网络安全知识体系

SIEM (安全信息和事件管理)
SIEM(安全信息和事件管理)是一个由不同的监视和分析组件组成的安全和审计系统。最近网络攻击的增加，加上组织要求更严格的安全法规，使SIEM成为越来越多的组织正在采用的标准安全方法。
但是SIEM实际上涉及到什么呢?它由哪些不同的部分组成?SIEM实际上如何帮助减轻攻击?本文试图提供一种SIEM 101。后续文章将深入探讨一些可用于实际实现SIEM的解决方案。
1、为什么我们需要SIEM?
毫无疑问，对计算机系统的攻击不断增加。Coinmining, DDoS, ransomware，恶意软件，僵尸网络，网络钓鱼——这只是今天那些正义之战所面临的威胁的一部分。
有趣的是，正如赛门铁克(Symantec)在其2018年互联网安全威胁报告中所指出的那样，不仅攻击数量在上升，使用的途径和方法也在上升:
“从WannaCry和Petya/NotPetya的突然传播，到造币商的迅速增长，2017年再次提醒我们，数字安全威胁可能来自新的和意想不到的来源。”随着时间的推移，不仅威胁的数量在不断增加，而且威胁的范围也变得更加多样化，攻击者会更加努力地寻找新的攻击途径，并在此过程中隐藏自己的踪迹。
系统和网络监控在帮助组织保护自己免受这些攻击方面一直发挥着关键作用，多年来已经发展了一些相关的方法和技术。然而，网络犯罪性质的变化意味着一些攻击往往会被忽视，这一点很快就变得显而易见。数据融合，即来自多个数据源的数据的聚合和不同事件之间的相关性，以及长时间保留这些数据的能力变得至关重要。
网络攻击的增长导致合规要求更加严格。健康保险流通与责任法案(HIPAA),支付卡行业数据安全标准(PCI DSS),萨班斯-奥克斯利法案(SOX),和一般的数据保护监管(GDPR)——所有的这些都需要组织来实现一组全面的安全控制,包括监测、审计和报告,所有这些都促进了SIEM系统。
2、定义与演变
简单地说，SIEM是一个由多个监视和分析组件组成的安全系统，旨在帮助组织检测和减轻威胁。
如上所述，SIEM将许多其他安全规程和工具结合在一个综合的框架下:
日志管理(LMS)——用于传统日志收集和存储的工具。
安全信息管理(SIM)——集中于从多个数据源收集和管理与安全相关的数据的工具或系统。例如，这些数据源可以是防火墙、DNS服务器、路由器和防病毒应用程序。
安全事件管理(SEM)——基于主动监视和分析的系统，包括数据可视化、事件相关性和警报。
SIEM是今天的术语管理系统,所有上述合并到一个层,知道如何从分布式自动收集和处理信息的来源,将它存储在一个集中位置,不同事件之间的关联,并根据这些信息生成警报和报告。
3、SIEM组件
SIEM不是一个单独的工具或应用程序(尽管有一些工具可以帮助部署SIEM系统，见下文)，而是一组不同的构建块，它们都是系统的一部分。没有标准的SIEM协议或已建立的方法，但是大多数SIEM系统将包含本节中描述的大部分(如果不是全部的话)元素。
3.1聚合
日志表示在数字环境中运行的进程的原始输出，是提供实时发生的事情的准确图像的最佳来源，因此是SIEM系统的主要数据源。
无论是防火墙日志、服务器日志、数据库日志，还是在您的环境中生成的任何其他类型的日志，SIEM系统都能够收集这些数据并将其存储在一个中心位置以进行扩展的保留。此收集过程通常由代理或应用程序执行，部署在监视的系统上，并配置为将数据转发到SIEM系统的中央数据存储。
3.2处理和标准化
在SIEM上下文中收集数据的最大挑战是克服各种日志格式。从本质上说，SIEM系统将从大量层(服务器、防火墙、网络路由器、数据库)中提取数据，每种记录的格式都不同。
看看下面的例子:
这两个日志消息报告的是同一个事件——特定用户(您的真实用户)和客户机IP的身份验证失败。注意时间戳字段的格式、用户的日志记录方式和实际消息的不同。
为了能够跨不同源和事件相关性高效地解释数据，SIEM系统能够规范化日志。这个规范化过程包括将日志处理为可读的结构化格式，从日志中提取重要数据，并映射日志中包含的不同字段。
3.3关联
一旦收集、解析和存储，SIEM系统中的下一步将负责连接这些点并关联来自不同数据源的事件。这种关联工作基于各种SIEM工具提供的规则、为不同的攻击场景预定义的规则，或者由分析人员创建和调整的规则。
简单地说，关联规则定义了一个特定的事件序列࿰