什么是 SIEM（安全信息和事件管理）？

SIEM，即安全信息和事件管理，收集日志和事件，对这些数据进行规范化，以便进行进一步分析，从而以可视化、警报、搜索、报告等形式呈现。 安全团队通常会将他们的 SIEM 用作中央仪表板，在平台上执行许多日常操作。 安全分析师可以使用 SIEM 解决方案来处理 高级网络安全用例，例如 持续监控、威胁搜寻以及 事件调查和响应。

SIEM 已经存在 20 多年了，并且从早期作为集中式数据库以来，已经有了显著的发展。SIEM 的第一个版本（源于安全信息管理 (SIM) 和安全事件管理 (SEM) 方法的结合）在扩展性、原始警报功能和稀疏的数据关联能力方面存在很大的局限性。

多年来，SIEM 技术会在这些先前表现不佳的功能方面取得重大进展，同时还增加了对存档数据执行历史回溯的能力，这对于分析师获取有关潜在威胁的背景信息非常有用。

现在，可视化和集成工作流程已成为 SIEM 的组成部分，使分析师能够专注于优先级警报并促进适当的响应操作。SIEM 中的自动检测和响应工作流程可以帮助带宽有限的安全团队更有效地响应大量潜在恶意活动。

SIEM（安全信息和事件管理）平台的工作原理是收集这些各种技术产生的日志和事件数据，并为安全分析师提供其组织 IT 环境的全面视图。有效的 SIEM 会自动修复系统中的已知威胁，同时还会显示更细致的情况，以帮助安全分析师确定是否需要进一步的调查和操作。

设备、网络、服务器、应用程序、系统……一个组织的生态系统每天的运营会产生大量数据。此数据中存在大量上下文，有助于确保生态系统的安全。这就是 SIEM 的用武之地。

SIEM 是任何安全团队的关键组成部分。它充当一个中心枢纽，通过该枢纽可以将大量数据汇集在一起进行分析，并通过充当集中式任务控制基地来统一分析师的体验。借助 SIEM，安全团队可以识别和防御可能已逃脱边界安全技术并在组织生态系统内活动的威胁。

阅读 Elastic 2023 年全球威胁报告。探索当前的恶意软件、端点和云安全趋势，并了解如何预防网络安全威胁。

借助能够快速且大规模执行操作的现代 SIEM（许多传统的 SIEM 解决方案都有这方面的限制），组织可以获得以下好处：

整体可见性

拥有一个集中的位置，使团队能够在其环境中进行监控、持续分析和操作，这对于从单一真实来源进行操作至关重要。

统一叙述

正确配置的 SIEM 可以对不同的数据类型进行标准化处理，从而提供组织庞大 IT 环境的统一快照。

自动化威胁检测

借助现代 SIEM，安全从业人员可以自动检测威胁和异常情况，然后快速查询数据以调查一系列事件，访问历史数据以了解趋势或背景，以及执行更多操作。

风险管理

通过使用 SIEM，团队可以通过预构建的机器学习作业提供的异常检测功能来暴露未知威胁，从而深入了解风险最高的实体。

SIEM 可以帮助安全团队解决各种关键任务用例。以下是一些主要用例：

日志管理

组织的主机、应用程序、网络等生成的日志数据和事件需要通过集中的日志管理平台进行收集、存储和分析。

持续监控

主动监控环境可以帮助分析师检测可能表明存在威胁的异常趋势。环境监控可以包括：

• 系统变更
• 正常运行/停机时间
• 网络流量

高级检测

除了检测复杂的恶意软件和勒索软件攻击外，具有高级检测功能的解决方案还应能够针对以下情况发出警报：

• 用户凭据/权限的更改
• 异常行为
• 内部威胁
• 数据泄露

威胁搜寻

在 IT 环境中主动追踪威胁。成熟的威胁搜寻实践需要一个快速引擎来查询大量数据。

事件响应

如果发生了安全事件，则必须进行协调响应，以减轻漏洞的影响。

合规性

成熟的 SIEM 应支持符合适用的指令和框架的合规性。不同的合规性指令在行业和地区之间会有所不同（例如，医疗保健行业的 HIPAA，欧盟内的 GDPR 等）。以下是现代 SIEM 可以涵盖的一些合规性指令：

• GDPR
• HIPAA
• SOX
• PCI DSS
• SOC 2 / 3
• ISO/IEC

虽然 SIEM 解决方案为安全团队提供了一个用于可视化、警报和报告的仪表板，以更好地检测威胁，但SOAR（安全编排、自动化和响应）解决方案使团队能够标准化和简化其组织对任何检测到的事件的响应。

因此，虽然 SIEM 专注于威胁检测，但 SOAR 专注于组织对这些威胁的更广泛的响应。在实践中，这两种解决方案的融合程度越来越高。

为了真正充当安全从业人员可以与其他技术集成的“单一管理平台”，SIEM（安全信息和事件管理）需要从其传统的封闭式“黑盒”方法演变而来。这意味着安全软件的开发是公开的，任何人都可以看到哪些功能在保护用户安全，哪些代码可以增强以防止新出现的威胁。

虽然这听起来可能违反直觉（例如，“为什么网络安全供应商会公开他们的代码？”），但安全供应商长期以来将其代码与社区隔离的行为本身会使这些安全公司成为黑客的目标。对安全软件的一次未被发现的攻击最终可能使成千上万的客户面临漏洞和入侵，从而使大量的敏感数据可供恶意行为者使用。无论攻击者是寻求财务信息、商业机密、勒索材料还是外交丑闻，打开一个黑盒就意味着攻击者可以获得王国的钥匙。

在 Elastic，我们认为最好的网络安全是开放的。我们期待与我们的客户和竞争对手合作，成为我们希望看到的改变，并为所有需要的人提供更好、更开放的安全保障。

相关内容：为什么开放安全是最好的网络安全？

适用于 SIEM 的Elastic Security是全球领先组织的首选解决方案。该解决方案使安全团队能够全面了解其生态系统中的所有数据，最重要的是，能够以现代企业所需的速度和规模对这些数据采取行动。

适用于 SIEM 的 Elastic Security 还与其他安全用例无缝集成，包括：

• EDR（端点检测和响应）
• XDR（扩展检测和响应）
• 云安全
• SOAR（安全编排、自动化和响应）

• 网络安全
• 用户行为分析
• 数据安全
• 漏洞管理
• 合规性
• 威胁搜寻
• 可观测性

• 来自 Elastic 的网络威胁研究
• 是时候更换您的 SIEM 了吗？
• Elastic AI Assistant 简介
• SIEM 趋势：在安全分析平台中应寻找什么
• 信息图：您的 SIEM 到底有多现代化？
• 入门：将 Elastic Security 用于 SIEM
• Elastic 安全实验室
• XDR 综合指南
• 云安全综合指南

当您准备好时...这里有 4 种方法可以帮助您将数据引入您的业务

1. 开始免费试用，了解 Elastic Security 如何帮助您的业务。
2. 阅读 2023 年 Elastic 全球威胁报告
3. 浏览我们的解决方案，了解 Elasticsearch 平台的工作原理，以及我们的解决方案如何满足您的需求。
4. 与您认识的喜欢阅读此博文的人分享。通过电子邮件、LinkedIn、Twitter 或 Facebook 与他们分享。