则,因而,日志文件就是在复制日志,或者在公司合并时,公司能够收集不同物理设备中相似日志文件中的不同数据。此外,在不同时区拥有服务器的公司往往没有对时区实现标准化就收集日志,因而在不同时区同时创建的日志会拥有未同步的时间戳。此时,在信息安全人员跟踪安全事件时,这种情况就成为一种巨大的挑战。
在公司能够充分利用SIEM产品的好处之前,需要配置SIEM系统,其目的是解决时区以及在每类服务器上收集哪些数据、数据如何存放、存放到哪里以及SIEM系统如何分类可能发生的事件等问题,这至关重要。
SIEM 系统需要与公司的需要相匹配。例如,假设一家中等规模的公司要首次实施其SIEM,而公司的IT人员仅能在正常的经营时间监视系统。如果公司购买了一种可以全天候生成实时结果和警告的SIEM,却只能在经营时间才去监视这些警告,那么公司就为其无法使用的特性和功能多花了钱。因而,管理层的期望有可能无法匹配实际的结果。
每个SIEM系统都拥有其自己的一套收集日志的需求。一般说来,Syslog系统日志可以发送给代理实现收集。微软的日志是一般是通过安装在本地设备上的代理来收集的,其中的日志是通过WMI 或RPC来收集的。当然,还有许多其它类型的日志源,但Syslog系统日志和Windows一般占据了公司环境的大多数。
安全是一个过程而不是一种一劳永逸的战术性操作。为获得在SIEM和其它安全产品及服务上进行投资的重要效果,负责信息安全的主要管理人员首先应当能够确认所有的IT 资产,并且知道每种资产所需要的安全水平是什么。
在选择了一种SIEM产品后,公司不妨仅对最关键的资产先实施日志记录。在日志环境全面配置完成后,就可以启用其它的特性。
通常SIEM的实施会比最初预期的花费更多。在公司低估了准备实施SIEM的时间和努力时(无论是从技术方面还是从人员方面),就会发生这种事情。此外,如果公司在开始时没有一个详细的SIEM方案,就很容易购买超出其实际需要的多余功能。企业调整应用程序,使其处理所有的日志还可能花费比预计的时间更长,从而导致更高昂的预期成本。此外,IT和安全人员还可能需要进行培训,才能管理SIEM应用。
作者:赵长林
来源:51CTO
