在本文中,专家Karen Scarfone介绍了企业评估安全信息和事件管理(SIEM)产品的重要标准。
安全信息和事件管理(SIEM)产品及服务负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件收集安全日志数据,并进行分析和报告。有些SIEM还可以试图阻止它们检测到正在进行的攻击,这可能帮助阻止破坏或者限制成功攻击可能造成的损坏。
现在有很多可用的SEIM系统,包括“轻量级”SIEM产品—专门针对负担不起或感觉他们不需要全功能SIEM的企业。对于企业来说,确定要评估哪些产品已经是相当大的挑战,更遑论选择最适合特定企业或部门的产品。SIEM评估过程应包括创建标准清单,以列出企业特别需要考虑的SIEM功能。
本文中提供了一些标准(也就是问题)以帮助企业进行SIEM评估。由于 “轻量级”产品提供较少的功能,它们更容易评估,所以它们不在本文的讨论范围。这篇文章中探讨的是“常规”SIEM中值得特别关注的方面。
如果SIEM无法接收和理解来自所有企业感兴趣的日志产生源的日志数据,那么,SIEM没有那么多价值。其中最常见的是企业安全控件,例如防火墙、虚拟专用网、入侵防御系统、电子邮件和网络安全网关,以及反恶意软件产品。SIEM应该可以本地了解任何主要产品或这类云服务产生的日志文件。
此外,SIEM应该对企业使用的操作系统品牌和版本产生的日志文件提供本地支持。其中的例外是移动设备操作系统,这通常不提供任何安全日志记录功能。SIEM还应该本地支持企业的主要数据库平台,以及让多个用户与敏感数据交互的任何企业应用。对企业使用的其他软件提供本地SIEM支持也不错,但并不是必要功能。
如果SIEM无法本地支持日志源,那么,企业通常可以开发自定义代码来提供必要的支持,或者使用没有日志来源数据的SIEM。
企业使用的特定应用和其他软件可能缺乏强大的日志记录功能。有些SIEM产品和服务可通过代表其他软件执行其自己的监控来补充这些功能。从本质上来说,这扩展了SIEM,让它不只是集中式日志收集、分析和报告解决方案,同时也可代表其他主机产生原始日志数据。
大多数SIEM能够获取威胁情报信息。这些情报信息通常是通过单独订阅各种服务而获取,其中包括世界各地发现的最新威胁活动情报,包括哪些主机正被用于发起攻击,以及这些攻击有什么特性等。在SIEM中使用这些威胁情报的最大价值在于能够更准确地发现攻击,以及做出更明智的决策,通常还可自动确定需要阻止哪些攻击,以及阻止它们的最佳方法。
当然,在供应商之间,威胁情报的质量各不相同。当评估威胁情报有效性时需要考虑的因素包括威胁情报更新的频率,以及威胁情报供应商如何表达对每个威胁恶意性质。
传统上来讲,SIEM只收集其他日志源提供的数据。然而,最近有些SIEM产品添加了各种取证功能,可收集它们自己有关可疑活动的数据。常见的例子是SIEM产品能够对恶意活动相关的网络连接进行全数据包捕获。假设这些数据包未加密,SIEM分析师可更密切地审查其内容,以更好地了解这些活动的性质。取证的另一个方面是主机活动日志记录;这种日志记录可在任何时候执行,或者当发现涉及特定主机的可疑活动时触发。
用于事件检测和/或处理的SIEM产品应该提供功能来帮助人们审查和评估SIEM自己的日志数据,以及SIEM自己的警报和其他发现。其中一个原因是,即使是高度精确的SIEM偶尔也会误报事件,所以人们需要有一种方法来验证SIEM的结果。另一个原因是调查事件的人们需要可用的界面来方便这些调查。这种界面的例子包括高级搜索功能和数据可视化功能等。
评估SIEM产品的自动响应功能是企业需要做的工作,因为这非常涉及企业的网络架构、网络安全控件和安全的其他方面。例如,特定SIEM产品可能不能导向企业的防火墙或其他网络安全控件来终止携带恶意活动的连接。除了确保SIEM产品可将其需求传达到其他主要安全控件外,同样重要的是要考虑以下几个特征:
• 及时性:SIEM检测攻击和引导适当的安全控件来阻止攻击要多长时间?
• 安全性:SIEM和其他安全控件之间的通信如何受到保护以防止窃听和篡改?
• 有效性:SIEM产品在损坏发生前阻止攻击的有效性如何?
大多数SIEM提供高度定制的报告功能。很多这些产品还提供内置支持以生成符合各种安全合规要求的报告。每个企业应确定哪些举措适用于它,然后确保SIEM产品支持尽可能多的合规要求。对于SIEM不支持的合规要求,确保其报告功能可很容易地进行定制,以满足这些合规报告要求。
SIEM是复杂的技术,它需要与企业安全控件以及各种主机的全面整合。为了评估最适合你企业的SIEM产品,你应该定义基本评估标准。并没有适合所有企业的单个最佳SIEM产品;每个环境都有自己的IT特征和安全需求。即使是部署SIEM的主要目的,都可能非常不同,例如满足合规报告要求或者协助事件检测。
因此,每个企业在购买SIEM产品或服务前都应该进行自己的评估工作。本文中介绍了一些企业在评估中应该考虑的标准,但这并不是说其他标准都没有必要。企业应将本文列出的标准作为出发点,以根据自己的需求构建自己的SIEM标准清单。这将帮助确保企业选择最佳SIEM产品。