安全信息與事件管理(SIEM)源于日志管理，但早已演變得比事件管理強大許多，今天的SIEM軟件提供商還引入了機器學習、高級統計分析和其他分析方法。

[[212804]]

SIEM軟件是什么?

SIEM軟件能給企業安全人員提供其IT環境中所發生活動的洞見和軌跡記錄。

SIEM技術已存在了十年以上，最早是從日志管理發展起來的。它將安全事件管理(SEM)——實時分析日志和事件數據以提供威脅監視、事件關聯和事件響應，與安全信息管理(SIM)——收集、分析并報告日志數據，結合了起來。

SIEM的運作機制是什么

SIEM軟件收集并聚合公司所有技術基礎設施所產生的日志數據，數據來源從主機系統及應用，到防火墻及殺軟過濾器之類網絡和安全設備都有。

收集到數據后，SIEM軟件就開始識別并分類事件，對事件進行分析。該軟件的主要目標有兩個：

1. 產出安全相關事件的報告，比如成功/失敗的登錄、惡意軟件活動和其他可能的惡意活動。
2. 如果分析表明某活動違反了預定義的規則集，有潛在的安全問題，就發出警報。

企業對更好合規管理的需求，是早期對該技術采用的主要驅動力。審計人員需要檢查規定有沒有被遵從的方法，而SIEM提供了滿足HIPPA、SOX和 PCI DDS 等強制要求的監視與報告功能。然而，專家表示，近些年企業對更好的安全措施的需求，才是SIEM市場更大的驅動力。

如今，大型企業通常都將SIEM視為支撐安全運營中心(SOC)的基礎。

分析與情報

安全運營中SIEM軟件使用背后的一個主要推動因素，是市場上很多產品包含的新功能。除了傳統的日志數據，很多SIEM技術還引入了威脅情報饋送，更有多種SIEM產品具備安全分析能力，不僅監視網絡行為，還監測用戶行為，可針對某動作是否惡意活動給出更多情報。

事實上，Gartner在其2017年5月對全球SIEM市場的報告中，點出了SIEM工具中的情報，描述為“SIEM市場中的創新，正以驚人的速度，創建更好的威脅檢測工具。”

報告進一步指出，提供商正往其產品中引入機器學習、高級統計分析和其他分析方法，其中一些還在實驗人工智能和深度學習功能。

提供商市場如此發展，是因為有了能更快產出更準確檢測率的功能。不過，企業也不確定這些功能是否有給公司帶來新的收益，或者是怎么給公司創收的。

至于此類技術的前景， Forrester Research的***分析師羅博·斯特勞德認為：

在AI和機器學習的幫助下，我們可以做推斷和基于模式的監視與警報，但真正的機會是預見性的修復。這就是當今市場動向。正在從監視工具，變成提供修復建議的軟件。在未來，SIEM甚至可以自動化修復操作。

企業中的SIEM

全球企業的安全開銷中，SIEM軟件僅占很小的一部分。Gartner估測，2017年全球企業安全開支約在984億美元左右，SIEM軟件大概會收獲24億美元。Gartner預計，在SIEM技術上的開銷將會平穩增長，2018年到26億美元，2021年到34億美元。

SIEM軟件主要被大型企業和上市公司采用，此類公司中合規要求是采納該技術的重要原因。

雖然有些中型企業也用SIEM軟件，小公司卻既沒必要也沒意愿往SIEM里投錢。分析師稱，他們通常無力購買自已的解決方案，因為其年度開銷可達數萬到十幾萬美元。而且，小公司也沒能力雇傭持續維護SIEM所需的人才。

也就是說，有些中小企業(SMB)通過軟件即服務的方式，從足以售賣該服務的外包供應商處，獲得了SIEM。

鑒于流經SIEM系統的部分數據比較敏感，目前大型企業用戶習慣在本地運行SIEM軟件。GlaxoSmithKline美國SOC***分析師兼SANS研究所導師約翰·哈巴德說：“你在記錄敏感的東西，這種東西可不是人人都敢冒在互聯網上發送的風險的。”

