■

SIEM需要一种最佳方法和全新功能（这些功能可能位于SIEM内部或作为独立功能与SIEM一起合作）的组合。此外，企业还需要更新的部署选择，如可管理服务。

诚然，没有SIEM，要实现健全的网络安全是很困难的。比如，有的大型公司每小时需要及时处理的事件达1000万次以上。单靠人工是无法做到这一点的。然而，良好的SIEM可以将此数字降到100以下。

另一方面，如果SIEM没有配置正确，它也会产生一些浪费时间的假情报，使人产生“狼其实没有来的感觉”。当然，“似非而是”的假情报同样糟糕，因为它会透露一种虚假的安全感。

如果企业能够正确实施SIEM，就能够在整个企业中提供一种全面的安全观和事件关联。而且，SIEM还能够极大地增强事件响应和取证功能。

另一方面，在事件发生时SIEM能够检测事件，将这些事件与有漏洞的系统关联起来，并能够几乎适时地响应攻击。

SIEM及其问题

使用SIEM的公司与其生产厂商之间在对SIEM的期望以及公司需要向SIEM投入哪些资源问题上存在很大分歧。因而，公司可能希望投入1.5个全时当量来实施SIEM，而厂商认为企业需要三到四个全时当量。

实施SIEM时如果人员配备不足其实效性将大打折扣，不断增长的事件负载会使有效地管理和响应十分困难。

大型公司更有可能拥有必要的资源实施和使用SIEM，但对于小型企业，信息损害的警告数量仍很巨大。

因而，确认安全事件简直无异于大海捞针。SIEM方案可能很擅长找到“针”。问题是，在大型企业这些“针”的数量仍很巨大。所以，SIEM在获取与分析有关额外功能方面已经成熟，但在过去的两年间，厂商们已经开始转向分析和情报智能，所以这些原始的警告可能会得到更好的分析和优化。

SIEM仍不完善。由于多数攻击源自公司内联网的外部，那么包含损害的事件日志有何益处呢？SIEM已经能够改善其信噪比，并提供那些资产由于安全事件而需要关注的审查以及合规报告、日志分析以及其他领域的意见。

但是，SIEM的完善程度与其包含的信息密切相关。如果缺乏关于特定攻击的情报，SIEM的厂商们不太可能确认某种高级持续性威胁。简言之，SIEM的智能性与其获得的数据有紧密关联。

SIEM不失为强大的工具。SIEM平台在过去的几年确实有了巨大改观。例如，有些SIEM产品提供“重放”功能，可以使管理员重新生成过去的事件或攻击，因而就可以制定一种新策略以应对将来再次发生的攻击。

警告和响应在多数SIEM平台中也有了改善。早期自动响应的实施引起了问题，例如，当警告是虚假情报时，企业却据以采取了措施。如今，自动响应系统的困难已得到了解决。企业越来越满意，因为其SIEM能够正确地将攻击与来自其它工具（如Web内容过滤产品）的信息关联起来，并正确地进行响应。

一般来说，企业使用SIEM有两个原因，一是发现安全威胁或安全损害的证据，二是确保其企业遵循规范标准。SIEM捕获的这两类数据日志都在增长，尤其是SIEM平台开始从移动设备中捕获使用和事件。因而，有些厂商正努力将业务情报和分析工具与SIEM数据结合起来。安全企业使用高级数据方法做出前瞻性的决策，数据仓储、业务情报和SIEM的结合能更好地发现和响应新的威胁。

有些厂商和用户正开始试验新技术，如将大数据用于安全目的，在SIEM上的现有投资事实上正在改进性能。为了这些目的，SIEM技术的最大优点就是其能够执行适时的关联，而无需大量编码或开发复杂的算法。此外，SIEM还有能力在大范围内从多个源接收信息（其中既有传统的IT数据又有各种形式的参考数据），用以建立业务环境并支持工作流的自动化，这会简化事件的处理和报告。

但这并不意味着SIEM简化了处理过程。虽然厂商们提供更多预置的使用案例逻辑和报告，但将SIEM用于信息风险的使用案例仍需要大量的定制。大型的SIEM系统还是劳动密集型的，尤其是在其吸收的数据量不断增加时。由于这些原因，许多企业选择获得外部帮助，例如通过专业服务或可管理服务。

