安全分析工具可以收集、篩選、整合以及關聯各種類型的安全事件數據，用于獲取更全面地了解企業基礎設施安全性。任何擁有大量設備(從臺式機到移動設備到服務器和路由器等)的企業都可以受益于安全性分析。

目前，安全分析市場正在快速轉變：供應商在合并，開發人員在添加新功能，同時，曾經完全部署在本地的工具現在開始作為云服務提供。然而，面對這么迅速的變化，企業對安全分析的要求仍然基本保持不變，例如分析日志、關聯事件和生成警報的能力。自此，我們將看看市面上的主要安全分析產品，并提供建議以幫助企業更好地選擇滿足需求的合適產品。

當前并沒有涵蓋所有要求的單一安全分析用例分類，但常見需求模式包括：

• 只有最小開支的基本安全分析

• 大型企業用例

• 專注于高級持續性威脅

• 專注于取證

• 安全工具和服務組合

這些分類強調了對關鍵安全分析特性的不同需求，這些特性包括部署模式、模塊化、分析的范圍和深度、取證、監控、報告和可視化等。本文中評估了很多產品，包括Blue Coat Security Analytics Platform、Lancope Stealth Watch System、瞻博網絡JSA Series Secure Analytics、EMC RSA Security Analytics NetWitness、FireEye威脅分析平臺、Arbor Networks Security Analytics、Click Security Click Commander和Sumo Logic的云服務。

只有最小開支的基本安全分析

中小企業往往是吸引攻擊者的目標，雖然他們可能沒有較大型企業那么多寶貴的數據，但他們通常更容易攻擊。同時，受行業法規(例如支付卡行業數據安全標準PCI DSS和健康保險攜帶與責任法案HIPAA)監管的企業必須部署安全控制來保護個人身份信息，在HIPAA的情況下，這意味著需要保護健康信息。對于中小企業，安全分析工具可以幫助緩解數據泄露和其他攻擊的風險，另外，這些工具應該滿足幾個標準來適應中小企業的需求。

例如，部署模式應該最大限度地減少管理開銷。設備和云服務通常符合這些標準，而虛擬機部署可能也提供低開銷的部署。

Sumo Logic公司的云服務就是針對中小型企業的服務。這個日志分析服務提供單點管理儀表板，用于監控應用程序、服務器和網絡資源。由于它是云服務，因此并不需要安裝和維護硬件或軟件。該服務還包括預先定義的報告，這意味著它很適合需要生成合規性報告的企業，特別是針對PCI DSS、HIPAA、聯邦信息安全管理法案(FISMA)、薩班斯-奧克斯利法案(SOX)、ISO和COBIT等要求。與此同時，該服務還利用機器學習算法進行事件檢測，從而省去了手動起草規則的需要。并且，在管理儀表板中還會追蹤多維關鍵績效指標(KPI)。

與其他云服務一樣，Sumo Logic云服務定價是基于用戶的數量和分析的數據量。

而對于想要在內部部署安全分析軟件的中小型企業，則應該考慮Blue Coat Security Analytics Platform，該平臺可作為虛擬機或者預先配置的設備。Blue Coat的平臺的模塊化結構允許客戶選擇他們需要的組件，這些組件做為模塊交付，被稱為刀片。

大型企業用例

在另一方面是大型企業，這些企業需要考慮安全分析平臺的可擴展性、分析的深度和范圍、取證以及監控功能。雖然低管理開銷也很重要，但這是次要的考慮因素，首要考慮因素應該是全面的高性能的分析。

瞻博網絡JSA Series Secure Analytics提供多種型號，可滿足各種企業的需求。例如，JSA 5800設備專門針對中型和大型企業，而JSA 7500則適合全球性企業。對于期望大幅度增長的較小型企業，可以先選擇JSA 3800或者JSA Virtual Appliance，在未來再選擇較大的設備。如果企業選擇該虛擬設備，則需要運行VMware ESX 5.0或5.1、4 CPU和12GB RAM的服務器。

EMC RSA Security Analytics NetWitness平臺包含兩組模塊：一組提供基礎設施支持，而另一組提供分析服務。這兩組模塊按照不同配置來部署，以滿足不同的流量水平和分析要求。

RSA安全分析編碼器是其中一個基礎設施組件，該編碼器是一款網絡設備，用于實時收集數據包和日志數據。它支持廣泛的日志類型，在網絡中可部署多個解碼器以確保可擴展性和可用性。另一個基礎設施組件的RSA安全分析集中器，它負責聚合來自編碼器的數據。另外，安全分析師和管理員可使用RSA安全分析經紀人/分析服務器來查詢解碼器收集的數據以及集中器匯總的數據。

這個RSA Security Analytics分布式平臺非常適合大型網絡，因為隨著網絡流量或日志卷的增長，企業可以添加基礎設施組件進行擴展。然而，與其他分布式系統一樣，它可能更加難以管理和配置。因此，企業需要計劃投資足夠的系統管理支持來監控和維護該安全分析平臺。