不過，隨著機器學習和人工智能在SIEM產品中的增多，一些分析師也預計，SIEM提供商會拿出一個混合選項，部分分析在云端執行。

云端收集、整理和產出情報正在興起，因為提供商可以比公司收集并梳理更多數據。

SIEM工具和提供商選擇

基于全球銷售額，SIEM市場有幾家居于統治性地位的供應商，尤其是IBM、Splunk和HPE(惠普企業)。還有更多一些的主流玩家，比如 Alert Logic、Intel、LogRhythm、ManageEngine、Micro Focus、Solar Winds 和Trustwave。

Gartner2017 SIEM領域魔力象限圖

穆西奇稱，公司企業需根據自己的目標來評估產品，決定哪款***自身需要。主要為了合規的企業，就會比想利用SIEM建立SOC的公司，更看重報告之類的特定功能。

同時，擁有PT級海量數據的企業，也會尋找更適合他們需求的某些供應商，而擁有數據較少的企業，可能選擇其他。同樣的，需要優良威脅捕獵功能的公司，會尋求***數據可視化工具和搜索功能。

評估SIEM供應商時，安全主管需要考慮很多其他因素，比如他們是否能支持特定工具、系統中會有多少數據、需要支付多少錢。舉個例子，HPE的 ArcSight ESM 是一款功能完善的成熟工具，但需要大量專業知識，且比其他選擇要貴。安全操作越復雜，越能充分利用好手中的工具。

鑒于SIEM選擇背后兩大驅動力導致的功能需求各不相同，很多企業會選取2套不同系統，一套關注合規，但這會減慢威脅檢測。另一套則是戰術性的SIEM，用于威脅檢測。

***化SIEM價值

大多數公司仍主要將SIEM軟件用于追蹤和調查已發生過什么。這一用例的驅動因素，是數據泄露威脅的升級，以及此類事件中安全主管和公司企業所面臨后果的不斷加碼。可以想象，如果公司被黑，沒有任何一位CIO，會在接受董事會問詢時說“我特么要是知道就好了。”他們最應該想說的是“我們會梳理日志數據，查明發生了什么。”

不過，現在也有很多公司不滿足于SIEM的這一用例，開始將該技術更多地用在檢測和近實時響應上。現在的玩法是：你的檢測速度有多快?不斷發展的機器學習，正幫助SIEM系統更加準確地識別異常活動和潛在惡意活動。

盡管了有了這些發展，公司企業還是面臨***化工具效果，甚至***限度榨取已有系統價值的挑戰。其中原因多種多樣。

首先，SIEM技術是資源密集型工具，需要經驗豐富的人員來實現、維護和調整——這種員工不是所有企業都能完全投入的。

很多企業因為知道這是自己需要的東西而買下了該技術，但他們并沒有能夠搞定該技術的人員，或者他們沒對員工進行所需的培訓。

想要***化SIEM軟件產出，就需要擁有高品質的數據。數據源越大，該工具產出越好，越能識別出異常值。然而，公司企業在定義和提供正確數據方面苦苦掙扎。

且即便有了強大的數據和高端團隊來運營SIEM技術，該軟件自身也有局限。在檢測可接受活動和合法潛在威脅上，SIEM并非完全準確，正是這種差異，導致了很多SIEM部署中出現了大量誤報。該情況需要企業內有強力監管和有效規程，避免安全團隊被警報過載拖垮。

安全人員往往從追逐大量誤報開始。成熟的公司會學著調整工具，讓該軟件理解什么是正常事件，以此來降低誤報數量。但另一方面，一些安全團隊會跳過該步驟，習慣性直接無視太多誤報——有可能錯過真正威脅的一種操作。

更為高端的公司還會編寫腳本來自動化更多常規功能。比如從不同數據源拉取上下文數據以建立更完整的警報視圖，加速對真正威脅的調查和識別。這需要良好的過程和安全運營成熟度。也就是說，不僅僅將SIEM作為一個單獨的工具，而是將之與其他技術整合，有個整體的過程來引導各種行動。

如此，可以減少員工花費在低端動作上的時間，讓他們可以將自己的精力放在高價值任務上，以提升公司的整體安全態勢。