據專家介紹，部署著老舊的安全信息和事件管理（Security Information Event Management，以下簡稱SIEM）系統的企業正重新審視他們的硬件，有時候他們在想到底是用額外的工具來完善SIEM系統，還是完全替換成新的系統。

通信服務提供商MetroPCS Wireless公司的Gregg Woodcock發現，日志相關性分析是運營高效安全業務必不可少的一部分。

實際上，這位來自達拉斯的軟件工程師發現了日志相關性分析的巨大價值。他成立并維護了一個位于達拉斯的用戶群組，致力于完善免費、開源的搜索工具Splunk。這款工具可以接收客戶交易、網絡活動、通話數據等多種類型的數據，并對它們作關聯性分析，以發現有價值的情報。據Woodcock表示，這款工具非常受歡迎，雖然Splunk用戶群組內的很多成員所在的企業都安裝了安全信息和事件管理（SIEM）系統，但他們也希望把Splunk當作類似Google的搜索框來加強SIEM。

MetroPCS使用Splunk來監控違反免費國際電話呼叫計劃服務條款的用戶。Woodcock表示，用戶立即就能知道通話去向和費用。人們違反服務條款——將免費國際呼叫用于商業的行為很快就能從呼叫記錄數據中被檢測出來，并在費用失控之前切斷通話。

“它的速度和提供信息的深度令人驚奇，”Woodcock說。“它本質上是Google你的日志；它實時接受日志并標出時間戳，然后你可以使用類似Unix的搜索命令集做任何事情。”

Splunk在2010年增加了對安全監控的支持。它也可以產生實時警報。Woodcock說，它正被成千上萬的人用來增強已有SIEM系統，這一事實表明，很多早期部署的SIEM系統要么很難正確配置，要么很難給出有價值的情報。“有了Splunk，你可以輸入所有數據，在上面采用只對你有用的特定模式進行排序和搜索，這就是一個巨變，”他說。“而其他很多產品，你必須作二次開發才能得到可用的數據模式。”

Bill Sielein是CISO Executive Network公司的CEO，他說，目前大部分SIEM系統只是用來滿足合規和提供報告功能，而且很多系統還繼續被部署來滿足這最小用例。Sieglein最近參加了財富1000強企業CISO圓桌會議，內容包括日志管理和SIEM。他說很多CISO正在考慮是否要用更新的SIEM技術淘汰老舊的SIEM系統，以建立一個情報平臺。

“幾乎在每一個案例中，安裝啟用新系統所花的時間和經費都超過預想，”Sieglein說。“他們正努力更新繼續許可證，以在風險管理和情境認識方面發掘更大價值。”

Sieglein說，早期的SIEM系統非常難于部署，在某些情況下要花費兩到三年時間，還要耗費四分之三的經費用于協助部署的專業服務。今天，人們更多地考慮輕量級系統——來自McAfee（NitroSecurity）、IBM（Q1 Labs）以及LogRhythm的SIEM平臺，這些系統承諾了更快的實現和更多易用的自動化功能。

他說，實際投入過SIEM的企業都體驗過歷程的艱辛。企業一旦希望審閱好日志，就不僅要雇傭大量員工從事事件監控，還要雇人管理系統以防止被數據淹沒。系統必須要完全打好補丁，還需要一些明白如何編寫專業報告的人，以實現系統的價值。

“很多人抱怨，從系統的角度看，SIEM 1.0需要太多管理人員，”Sieglein說。“它使資源不能集中于實時觀察事件。”現在SIEM 2.0承諾了更快的實現、少得多的系統管理，使資源和時間能被集中用于分析警報類型并采取實際行動。“

Chris Petersen是LogRhythm公司的聯合創始人和CTO，他也同意部署和維護早期的SIEM系統是一個惡夢，而且這些系統經常為了滿足特定的合規要求而運行在一個糟糕的配置狀態。

Petersen說，SIEM最初被設計用來處理入侵檢測系統生成的大批量數據，將IDS數據裁減到可行的、更容易管理的規模。SIEM廠商不斷增加來自網絡層、設備層、應用層和數據庫層的日志數據，使它越來越復雜?，F在的焦點是更好地管理數據來源和自動化分析。”今天的目標是檢測更廣泛的來自內部威脅的事件類型、復雜的入侵、和深嵌型泄露，以更好地取證。SIEM廠商已經認識到寄望于企業手動分析日志是不可能的。

