什么是安全信息和事件管理?
安全信息和事件管理(SIEM)收集并整合日志和事件数据,帮助安全运营中心(SOC)主动识别并修复潜在威胁和漏洞。SIEM 解决方案将安全信息管理(SIM)和安全事件管理(SEM)结合到一个统一的平台中,实时收集安全日志并监控网络活动。SIEM 解决方案最初的形式是简单的数据管理和安全警报系统,后来逐渐发展为用户和实体行为分析(UEBA)等功能以及更先进的数据协调功能。
SIEM 提供必要的洞察力和信息,以便更好地识别、跟踪和应对安全事件。
SIEM 的优势
SIEM 的主要优势如下:
- 实时检测企业整个网络基础设施的威胁
- 显著缩短检测安全事件和事件的平均时间和响应平均时间
- 通过集中审计和报告,简化监管合规性
- 单一、统一的安全数据视图,包括潜在威胁。
- 获取先进的威胁情报
- 提高监控用户、设备和应用程序的透明度
- 更便捷、更有效的事故后调查
SIEM 如何工作
SIEM 解决方案汇总并分析日志和事件数据,以识别可能存在的威胁,而这些威胁可能会被人工忽略。它们收集的数据范围通常相当广泛,包括来自系统、应用程序、设备和安全工具的日志。SIEM 工具还可配置为标记特定的预定义威胁,如登录失败和可能的恶意活动。
当 SIEM 工具识别到潜在威胁时,就会生成安全警报,然后作为通知转发给 SOC。尽管安全团队可以应用预定义的规则集来支持智能优先级排序,但这些警报通常是未排序和未分类的。例如,一个用户尝试登录三次失败后又成功登录一次,他可能只是忘记了密码,而一个用户在几分钟内尝试登录 30 次失败,则可能是受到了暴力破解攻击。
SIEM 的特点和功能
日志管理
SIEM 解决方案从整个组织的网络中收集事件数据,并实时存储和分析这些信息。这些数据的范围通常相当广泛,包括用户、应用程序、物理资产、虚拟资产、云环境、安全工具和网络资产生成的信息。SIEM 解决方案通常还会出于合规目的对这些数据进行分类和存储。
一些 SIEM 平台还可以整合外部威胁数据和第三方威胁情报,不过这种功能通常只保留给安全协调、自动化和响应(SOAR)工具。
事件相关性
事件监测
安全警报
合规管理和报告
扩展检测和响应(XDR)与 SIEM 表面上有很多相同之处,都是收集、汇总和分析来自多个来源的数据。但是,XDR 比 SIEM 先进得多。例如,SIEM 工具无法在多个端点和环境中自动协调对网络威胁的实时响应,也无法主动调整网络防御以消除威胁。
即使是最先进的 SIEM 工具,其主要功能也是检测和确定优先级,而不是补救。
XDR 与 SIEM 的重点略有不同,不应被视为完全的替代品。SIEM 侧重于日志和事件管理,而 XDR 则更关注端点安全和威胁情报。由于 SIEM 解决方案可以提供额外的威胁情报反馈,而 XDR 平台可以从中汲取信息,因此两者可以很好地相互配合。
与 XDR 一样,SOAR 的范围也比 SIEM 广泛得多。它不仅能从内部来源获取信息,还能从第三方威胁情报和外部工具中获取信息。它还为企业的 SOC 提供智能警报优先级排序和预定义调查路径。同样,与 XDR 一样,两者之间的差异在很大程度上是互补的。
SOAR 绝非优于 SIEM,因为两者的目的不同。SIEM 工具可提供有关潜在事件的智能警报,而 SOAR 平台则可进一步对这些警报进行优先排序和管理。
最终,网络安全事件和事件管理的完整方法将包括 SIEM、SOAR 和 XDR,它们是一个整体的组成部分,而不是相互对立的解决方案。
大大小小的企业都在与越来越多的设备作斗争,每台设备都增加了攻击面。与此同时,大多数企业都面临着网络安全技能不足和资源短缺的问题。对于中小型企业来说,网络安全人员配备尤其棘手。
作为一项以人为本、基于订阅的 24x7x365 XDR 托管服务、 CylanceGUARD®CylanceGUARD ,它将基于AI的端点防护(EPP)与基于人工智能的端点防护(EPS)相结合,提供企业所需的专业知识和支持。 BlackBerry Cybersecurity Services与基于人工智能的端点保护 (EPP) 相结合,通过 CylancePROTECT®、持续身份验证和分析(通过 CylancePERSONA™进行持续验证和分析,以及通过 ® 进行设备威胁检测和修复。 CylanceOPTICS®.简而言之,CylanceGUARD 为企业提供所需的人员和技术,以保护企业免受现代威胁。