可管理服务的选择

事实上，在部署SIEM系统时要涉及的方面很广，而且其操作和管理都复杂。而且，付款卡行业数据安全标准（PCI DSS）推动着大型企业采用SIEM方案，而中小型企业担心自己会遭受高级持续性威胁，所以愿意采用SIEM，这会导致中小型企业关注拥有可管理安全服务供应商的SIEM方案。

SIEM方案应当能够智能地关联需要关注的重大事件。提供事件数据的源系统正不断地发生变化，而随着攻击变得越来越多层化和复杂化，SIEM面临的挑战看起来就是关联新的源和数据类型。可管理的SIEM方案与内部审查和响应过程相结合已经被证明是一种成功的方案。

但企业给内部部署的SIEM配备人员面临着非常大的挑战，除非企业使用全天候工作模式。在复杂的大型公司，全天候的安全操作中心能够检测和响应跨越企业多个业务单元的高级持续性威胁事件。

在部署这种监视时，这种经验看似成为了一个使用强健的集中化方法的理由。而且，能够将资产和漏洞数据进行绑定，并与攻击发生关联，这会带来一种更集中和更智能的事件响应。然而，有多少公司能够达到这种成熟水平呢？

另一方面，采用可管理方案也存在问题，其中包括必须信任第三方以有效地监视和强化事件，在发生事件时与公司协作，甚至在第三方退出服务或完全结束业务时，企业还要应对由此造成的后果。因而，许多公司正积极寻求“人员增加模式”，以解决晚间和周末的问题，而不是采用完全可管理的服务，但许多供应商并不支持。使用可管理服务依赖于预算和可用的才能。使用可管理服务的效益之一是企业有可能获得最佳的安全体验、建议和教训，因为有能力的供应商可能有许多经验。可管理服务对公司来说可能说是好事，但是企业对于是否自己动手还是将其外包给可管理的服务供应商这个问题，需要进行成本效益分析。

然而，这种方法未必适合每个企业。适应于大型企业的SIEM设备有其生命力。这是因为企业寻求整合更多的环境数据，如捕获的数据包和漏洞数据，因而企业的存储和处理需求更多。相反，虽然像云SIEM产品等如今都可用，但对于大型企业来说，仍不适用，这是由于数据保留要求以及历史数据的在线访问要求，还有与其他内部系统进行集成的需要等。

事实上，将大量的内部和外部数据与威胁检测关联起来，可促使更多企业愿意采用一种可管理服务的“合作共源模式”：第三方帮助企业管理常驻于企业内部的SIEM基础架构。

使SIEM响应更快和更高效的另一种方法是用专门的情报组件进行强化，使其执行对象感知和状态攻击的检测。这种方法有助于实施一些重要的实时检测功能，而不会降低中央SIEM架构的性能。例如，从高级数据分析功能中剥离日志存储和收集这些功能有助于增加效率和性能，却不会牺牲用于取证或合规目的的数据量。

这些分布式更强的架构继续利用SIEM实施与中心的关联和工作流的管理，这非常有益，因为这种架构可以解决监视更多复杂环境的挑战，同时又可以减轻传统的SIEM所面临的性能和容量问题。

新出现的最佳方法

在部署SIEM方案时，你需要记住几个关键问题。首先，理解你要回答哪些问题，然后利用使用案例决定将哪些数据提供给SIEM。通常，SIEM部署时的数据负担过重，分析人员并不能真正在其日常的工作流程中使用这些数据。

其次，很重要的一点是，要确保将数据发送给SIEM方案的设备配置正确。此外，我们必须管理进入SIEM的安全数据的信噪比。太多情况下，提供给SIEM的日志是噪音，而来自不健全的入侵检测系统或反病毒系统的虚假信息又造成混乱。要确保所有这些设备配置正确，或者将数据的接收配置正确，这对于支持高效的分析工作流十分关键，而且也不至于使系统负担过重。

虽然许多SIEM部署重视理解现有的事件数据，而另一类所谓的下游设备根据发送给SIEM的已知恶意活动发出警告。我们可以看到有的分析人员努力找到日志数据中已知的异常活动，这一般被称为“打猎”，这些分析要求借助大量的原始数据。