#p#

“這是個復雜的問題，從來沒有完美的解決方案；”Petersen說。“我們今天有比以往更多的信息。如果我們能通過不同的技術手段正確地、創造性地分析它。我們將人工智能嵌入系統以指導客戶著重調查，并有快速得到解決方案和行動步驟的深入經驗。”

已故的著名網絡安全專家Eugene Schultz在2009年就發出警告，SIEM廠商需要解決安裝SIEM系統的復雜性。Schultz是SIEM技術優越性的鐵桿信徒，他說”再優秀的技術也可能買不出去。”大部分SIEM產品在初裝后需要數月時間調校，他寫了一篇博文闡述為什么SIEM市場不能更上一層樓。”一款熱銷的的SIEM工具竟然要求使用網絡上4臺獨立主機用于安裝和維護，而且一些最基本的功能也需要遍歷很多級別的菜單。排除SIEM工具的故障通常也并不容易，“他寫道。

美國人口普查局信息安全技術辦公室的助理司長Bill Bradd說，現在考慮廣泛部署SIEM系統的企業需要有對SIEM產品實施穩定性測試和評估的能力。這不僅是技術上的投資，也要求系統維護和監控人員有足夠高的素養。

從大約5年前為了遵從法規而采集近150個系統的信息，到現在作為一個更廣闊的信息安全戰略的一部分而采集超過2800臺網絡設備和服務器信息，美國人口普查局已經大大擴展了它的Sensage SIEM系統的能力。Bradd說，這意味著采購新硬件以處理大規模日志數據、與各種系統的管理員合作以將數據輸入SIEM系統、組織一個開發團隊負責編寫腳本以接受和解析各種各樣的系統日志。這個SIEM系統可以審記來自Unix、Linux服務器、Windows事件日志、網絡防火墻、路由器、交換機等系統的日志數據。

“數據的體積始終是個問題，”Bradd說調校這個很麻煩，但人口普查局已經成功解決了。”如果你知道應用程序將產生特定的警報，那調校好這個并不難。”

Bradd說人口普查局也計劃將警報發送給系統管理員，以便負責維護路由器和交換機的網絡工程師可以調查一個警報，并在72小時內反饋這究竟是一個可在內部糾正的事件還是一個需要報告和仔細調查的嚴重安全問題。Bradd說，這個外置系統已經被用于查找配置錯誤問題、檢測被惡意軟件感染的機器、以及跟蹤返回到用戶訪問站點的惡意代碼。從服務器的角度看，人口普查局的系統通過監控獨立的用戶行為，可以判斷是攻擊者在暴力破解某位員工的賬號，還是某位員工忘記了自己的密碼。

“為了從工具中得到價值，你必須在人們身上投入時間、金錢、以及精力，”Bradd說道。

有跡象表明，廠商已經在較早版本中解決了部分問題。有一家加拿大的公司在2011年2月部署了更新的LogRhythm系統，過程相當順利。這家名叫Cara Operations的公司運營了650個餐館，其中大部分是直營和特許經營的。它部署了SIEM系統用于監控支付系統，以合乎PCI DSS規范。Cara公司的信息技術項目經理Rik Steven說，“我們知道它比PCI合規走得更遠，但PCI是推動它前進的背后力量。”

這家公司使用可管理的安全服務提供商（managed security services provider，簡稱MSSP）來監控系統并處理警報。MSSP全天監控著系統，而Cara公司的一名IT專員則作為在內部監控系統的風險分析師。各家餐館跨越5個時區，因此非常有必要使用這個MSSP，Steven說。

一個團隊用了大約兩個月鋪開這個系統，在公司的各個地方部署了軟件。Steven說，起初的幾個月信息太多了，公司必須不斷調校以“回撥”并只集中于合規內容。“它給出太多信息，你很容易就被淹沒了，”Steven說。

Steven說，“他們計劃加班擴展這個系統，以生成更多報告、使用更新的功能來主動解決已識別的問題。這已經是一筆巨大的投資，所以我們希望確保這錢花得值，”Steven說。“它可以告訴我們一大堆的信息，但我們只是獲得了它從基本報告中產生的粗淺信息。”