該RSA平臺的分析組件提供對網絡、日志和端點數據的實時分析用于檢測事件。還有歸檔器用于存儲和報告收集的安全數據。

專注于高級持續性威脅

企業規模只是安全分析用例分類其中一個維度。有時候更合適的分類是考慮企業希望使用的最重要的功能。例如，如果企業已經有良好的端點保護和數據收集功能，企業可能希望將重點放在高級持續威脅。而對于這個用例，企業需要的是專注分析范圍和深度以及支持取證的安全分析產品。

Arbor Pravail Security Analytics采用多種技術來實時檢測高級威脅。這個安全分析平臺使用全包捕捉來收集大量原始數據，從而幫助識別針對企業的多種攻擊源。同時，該平臺會存儲網絡流量數據，并在新數據進入后重新分析流量數據。例如，如果該供應商的情報監視發現新類型的威脅，他們會開發和部署新的檢測技術，這些技術隨后可以分析舊數據來確定是否存在攻擊。

有些攻擊者會先攻擊網絡，然后在數周內停止活動。這種攻擊模式可能很受攻擊者的青睞，因為在某些情況下，這種攻擊活動更加難以檢測，它不會像持續攻擊那樣生成可識別的攻擊模式。通過保存歷史流量數據以及掃描這些數據查找先前的攻擊痕跡，企業可以更好地應對采用這種攻擊模式的攻擊者。

除了分析歷史數據，分析流量也是發現高級持續威脅的重要手段。Lancope Stealthe Watch System使用有關網絡事件的流量記錄來檢測高級攻擊的不同階段。該Lancope系統包含一個數據聚集器，它會整合不同數據到單個可分析的網絡和數據事件數據源。另外，在高級攻擊的過程中，控制臺還會提供有關重要事件的最新數據和警報。

另外，Click Security公司的Click Commander很適合分析惡意攻擊者的行為、分析不同攻擊階段的活動以及發布警報和其他自定義通知。該工具還包含可視化工具，可用于創建活動圖表，同時提供攻擊者配置文件和情境數據以分析圖表中描述的事件。

專注于取證

目前，專注于高級持續威脅和專注于取證的用例中存在一些重疊。Arbor Pravail Security Analytics和Lancope Stealth Watch System都非常適合以取證為主的用例，而其他可收集和整合數據以及提供全面查詢及分析功能的系統也可以滿足取證支持的需求。

Blue Coat Security Analytics platform整合了很多安全工具，包括防火墻、數據丟失防護、入侵檢測系統/入侵防御系統和惡意軟件掃描器等。它還整合了數據生成或數據傳輸設備及工具，例如來自戴爾、惠普、McAfee、Palo Alto Networks和Splunk的產品。

安全工具和服務組合

對于需要整合安全控制與新安全分析平臺的企業而言，最好的產品應該是可以允許他們部署可彌補其安全系統中功能差距的產品。在這種情況下，提供模塊化功能的供應商是不錯的選擇。

例如，Blue Coat Security Analytics Platform允許客戶根據需要集成不同模塊或刀片。該平臺提供多種部署方法(包括設備和虛擬機)，讓客戶可以部署提供合適功能和可擴展水平的安全分析工具。

如果安全分析報告是首要考慮因素的話，則應該考慮Sumo Logic的預先定義合規報告是否能滿足你的需求。而對于需要長期保存其安全數據的企業，則可以考慮EMC RSA Security Analytics NetWitness。

結論

安全分析工具解決了常見問題：如何使用企業基礎設施中的可用數據來發現威脅和攻擊、分析攻擊方法以及在發現攻擊時提醒系統管理員和應用所有者。任何規模的企業都是潛在的攻擊目標。

小型企業可能認為他們不會受到老練的黑客的攻擊，但事實并不是這樣。他們可能擁有高價值的客戶，例如全球2000強企業、大型政府機構等，而這些都是攻擊者的最終目標。對于大型或小型企業而言，安全分析并不是第一道防線，但它是越來越重要的防御措施。

對于需要負責推薦、評估和購買安全分析平臺的IT專業人員，他們需要基于現有安全控制和應用仔細評估其需求。但如果企業已經部署了工具來滿足一些安全和分析要求，他們可能不會想花更多錢來獲得重復的功能。另一方面，如果說有個IT領域允許冗余功能存在的話，那肯定是安全領域。

安全分析提供了各種各樣的功能。有些產品(例如Sumo Logic的基于云的服務)專門針對中小型企業，為他們提供廣泛的安全功能，而只需要很少的開銷。

而對于大型企業，則應該考慮可處理大量流量以及可從全國或全球網絡收集數據的系統。瞻博網絡和EMC RSA的產品就屬于這一類。

此外，對于重視高級持續威脅檢測和取證的企業，提供網絡流量實時分析的工具是不錯的選擇。有些供應商在其安全分析平臺中提供模塊化組件，這些可能非常適合用于填補安全功能中的空白區。