这种原始数据包括典型的安全日志，也包括来自企业其它部分的数据，这些数据以往被认为不属于常规的安全监视范围，其中包括人力资源数据、电子邮件记录、应用程序日志等等。分析师利用其业务环境、网络架构等方面的知识以及对企业所使用协议的精确理解等，可以判定正常及恶意的活动。工作流程包括反复确认已知的善意通信，以及重视其余的通信。这可称为“大海捞针”。但是，许多SIEM产品正在努力实现灵活的数据接收、定制化（以支持分析专门的查询）、可扩展性（以支持这些新出现的工作流程）。

这种转变已经使安全分析人员转而救助于大数据方案（往往是Hadoop的变种）。在笔者与关键基础架构分析人员的交流过程中，常常感觉到他们对于增强定制化水平的需要，以及重视构建其自己的定制方案而不是完全定制厂商产品的渴求，其目的当然是为了满足自己的具体需要。

当然，所有这些活动都主要依赖于数据质量。因而，随着业务发展和分析人员更好地理解数据的价值，配置问题（接收哪些数据以及分析人员寻求哪些数据）都要经常变化。虽然在定制方案或在内部的部署中这往往易于实施，但也可得到MSSP的支持，前提条件是企业将灵活性构建到合同中。

虽然我们看到了从传统的SIEM产品的一种转变，但厂商们还在快速适应，以满足市场的定制化和可扩展性的需要。尤其是有些产品能够利用大数据方案，使分析人员能够创建定制的工作流程，并运行自己特定的查询。

SIEM的成功所要求的不仅仅是技术。获取SIEM价值的最大挑战来自于人员和过程因素，而不是技术本身。

部署SIEM要求大量的整体思维。SIEM在与一些互补性技术结合使用时，确实可以很好地工作，但是要让全部功能协作会面临诸多挑战，并存在许多技术障碍。此外，将各种组件连接起来、解析没有充足细节的日志数据等都代表着部署SIEM过程中的技术障碍。

因而，笔者建议企业在部署时要从小到大，具有目标和针对性，并考虑到未来的扩展。最大的错误并不是管理期望过高以及部署面铺得过大（这会导致高成本以及实施的复杂化）。事实上，许多公司一开始就想做到大而全的集中化部署，然后立即打开所有的功能。这些部署在人员和可扩展的技术架构等方面没有进行正确的资源配置，这可能会导致部署的停滞或完全失败。另一个错误是过于关注合规。PCI的合规仍是这种部署的重要因素，但仅仅为了合规而简单地部署SIEM并不可能提供真正的价值。

保证修复和事件响应过程的正确需要花费时间，并需要在整个企业中的协作和协调一致的过程。我们不能简单地部署软件而不解决人员和过程因素。

简言之，SIEM应成为企业优先考虑的问题。正确部署SIEM需要花费资金、资源以及在整个企业中的协作。其中企业要面对诸多挑战，但系统目录的清查、定义良好的标准和进入事件响应和修复活动的过程等通常都代表着真正的挑战。

找到正确的专业技术人员以及充足的资源是确保SIEM成功的首要挑战。这是提高SIEM方案完善程度的重要因素。但是，一般情况下，在部署SIEM时，企业的人员配置往往根据所期望的警告水平而任意配置。以后，管理员往往被要求处理并集成更高级的警告，但没有更多资源。我们可以使用技术来过滤信息，但在涉及到警告时，我们确实需要人员来分析确定企业在何时采取哪些行动。

另外，还有一个SIEM在企业内的行政所有权问题。安全操作往往涉及到企业的很多方面，但从SIEM的观点看，在部门内部可能存在孤岛系统。例如，人力资源部门就需要跟踪哪些人是当前的雇员而哪些人不是。获得访问可能涉及到跨越部门之间的边界问题，并要求企业将SIEM的价值传达到整个企业。

与此类似的是，在企业合并或并购时，有可能给SIEM的实施带来额外的复杂性。例如，某大型公司A并购了一小型企业，该公司发现小型公司遭受了攻击。A公司需要保证并没有将遭到损害的网络集成到现有的运作中。此外，A公司需要更好地监视新的实施，用以发现真正遭受攻击的系统或区域。这个挑战就像是在汽车运动时试图更换轮胎一样。

SIEM还会有哪些进一步的技术改进？笔者认为有许多新的特性可归入到SIEM中，例如，有些SIEM现在能够接收流数据，并能对异常做出标记。这种功能虽然有用，却需要有人深入分析细节。此外，由于客户端收集海量的数据，笔者认为越来越多的方案会进行扩展，并以使数据可用且立即可行的速度执行并行处理。