SIEM
系统信息和事件管理(SIEM)是与IDS/IPS 密切相关的主题。SIEM 系统首先聚合网络上各个系统的日志。可以包括防火墙日志、服务器日志和 IDS/IPS 日志。然后 SIEM 系统分析日志,查找任何可疑活动,然后向管理员发出警报。SIEM 系统的主要优点是您可以在一个位置查看所有网络日志,并且可以监视它们是否存在可疑活动。SIEM 系统在数字取证中也经常有用。
SIEM 系统最重要的好处之一是可以关联活动。例如,如果在防火墙处检测到可疑活动,则它可以与可能由 IDS/IPS 或单个服务器检测到的任何其他可疑活动相关联。大多数 SIEM 产品都会有一个带有各种仪表板的图形用户界面,允许用户监控数据并与数据交互。
NIST SP 800-92:计算机安全日志管理指南是与日志管理相关的主要标准,许多 SIEM 产品都宣称符合此标准,即使该标准本身不使用术语 SIEM。也许更相关的标准是 NIST SP 800-53 RA-10,明确用于威胁追踪。SIEM 系统通常用于遵守此标准。
国际上特定 SIEM 产品
Splunk 是一种流行的 SIEM 产品,现在可作为云解决方案或现场产品使用。Splunk 宣传与机器学习的集成,以提高性能以及高级数据分析。Splunk 还声称有能力协助遵守法规,包括 HIPAA 和 PCI DSS。
Logrythm 是一种广泛使用的SIEM 产品,还声称具有机器学习、集成威胁情报和基于云的部署。其宣传的目标是减少对任何网络威胁的平均检测时间(MTTD) 和平均响应时间 (MTTR)。
IBM 的 QRadar 是该公司的 SIEM 解决方案。QRadar 可以部署在云端或本地。QRadar 拥有集成的入侵检测和入侵防御系统,并支持威胁情报源,以提高对最新威胁的识别。
Microsoft 有其Sentinel 产品,这是一个基于云的 SIEM。该产品与Microsoft Defender for Cloud 集成。Sentinel 基于连接器,用于将具有 Syslog 和 REST 等格式的各种系统连接到 Sentinel 的数据源。Securonix 拥有统一防御 SIEM。
原文始发于微信公众号(河南等级保护测评):网络安全等级保护:SIEM
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论