闲话SIEM

SIEM是实践的产品，为了了解实践者的声音，先上图，看看行业巨头们的声音。

注：上图取自https://www.ibm.com/cn-zh/topics/siem，2023年7月16日

注：上图取自https://www.microsoft.com/zh-cn/security/business/security-101/what-is-siem，2023年7月16日

我们注意到，在两大巨头的描述中，同时可以看到3个类似的功能描述：日志管理、关联分析、监测预警，接下来我们根据二者的描述具体分析两者观点的差异（以下引用顺序因Microsoft更为简洁，因此引用在前有利用分析差异）。

日志管理：

Microsoft和IBM无一例外的使用了“日志管理”一词。

在描述语句中，Microsoft写道：

“SIEM 系统集中在一个位置收集大量数据，对数据进行组织，然后确定其是否反映了威胁、攻击或破坏的迹象。”

而IBM写道：

“SIEM 在组织整个网络中，从广泛分布的各类来源捕获事件数据。实时收集、存储和分析来自用户、应用程序、资产、云环境和网络的日志和流数据，确保 IT 和安全团队可在一个集中的位置自动管理其网络的事件日志和网络流数据。

一些 SIEM 解决方案还纳入第三方威胁情报订阅源，集成后即可将其内部安全数据与先前识别的威胁特征符和概要文件详细比对。集成纳入实时威胁情报订阅源，可确保团队阻止或检测新型的攻击特征符。“

从以上描述来看，两者并无明显的分歧，IBM的描述中关于威胁情报订阅的内容，Microsoft在其他地方进行了说明。

关联分析：

Microsoft使用了“事件关联”一词，并写道：“然后将对数据进行排序，确定关系和模式，从而快速检测和应对潜在威胁。”

IBM使用了“事件关联和分析”一词，并写道：“事件关联构成任何 SIEM 解决方案的重要组成部分。事件关联利用高级分析来识别和理解复杂的数据模式，以提供洞察分析，快速定位潜在威胁，降低对业务安全性的影响。通过减少用于深入分析安全性事件的手动工作流，SIEM 解决方案可显著改善IT 安全团队的平均检测时间 (MTTD) 和平均响应时间(MTTR)。”

虽然二者描述不同，但我们不难看出二者的观点差异并不大，只是所使用的描述语言和描述角度不同。

监测预警：

Microsoft使用了“事件监测和响应”一词，并写道：“SIEM 技术监控组织网络中的安全事件，并提供针对事件相关所有活动的警报和审核。”

IBM则使用了“事件监控和安全警报”一词，并描述为：“SIEM 解决方案支持对本地和基于云的基础架构进行集中管理，因此能够识别 IT 环境的所有实体。这允许 SIEM 技术可监控所有连接的用户、设备和应用程序的安全事件，同时在网络中检测到异常行为时对其进行分类。使用可自定义、预定义的关联规则，管理员可以立即收到警报并采取适当措施来缓解异常行为，以免产生更严重的安全问题。”

从二者的文字描述来看，这部分功能主要是对监测结果进行示警、判别和预警的过程。同时，我们注意到二者在文字中同时提到了关于合规的问题。另外，二者不约而同提到了用户行为分析（UBA/UEBA）。

作为非产品方的第三方Gartner对SIEM的描述如下：“SIEM aggregates the event data that is produced by monitoring, assessment, detection and response solutions deployed across application, network, endpoint and cloud environments. Capabilities include threat detection, through correlation and user and entity behavior analytics (UEBA), and response integrations commonly managed through security orchestration, automation and response (SOAR). Security reporting and continuously updated threat content through threat intelligence platform (TIP) functionality are also common integrations. Although SIEM is primarily deployed as a cloud-based service, it may support on-premises deployment.”描述表达了以事件数据为基础，以关联为技术进行威胁监测，把UBA/UEBA与关联作为并行技术，并提到后续处置可以集成SOAR技术，利用威胁情报进行安全报告增强。

由此可见，代表性声音均以日志管理、关联分析为主要关注点。同时考虑到示警、判别和预警主要是流程工作，合规则是针对信息、事件的场景化应用，而UBA/UEBA则是分析技术的一个发展方向，我们将闲话放在日志管理和关联分析两部分。考虑日志管理和关联分析应当关注的需求，我们假设SIEM工作环境为大型组织，需要管理和分析的日志数量庞大、接入日志类型繁多。

为了结构化的了解日志管理和关联分析，我们引入威胁情报生命周期模型,因为威胁情报在SIEM中可以作为日志进行管理。参考Coursera（第三方组织）和NIST，涉及日志管理和关联分析的生命周期过程包括：计划、收集、存储和分析（本文不讨论分发过程）。

谈论到日志收集，需要考虑的问题包括：

1、有多少家厂商的设备/系统需要收集日志？

2、每个厂商有多少种类型的设备/系统需要收集日志？

3、每个设备/系统有多少种日志类型？

4、这些日志类型是否遵从相同的格式？等等

看到这里，我们立刻想到：如果SIEM天然可以解决以上问题，能解决的越多，项目的复杂度越低、实施周期越短！或者，SIEM具有灵活的对接方案

而谈到日志分析，需要考虑的问题包括：

1、关联分析是否可以支持分析师的思路和方法？

2、关联分析是否支持任意同类型字段的连接？

3、是否支持自连接及计数？

4、关联结果的可视化能力如何？

5、还有一些非功能性需求，例如：效率、安全、易用等。

SIEM是安全分析师的工具，界面友好、易用，分析高效是SIEM产品的竞争力所需要考量的因素。

SIEM能够实现的功能其实远远不止于网络安全分析，它还可以帮助企业做到：

1、增加收益

2、提高资源效率

3、提高客户满意度

4、达成MBO

5、制定KPI

而对SIEM的发挥程度则是功力的体现。

参考资料：

https://www.coursera.org/

https://www.microsoft.com/

https://www.ibm.com/

https://www.nist.gov/

原文始发于微信公众号（KK安全说）：闲话SIEM