SIEM的三重境界
——ManageEngine安全管理
2018-11-07
历来的网络攻击总是会或多或少的留下痕迹,这也让网络安全人员得以“顺藤摸瓜”,分析安全线索,并追踪溯源。
对网络安全事件的分析最早是基于日志数据。传统上对日志数据的分析方法在面对如今大数据时代下变得异常困难,如何从海量数据中有效识别和分析安全威胁成为重要的发展方向。
安全信息与事件管理(SIEM)通过收集安全日志数据,分析安全威胁,并形成安全报告。近年来SIEM通过不断融合新技术,成为市场上较为成熟的安全产品,并受到用户的追捧。
在卓豪华北二区销售总监吴兆勇看来,SIEM的发展经历了三次较大的飞跃,相对应地,SIEM产品也形成了三种不同的阶段,吴兆勇称之为“三重境界”。
卓豪华北二区销售总监 吴兆勇
“第一重境界”如前所述,是基于日志数据的收集和分析,通过多数据源日志的收集、存储在中央存储库中进行监视,并形成报表。其多用于小型或中型企业。
“第二重境界”基于IT合规管理,依靠工程师、网络专家的经验,提供直接可用的报表和告警,并形成合规报表、业务细分故障报表、用户行为报表等。ManageEngine还包括了用户会话监控和实时AD审计等功能,还可对特权用户的非正常行为的实时监测及告警。其多用于中型的企业集团。
SIEM的“第三重境界”是要达到日志的智能分析,通过结合机器学习等新技术,形成基于机器学习的用户行为分析、诊断恢复流程自动化等功能,检测异常用户行为。其适用于大型的跨国集团企业。ManageEngine还包括全球超6亿个进入黑名单的IP地址,可以进行实时邮件或短信告警和流量错误检测,帮助用户减轻外部安全威胁;通过安全隐患数据分析,提供统一的安全数据视图,帮助及时找到漏洞,主动减少安全攻击。
SIEM对安全信息和事件的管理不仅可以应用于传统IT环境,同样可用于工业、医疗等领域。例如,在医院等应用场景下,通过对员工登录医疗系统的行为监控,SIEM系统可判断该员工的行为是否异常,并自动告警,走自动化诊断工作流处理。
在“2018中国工业信息安全高峰论坛”上,卓豪(北京)技术有限公司荣获“2018年度中国工业信息安全十大用户信赖品牌”奖。