什么是 SIEM（安全信息和事件管理）？

SIEM 或安全信息和事件管理收集日志和事件，规范化这些数据以进行进一步分析，这些分析可以表现为可视化、警报、搜索、报告等。安全团队通常会将他们的 SIEM 用作中央仪表板，在平台上进行许多日常操作。 安全分析师 可以使用 SIEM 解决方案来承担 高级网络安全用例，例如 持续监控、威胁狩猎 和 事件调查和响应。

SIEM 已经存在了 20 多年，并且从早期的集中式数据库发展而来，发生了巨大的变化。SIEM 的第一个版本（源于安全信息管理 (SIM) 和安全事件管理 (SEM) 方法的结合）在扩展、原始警报功能和数据关联能力方面存在很大局限性。

多年来，SIEM 技术在这些以前表现不佳的功能方面取得了重大进步，同时还增加了对存档数据进行历史回溯的能力 - 这对于分析师了解潜在威胁的背景信息非常有用。

现在，可视化和集成工作流程已成为 SIEM 的组成部分，引导分析师关注优先级警报并促进适当的响应操作。SIEM 中的自动化检测和响应工作流程可以帮助带宽有限的安全团队更有效地应对大量潜在恶意活动的涌入。

SIEM（安全信息和事件管理）平台通过收集这些各种技术产生的日志和事件数据来工作，并为安全分析师提供对其组织 IT 环境的全面视图。有效的 SIEM 将自动修复系统中的已知威胁，同时呈现更细微的情况，以帮助安全分析师确定是否需要进一步调查和采取行动。

设备、网络、服务器、应用程序、系统……组织的生态系统会从日常运营中产生大量数据。这些数据中包含大量有助于保持生态系统安全的上下文信息。这就是 SIEM 的用武之地。

SIEM 是任何安全团队的关键组成部分。它充当一个集中式枢纽，通过该枢纽可以将大量数据汇集在一起进行分析，通过充当集中式任务控制中心来统一分析师体验。借助 SIEM，安全团队可以识别并防御可能避开外围安全技术并活跃在组织生态系统中的威胁。

阅读 Elastic 2023 年全球威胁报告。探索当前的恶意软件、端点和云安全趋势，并了解如何预防网络安全威胁。

借助能够以速度和规模执行的 现代 SIEM（许多传统 SIEM 解决方案存在限制，无法做到这一点），组织可以获得以下优势

全面的可见性

拥有一个单一、集中式的位置，团队可以从中监控、持续分析并在其环境中采取行动，对于从单一数据源进行操作至关重要。

统一的叙述

正确配置的 SIEM 会规范化不同的数据类型，以提供组织庞大 IT 环境的连贯快照。

自动威胁检测

借助现代 SIEM，安全从业人员可以自动化威胁和异常检测，然后快速查询数据以调查一系列事件，访问历史数据以了解趋势或上下文，以及更多功能。

风险管理

通过使用 SIEM，团队可以利用由预构建机器学习作业驱动的异常检测来暴露未知威胁，从而深入了解风险最高的实体。

SIEM 可以帮助安全团队解决各种关键任务用例。以下是一些主要的用例：

日志管理

组织的宿主、应用程序、网络等创建的日志数据和事件需要通过集中式日志管理平台进行收集、存储和分析。

持续监控

主动监控环境可以帮助分析师检测可能表明威胁的异常趋势。跨环境的监控可以包括：

• 系统更改
• 正常运行时间/停机时间
• 网络流量

高级检测

除了检测复杂的恶意软件和勒索软件攻击外，具有高级检测功能的解决方案还应该能够针对以下情况发出警报：

• 用户凭据/权限更改
• 异常行为
• 内部威胁
• 数据泄露

威胁狩猎

主动地在 IT 环境中追查威胁。成熟的威胁狩猎实践需要一个快速引擎来跨大量数据进行查询。

事件响应

如果发生了安全事件，则需要协调响应来减轻违规的影响。

合规性

成熟的 SIEM 应该支持符合适用的法规和框架。不同的合规性法规将在不同的行业和地区有所不同（例如，医疗保健行业的 HIPAA，欧盟的 GDPR 等）。以下是一些现代 SIEM 可以涵盖的合规性法规：

• GDPR
• HIPAA
• SOX
• PCI DSS
• SOC 2 / 3
• ISO/IEC

虽然 SIEM 解决方案为安全团队提供了用于可视化、警报和报告的仪表板，以更好地检测威胁，但SOAR（安全编排、自动化和响应）解决方案使团队能够标准化和简化组织对任何检测到的事件的响应。

因此，虽然 SIEM 专注于威胁检测，而 SOAR 专注于组织对这些威胁的更广泛响应。在实践中，这些解决方案正在越来越接近。

为了真正充当安全从业人员可以与其他技术集成的“单一窗格”，SIEM（安全信息和事件管理）需要从其传统封闭的“黑盒”方法中发展出来。这意味着安全软件是在公开开发的，任何人都可以看到哪些功能正在发挥作用以保护用户安全，以及哪些代码可以增强以防御新出现的威胁。

虽然这听起来可能违反直觉（即，“为什么网络安全供应商会公开他们的代码？”），但安全供应商长期以来一直将代码封闭在社区之外，这本身就是一种行为，使这些安全公司成为黑客的目标。对安全软件的一次未检测到的攻击最终会导致数千名客户暴露于漏洞和入侵中，使大量敏感数据可供恶意行为者获取。无论攻击者是想要获取财务信息、商业机密、勒索材料还是外交丑闻，打开一个黑盒意味着攻击者可以获得通往王国的钥匙。

在 Elastic，我们相信最好的网络安全是开放的。我们期待与我们的客户和竞争对手合作，成为我们想要看到的变化，并为所有需要它的人提供更好、更开放的安全保障。

相关：为什么开放安全是最好的网络安全？

Elastic Security for SIEM 是全球领先组织的首选解决方案。该解决方案使安全团队能够建立对生态系统中所有数据的整体视图，最重要的是，能够以现代企业所需的快速和规模化的速度对这些数据采取行动。

Elastic Security for SIEM 还与其他安全用例无缝集成，包括：

• EDR（端点检测和响应）
• XDR（扩展检测和响应）
• 云安全
• SOAR（安全编排、自动化和响应）

• 网络安全
• 用户行为分析
• 数据安全
• 漏洞管理
• 合规性
• 威胁狩猎
• 可观察性

• 来自 Elastic 的网络威胁研究
• 是时候更换您的 SIEM 了吗？
• 介绍 Elastic AI 助手
• SIEM 趋势：在安全分析平台中寻找什么
• 信息图表：您的 SIEM 真的有多现代？
• 入门：使用 Elastic Security for SIEM
• Elastic Security Labs
• XDR 综合指南
• 云安全综合指南

无论您何时准备好... 以下 4 种方法可以帮助您将数据带到您的业务中

1. 开始免费试用，看看 Elastic Security 如何帮助您的业务。
2. 阅读 2023 年 Elastic 全球威胁报告
3. 浏览我们的解决方案，了解 Elasticsearch 平台的工作原理，以及我们的解决方案如何满足您的需求。
4. 与您认识的可能喜欢阅读这篇文章的人分享这篇文章。通过电子邮件、LinkedIn、Twitter 或 Facebook 与他们分享。