安全态势感知专家说第4期：SIEM驱动安全运营

安全运营中心诞生于2000年以前。当时，计算机病毒、特洛伊木马和恶意软件大爆发，并在计算机网络间传播，给信息安全造成了严重破坏。这个时期，为了构建安全防御体系，防火墙、防病毒系统、IDS（Intrusion Detection System，入侵检测系统）和漏洞扫描系统等各式各样的新技术应运而生。其中，IDS注重网络入侵检测，在这个时期发挥了重要作用。

安全运营中心的萌芽阶段主要以防御为主。企业和组织开始制定基于漏洞修复的管理流程，并通过脚本、入侵检测系统的控制台和其他自主开发的工具来初步分析安全事件。运营人员使用SIM（Security Information Management，安全信息管理）产品收集IT网络资源、各类安全产品产生的日志等信息，并进行关联分析，从海量信息中分析出有价值的安全事件。同时，更关注实时事件监控和应急处理的SEM（Security Event Management，安全事件管理）产品也开始逐渐出现。SIM和SEM的出现，标志着SIEM技术的萌芽。

安全运营中心在2010年前后快速发展。随着互联网技术的进一步发展，恶意软件从具有破坏性的僵尸、木马、蠕虫开始转向有针对性的攻击，并逐渐形成了黑客产业。企业和组织开始意识到，即使部署了防御性的安全技术，网络入侵也不可避免会发生。基于此，企业和组织将安全运营的工作重点从入侵的检测转向信息泄露的检测、防御与阻断。然而，SIM和SEM产品仍然各自为政、缺乏联动，难以形成有价值的、全面系统的安全态势分析报告，也就难以应对复杂多变的安全威胁。一小部分中小型企业开始构建SIEM系统，用于监测网络流量、安全设备日志、服务器日志与终端日志，同时建设应急处理流程，并利用大数据技术实现安全态势感知。

2005年，全球IT研究与顾问咨询机构Gartner首次将SIM和SEM整合到一起，明确提出了SIEM的概念，为安全运营揭开了新的篇章。Gartner对SIEM的定义是：“SIEM技术通过收集和分析安全事件以及各种其他事件和上下文数据源，支持威胁检测、合规性和安全事件管理。核心功能是广泛的日志收集和管理、跨不同来源分析日志和其他数据的能力，以及运营能力（例如事件管理、仪表板和报告）。”

第三代安全运营中心诞生于2020年前后，并且仍在不断发展中。这个时期的网络威胁呈指数级增长，典型的如APT攻击，通常由特定组织对特定对象展开持续的攻击，具有极强的隐蔽性和针对性。APT攻击通常会综合利用受感染的移动存储设备、供应链攻击和社会工程学等多种手段，复杂性更高，威胁更强。随着大数据和人工智能等新技术的应用，网络攻击开始向智能化、自动化、服务化趋势蔓延，并日趋复杂。

在这个背景下，网络安全标准组织和合规性工作也在不断推进安全产品和实践的发展，各个企业和组织都在争先恐后地寻找降低网络安全风险和限制攻击影响的最佳方法。安全运营开始从被动防御转变为主动防御，更注重从防御、检测、响应和预测四个维度构建网络安全体系，安全运营“闭环”的概念也随之形成。安全运营中心开始走向更加体系化的道路。

针对传统SIEM所面临的被动分析和响应、事件过载、网络安全专业技能与人才匮乏等问题，SOAR的概念应运而生。第三代安全运营中心利用安全设备、SIEM和SOAR技术，并结合大数据分析技术和人工智能技术，寻找未知的攻击向量以及长期未检测出的攻击迹象，更加注重通过主动式、智能化的方式实现合规性，而不是简单地依照合规性法规来提供网络安全。

基于大数据基础架构的集成式SIEM，对企业和组织所有IT资源产生的安全信息进行统一实时监控、审计分析、溯源取证、周期报告和应急处置，实现了IT资源合规性管理的目标。

一个典型的SIEM技术架构如下图所示。

SIEM包含如下几个关键技术组件：

SIEM强调数据源的多样性。采集、监测和分析网络流量、网络设备日志、主机日志、安全设备日志、应用服务日志等多种数据，结合威胁信息、资产等数据，以支持全网威胁的及时检测与分析。负责采集数据的组件包括流量探针和日志采集器。流量探针一般用于收集互联网出口、办公网出口、数据中心出口的流量信息，包括网络监测功能的Netflow数据和流量协议解析后的Metadata数据。日志采集器一般用于收集各种日志，日志源一般包括资产扫描系统、漏洞扫描系统和安全设备（例如IDS、防火墙、EDR等）。流量信息和日志统一上送到数据处理组件。

