實施SIEM應考慮哪些問題
即使在購買SIEM軟件之前,為實施SIEM,企業仍需要做大量的準備工作。SIEM要求安全團隊而不僅僅是IT和網絡工程師深刻理解網絡拓撲和協議。SIEM還要求企業清楚地理解SIEM完成哪些功能。
SIEM 重要功能就是記錄和監視。幾乎所有的SIEM廠商都想向企業推薦一種“大而全”的方法,但企業部署SIEM的最佳方法是分階段進行。日志和監視功能的管理(不管是由企業內部的工程師管理,還是由服務供應商管理),以及對SIEM警告的響應是成功實施SIEM的最重要因素。
但成功實施的SIEM絕對不僅僅是記錄和監視網絡。有很多企業并不知道其關鍵資產是什么,因而也不知道如何保護。
企業對員工進行培訓,使其正確理解和使用SIEM應用非常重要。很多情況下,企業往往僅依靠一個SIEM操作員或分析人員。但是,只有一個受到訓練的操作人員會遭遇單點失效的問題,在雇員離職或無法聯系時,如果發生了事件,就會帶來嚴重的問題。
深刻地理解SIEM的需求和目的有助于規劃實施SIEM的規模。如果企業的目標僅僅是合規,那么其實施規模往往要小得多,但是,定制SIEM就需要付出大量工作,只有這樣才能滿足所有的合規要求。如果企業的目標是全面的可見性,那么,SIEM的部署規模就要大得多,但為滿足需求而進行的SIEM定制則會少很多。
提前確認需要哪些系統日志文件用于監視是非常關鍵的。有些公司要求大量的以不同方式收集和處理數據的日志。在SIEM系統能夠提供報告之前,各種日志都需要標準化,其目的是保持數據的一致性。
公司往往在規模很小的時候就開始記錄日志,并隨著服務器的增長而簡單地復制日志規則,因而,日志文件就是在復制日志,或者在公司合并時,公司能夠收集不同物理設備中相似日志文件中的不同數據。此外,在不同時區擁有服務器的公司往往沒有對時區實現標準化就收集日志,因而在不同時區同時創建的日志會擁有未同步的時間戳。此時,在信息安全人員跟蹤安全事件時,這種情況就成為一種巨大的挑戰。
在公司能夠充分利用SIEM產品的好處之前,需要配置SIEM系統,其目的是解決時區以及在每類服務器上收集哪些數據、數據如何存放、存放到哪里以及SIEM系統如何分類可能發生的事件等問題,這至關重要。
SIEM 系統需要與公司的需要相匹配。例如,假設一家中等規模的公司要首次實施其SIEM,而公司的IT人員僅能在正常的經營時間監視系統。如果公司購買了一種可以全天候生成實時結果和警告的SIEM,卻只能在經營時間才去監視這些警告,那么公司就為其無法使用的特性和功能多花了錢。因而,管理層的期望有可能無法匹配實際的結果。
每個SIEM系統都擁有其自己的一套收集日志的需求。一般說來,Syslog系統日志可以發送給代理實現收集。微軟的日志是一般是通過安裝在本地設備上的代理來收集的,其中的日志是通過WMI 或RPC來收集的。當然,還有許多其它類型的日志源,但Syslog系統日志和Windows一般占據了公司環境的大多數。
安全是一個過程而不是一種一勞永逸的戰術性操作。為獲得在SIEM和其它安全產品及服務上進行投資的重要效果,負責信息安全的主要管理人員首先應當能夠確認所有的IT 資產,并且知道每種資產所需要的安全水平是什么。
在選擇了一種SIEM產品后,公司不妨僅對最關鍵的資產先實施日志記錄。在日志環境全面配置完成后,就可以啟用其它的特性。
通常SIEM的實施會比最初預期的花費更多。在公司低估了準備實施SIEM的時間和努力時(無論是從技術方面還是從人員方面),就會發生這種事情。此外,如果公司在開始時沒有一個詳細的SIEM方案,就很容易購買超出其實際需要的多余功能。企業調整應用程序,使其處理所有的日志還可能花費比預計的時間更長,從而導致更高昂的預期成本。此外,IT和安全人員還可能需要進行培訓,才能管理SIEM應用。
