選購新一代云SIEM方案的六個要點
根據Gartner的研究數據,全球SIEM產品市場將持續保持20%以上的年增長率,主要驅動因素仍然是威脅檢測、實踐響應、攻擊面管理以及合規要求。為了更好地滿足這些應用需求,新一代SIEM產品需要不斷吸納新的功能,包括SOAR、UEBA、TIP以及持續威脅內容創建等。這使得SIEM產品的架構策略需要不斷優化演變,而最終指向就是云化Cloud SIEM(包括云原生化和云托管)。
圖:新一代的云化SIEM解決方案
云技術不僅可以讓SIEM產品整合更多威脅檢測引擎,實現更快的安全數據分析,還可以有效降低企業的應用成本。Gartner研究認為,Cloud SIEM會成為未來SIEM產品發展的主流形態。在2023年,90%的SIEM解決方案將會提供可在云端交付的功能(比如日志存儲、數據分析和事件管理等),而在2020年這個比例不足20%。
新一代云SIEM解決方案需要使用眾多分析技術(包括關聯、統計偏差和機器學習),以識別威脅及其他關注的事件,它們應該幫助企業根據監控目標,匹配合適的分析方法,將原始警報數據轉換成真正有用的威脅情報。
Gartner產品管理副總裁Colin Reid認為,當企業開始選型評估新一代云SIEM解決方案時,安全團隊應該明確并優先考慮一些關鍵標準,甄別不同云SIEM方案的可用性和適用性,以確保SIEM方案切實可以滿足企業的業務場景需求。
1、數據分析能力
在新一代云SIEM方案中,應該具有實時數據分析的能力,以最快速度檢測企業可能存在的威脅、合規問題或企業關注的特點事件活動,并確定這些信息的優先級。同時,新一代SIEM方案還應提供批量數據分析功能,以識別和關聯未實時檢測到的數據弱信號。
2、智能管理功能
新一代SIEM解決方案應該提供更加完善的管理、維護和配置工具,以支持安全團隊更加復雜的安全運營需求,比如日志及數據源管理、分析檢測內容、事件報告、用戶角色管理、訪問控制以及事件響應工作流等。在內容管理方面,SIEM方案應該提供數據收集器、解析器、分析規則及模型、合規包等,安全管理員可以借助內置的管理框架來啟用、訪問和更新這些內容。
3、易用性
安全團隊應確保云SIEM解決方案提供易于理解和對用戶友好的界面,才能實現更好的用戶互動,特別當使用者不是傳統IT或安全團隊成員的情況下更應如此。企業要為SIEM定義與安全監控目標一致的策略用例,并將這些用例作為SIEM方案設計的指導需求,這樣有助于SIEM方案的使用性能提升和資源利用。
4、數據存儲
從技術需求的角度來看,有必要確保云SIEM解決方案可提供足夠的數據存儲容量,以及所需的文件類型、位置和流程說明。基于云的SIEM解決方案要提供可靈活按需擴展的數據存儲容量,這在應對不斷變化的安全威脅環境時至關重要。
5、應用整合
云SIEM工具需要與企業中的其它安全檢測和防護系統緊密合理地整合。將云SIEM工具與各種相關的應用程序、數據源和設備整合起來是一項基礎性要求,但真正實現起來并不容易。SIEM威脅檢測性能不僅取決于SIEM產品本身及其配置,還取決于整套檢測系統是否能夠有效協同,以及所有安全監測數據是否完整、充分。
6、日志和監控
企業應確保云SIEM解決方案可以為組織所有IT環境(包括云服務、虛擬設備及內部網絡環境)中的系統運行狀況進行收集監控并對異常行為發出警報。它還應該提供日志和解析功能,實現對所有問題的整體分析和報告。