预处理组件对采集的网络流量信息和日志进行清洗、转换与存储，完成数据的规范化。规范化过程包含对异构系统的日志字段、流量信息向SIEM系统进行映射，补齐用户信息、资产信息和地理位置信息等。规范化统一了不同模块的数据模型，提高了数据质量，便于上层组件的分析和检测。

数据总线定义了组件间数据交换的标准，使数据可以在各个组件之间高性能、低延迟地流转。同时，数据总线还提供了数据订阅与通知能力。

安全大数据平台提供强大的计算与分析能力，并为上层应用提供分布式分析引擎，具有高可用、高性能、开放性和可持续演进等特点。通过智能引擎、关联分析引擎，安全大数据平台，为威胁检测组件提供检测算法和检测规则的运行环境。

威胁检测是SIEM的核心能力，通过网络流量和日志数据构建检测算法（例如NTA算法、日志关联分析算法、用户行为分析算法等），在关联分析引擎和智能引擎等多种引擎支撑下，可检测出内外部攻击行为。各种检测算法和分析规则是威胁检测的关键，SIEM不仅支持丰富的在线算法、离线算法和分析规划，还应该支持自定义分析规则。

安全应用是直接向运营人员提供的配置与可视化界面，通常包括安全态势监控、风险监控、事件分析、响应闭环、资产管理等功能。

SIEM可帮助安全运营团队收集和分析安全数据，管理安全信息和安全事件，并根据预先设定的规则给出通知。SIEM还支持设置符合特定安全问题的规则、报告、告警和仪表板等策略。SIEM能够帮助安全运营团队获得如下优势：

根据企业安全诉求，收集、监测和分析数据中心、办公网络、互联网出口等区域的网络流量信息。根据纵深防御诉求，收集各种安全设备的日志。根据资产风险评估的诉求，收集资产管理系统的日志，用于绘制资产画像。根据办公安全诉求，收集环境感知系统日志，通过UEBA技术绘制用户特征。

在收集网络流量信息与日志后，通过在线/离线学习技术、关联分析技术，生成安全事件、资产特征、用户特征、用户行为基线等，支撑安全分析与事件研判。

SIEM检测到事件后，可以自动或手动触发安全响应工作流，按照预先设定好的剧本（Playbook），快速完成调查取证和攻击遏制。SIEM和SOAR的结合，可以帮助识别正在发生的攻击活动，并及时采取消减措施，避免攻击造成严重损失。在安全运营由被动防御向主动防御转变的过程中，SOAR技术把数据感知、安全检测、响应与处置有机结合在一起，提升了安全运营效率与能力。

SIEM提供的威胁处置率、阻断率、高风险资产排行和高风险事件指标，不仅提示安全运营团队当前的网络安全状态，也体现了安全运营团队工作价值。安全报告则可以快速呈现全局安全风险与脆弱性，更好的支撑运营团队的工作。

华为安全持续聚焦五大根技术，基于流量、文件、事件、漏洞、威胁信息，构建安全关键竞争力。通过SIEM产品的相关技术，对网络流量、资产、安全设备的日志进行收集、监测和分析，为零信任网络提供安全分析与持续运营能力。

华为SIEM产品HiSec Insight的产品架构如下图所示：

华为安全态势感知入选了2022年Gartner SIEM魔力象限，也是国内唯一入围的厂商。至此，华为成为国内唯一连续两年入围Gartner SIEM魔力象限的厂商。Gartner分析师认为华为的优势如下：

❖ 威胁分析能力：威胁分析一直是华为重点投资的领域。其UEBA能力提供了基于对等组的动态检测。其基于机器学习的实体风险排名反映了资产价值、漏洞风险、攻击风险等因素。

❖ 丰富的产品生态能力：华为提供网络检测与响应、沙箱、诱捕、UEBA、编排与响应、威胁信息等一系列产品集成能力。

❖ 灵活的场景适配能力：华为产品提供多种形态，包括软件、硬件和虚拟化部署，还可以通过华为公有云或私有云进行托管，可按需灵活选择。

往期推荐

安全态势感知专家说第1期：安全运营技术的现状与展望

安全态势感知专家说第2期：人工智能技术在态势感知的应用

安全态势感知专家说第3期：SOAR在安全态势感知中的应用与展望