Gartner话下的Modern SIEM 带来安全运营新时代

安全信息和事件管理（Security Information and Event Management，SIEM）一直是安全运营的核心能力，随着安全数据、应用、场景量的急速暴增，安全运营的技术能力和体系发展也需要不断优化。Traditional SIEM数据治理能力不足的问题在大数据时代显露的更加明显。然而，挑战与机遇并存是安全运营精进的不二法门，结合大数据架构和人工智能等新兴技术的发展，Traditional SIEM也迎来了Modern SIEM的革命性转型。

2018年10月，Gartner “Technology Insight for the Modern SIEM”报告中首次提出了Modern SIEM的概念，报告认为Modern SIEM技术带来了安全管理新篇章，并总结了四大关键发现。第一，Modern SIEM不再仅局限于SIM 和SEM，逐渐开始支持内外部高级威胁检测和响应；第二，Modern SIRM能够收集和管理更新更复杂的数据源来做高级分析（如机器学习）；第三，安全厂商开始将SIEM技术的部署、运维、使用、管理变得更加简单；第四，SIEM技术的云部署和管理服务能力需要不断成熟化发展。

SIEM是什么？

安全信息和事件管理（Security Information and Event Management，SIEM）主要包括实时监控系统、网络、数据库、应用中的所有活动，是将安全信息管理（Security Information Management, SIM）和安全事件管理(Security Event Management, SEM)的能力集于一身。SIM主要完成日志数据的收集和管理使组织满足合规要求,SEM则主要完成安全事件和告警的实时分析和可视化。

SIEM能做什么？

1、发现威胁

SIEM从安全控件、网络软硬件中收集的日志能够以安全的视角分析网络中到底发生了什么，如权限获得、特权升级、跨网横向移动、证书滥用、可疑扫描等活动。

2、管理告警

SIEM通过设置规则对海量告警进行管理，如分类和分级，降低原始日志噪声，减少误报，聚焦重点事件。

3、响应事件

SIEM从上下文信息中提取关于事前、事中、事后的信息，对威胁进行评估，并采取相应的处置策略。

4、分析取证

通过查询SIEM中的数据可形成分析导致告警的事件序列，对日志数据的分析能帮助检测被告警系统忽略的高级威胁，通过挖掘聚合的数据搜索低频率攻击。

5、满足合规

SIEM支持对相关数据进行记录和审计，帮助组织满足日志审计和日志保留要求。以及使用通用的储存格式，便于生成合规报表。

Traditional SIEM力不从心

垃圾进垃圾出

Traditional SIEM在数据治理能力上的欠缺导致了安全运营中“垃圾进，垃圾出”的困境，海量数据的收集、储存能力与分析、治理能力之间存在鸿沟。Traditional SIEM收集了大量缺少上下文信息的告警，使分析人员几乎不可能对每个告警进行分析，很容易错过高级威胁。同时，为新攻击创建规则是一个无止尽的过程，专业人员创建和调优规则的速度远远跟不上威胁的变化和产生，这也就导致海量告警难分类分级。最终，Traditional SIEM虽然能收集海量的数据，但难以将分散、复杂的数据转为适合安全分析的数据。

Modern SIEM带来哪些变革？

垃圾变废为宝

1、数据收割器

海量的数据采集汇集上下文信息、单一的集中平台实现数据规范化、优化的规则策略助力数据治理

2、高级威胁检测器

强大的运算能力、结合用户实体行为的上下文信息、快速的发现高级威胁

3、ML异常发现器

超强的存储能力、有效的活动基线、持续的机器训练、精准的探测异常活动

Modern SIEM 主要特征

大数据分布式处理架构

采用Hadoop、Elasticsearch、Kafka等大数据存储处理技术框架，支持多副本分片存储，满足不低于180天的日志数据存储量分析要求，并支持动态硬盘扩展。

数据集成能力

Modern SIEM下安全厂商逐渐开始主动与其他安全产品厂商接洽，支持广泛的集成，开始打造生态性的环境。

资源聚合风险分级

针对安全数据资源池中的的信息实现聚合，并通过制定规则对告警信息进行进行关联分析，实现告警信息的过滤提取及分级和攻击方向识别。

预置解决方案库

Modern SIEM预置解决方案库包括内置的规则、策略、模型和安全场景等，通过对内置库的优化和更新，不仅能提高安全事件响应能力，也能促进响应自动化。安全分析内容按实际场景和它所处理的威胁类型进行分类，使企业可以自定义其部署以满足其独特需求。

丰富的上下文信息

Modern SIEM通过采集上下文信息丰富数据，这包括有关用户、资产、IP 地址、地理位置、威胁情报、漏洞扫描结果等信息。若触发警报，上下文信息可用于根据参与者、识别威胁的资产以及风险数据类型快速了解严重性，并相应地自动提高警报的优先级。

图：Sherlock追踪溯源

实时行为分析

通过监督和非监督的机器学习和算法的结合，建立用户行为基线进行关联性事件分析，精准发现已知和未知威胁。

图：机器学习建模

自动威胁响应

Modern SIEM提供安全事件的自动响应功能，帮助安全运营中心做出快速反应，每个已经识别的告警都可以有一个对应的建议操作剧本，根据告警自动化执行一系列流程操作，快速响应。

图：绕过WAF恶意IP自动封禁剧本

基于云部署

现代 SIEM 部署应与组织的整体 IT 战略相匹配，如今，企业通过混合和云 IT 战略实现了巨大的优势、灵活性、敏捷性也节约了成本。因此，现代 SIEM 解决方案必须提供传统企业用硬件/软件的、虚拟的或基于云的部署选项。

与Traditional SIEM 相比，Modern SIEM 通过引入新的技术改进检测、调查、响应等功能不断优化用户的安全状态，例如NTA对全网流量的监控更容易发现威胁，UEBA帮助安全分析师深入了解安全威胁，SOAR则大大提升了安全事件的补救效率。这些具有典型Modern SIEM特征的功能演进对于安全运营体系性的发展无疑有着极大的影响意义。