安全信息和事件管理正在成为系统安全中非常强大的工具

　　对于大多数企业范围的组织而言，近年来数据泄露事件的数量激增和严重程度导致其网络安全成本急剧上升。

　　尽管迫切需要尽快投资最先进的技术，但了解哪些解决方案以及它们是否合适已变得越来越重要。

　　增长最快的安全产品领域之一是用户行为分析工具，例如安全信息和事件管理(SIEM)系统，它从事件和身份验证日志中收集数据以建立正常活动的基线，然后使用此基线检测恶意用户行为和其他异常情况。

　　如果类比有帮助，可以考虑ICU监视器，从中央显示器连续观察有助于识别异常情况，反过来触发警报，然后立即启动补救措施。类似于在患者皮肤上放置电极以创建心输出量的导管，代理被用作中间件以建立与服务器的连接并创建用于向虚拟日志收集器(VLC)传输数据的路径。

　　对于能够负担得起的公司而言，这项技术的消息就像是90年代的天赐之物，日志被海侵和预防检测系统掀起的海啸为日志管理系统带来了巨大的真空。然而，今天，SIEM工具已经远远超过了主要用于日志管理的以日志为中心的系统，因此实现它们的成本也很高。

　　近年来，SIEM技术变得更加先进，具有原始分组数据捕获和机器学习方法(如事件关联)等功能，以帮助发现通常绕过预防性控制的威胁。埃森哲公共部门北美安全负责人Lalit Ahluwalia表示，“持续发现攻击和适当的保护是一个旅程，SIEM是该过程的关键推动因素。”

　　为了让任何企业部署SIEM，他们必须经历一个详尽的需求收集阶段，其中将记录其关键设备(包括网络，VoIP，安全和系统管理设备)生成的所有与安全相关的事件日志路径。

　　完成后，中间件代理将配置为将这些日志发送到VLC，VLC捕获原始数据包并将其传播到网络威胁主机，使用行为分析算法和警报监控系统来促进威胁检测和预防。

　　然而，实施和准备成本只是等式的一部分。正在进行的监测是另一部分。

　　下半场

　　客户公司需要专门的人员，例如信息安全工程师和架构师，以确保将新日志发送给代理，更新过滤器以减少误报，性能始终如一地进行微调，监控磁盘空间并实现负载平衡当网络开始急需更多带宽时，就会实施解决方案。

　　云视角

　　决定公司实施SIEM成本的主要因素之一是他们是否选择使用云服务(SIEMaaS)。随着越来越多的公司转向IaaS，SaaS和PaaS，拥有与之集成的技术变得更合乎逻辑，或者至少在必要时选择。

　　当解决方案变得更具可扩展性时，实施它可能比替代方案更便宜，更快。但是，与内部部署解决方案相比，与其他设备的连接可能并不那么简单。

　　虽然依赖于服务提供商的备份计划，但SIEMaaS可能会在故障转移时提供更可靠的备份安全性，因为可访问的云服务在隔离数据中心出现故障时更有可能熬夜。另一方面，如果中断是由云服务提供商引起的，那么客户公司最终可能会面临很多技术无政府状态。

　　一些专家认为，将SIEM暴露在云中可能会增加组织的攻击面，因为他们的网络平台变得不那么孤立了。然而，Hewlett Packard Enterprises的安全解决方案架构师Rahim Karmali认为，事实并非如此。“这是您需要担心的切入点 - 您的手机，平板电脑，笔记本电脑等。这些设备经常漂浮在可能无法保护的网络上。”

　　优点(SIEM一般)

　　除了云观点之外，显而易见的是，组织使用SIEM比没有SIEM更好。许多标准合规报告要求，如健康和保险流通与责任法案(HIPAA)，支付卡行业数据安全标准(PCI DSS)和萨班斯 - 奥克斯利法案(SOX)，都通过集中日志收集来实现。

　　事件处理变得更加有效，因为没有人手动通过日志来查找攻击者通过网络或攻击媒介中的所有主机和服务器的路由; 相反，SIEM系统从鸟瞰视图中识别并关联这些事件，然后重建事件序列以确定攻击的性质。

　　“它可以作为一种警报工具，能够通过关联来自应用程序，数据库，操作系统，网络和安全设备的日志信息来准确识别可疑事件，”Ahluwalia说。

　　严重的攻击不再是孤立的，事件可以分布在多个系统中以避免检测。如果没有SIEM，恶意事件就会像野火一样蔓延。

　　一些SIEM产品还能够通过向其他安全控制(例如防火墙和入侵防御系统)发送警报来阻止攻击。“公司不能再对恶意软件和勒索软件采取被动方式，”Karmali说。“他们需要一个提供可操作智能的系统。”(有关安全性的更多信息，请参阅加密不够：3关于数据安全的关键真相。)

　　缺点(SIEM一般)

　　SIEM自动化许多公司本来可能花费数小时手工劳动的活动，但是它还需要新的技能来保持其有效性。客户公司需要所有部门的积极参与，以确保正确的日志被发送到代理，因为相关引擎在不筛选无关数据或误报时更有效地工作。组织越大，其日志压倒SIEM系统的趋势就越大。

　　此外，尽管SIEM技术自1996年成立以来取得了巨大进步，但它并不是一个独立的系统。Karmali说，它需要“人员，流程和技术”的结合。

　　当SIEM系统与防火墙，入侵检测/预防系统，恶意软件保护应用程序和其他控件合作时，通常可以实现最佳效率。

　　大多数企业范围内的组织都更加安全，具有功能强大且有效的SIEM系统; 然而，选择哪种SIEM系统最合适可能具有挑战性。例如，较小的公司使用云解决方案会更好，这种解决方案可以更具可扩展性并且更快实施。对于大型公司而言，投资可能是更昂贵的混合解决方案是值得的，其中云和前提都提供了自己的规模经济。

　　无论哪种方式，对于任何规模的组织而言，实现最佳效率和高投资回报的方法是让专职人员对系统进行持续监控和维护。

　　许多公司出于合规性原因实施SIEM，如果他们没有足够的资源来管理，维护和微调系统，最终可能会出现一个非常昂贵，无效的日志收集器。