由于企業(yè)發(fā)生安全事件和漏洞變得越來越普遍，安全信息和事件管理(SIEM)解決方案日漸引起了企業(yè)的興趣和重視。理想情況下，SIEM將幫助企業(yè)收集和關(guān)聯(lián)日志、以及相關(guān)事件數(shù)據(jù)來識別和應(yīng)對那些真正會引發(fā)安全威脅的問題。這是一個相當艱巨的任務(wù)，許多部署了SIEM的企業(yè)均對此感到失望，因為他們沒有達到他們所期望的效果。

托管安全服務(wù)提供商Proficio公司的總裁兼首席執(zhí)行官布拉德·泰勒表示說，他的公司經(jīng)常被客戶的電話叫去搶救各種沒有成功部署的SIEM。在積累了數(shù)年的經(jīng)驗之后，泰勒對于客戶的相關(guān)項目最有可能在何處脫軌有著清晰的把控。

“很多企業(yè)都是將SIEM作為一款設(shè)備購買的，他們認為其就如同防火墻或IDS一樣，只要在最初設(shè)置了之后，慢慢就將其忘記了。”泰勒說。實際上，其是一個框架，需要特殊的考慮框架中的管理軟件，以及保持內(nèi)容的相關(guān)性，以確保其所提供的信息是可操作的。“這是真正的挑戰(zhàn)，其還涉及到一大堆的東西，以使其更有效。”

他認為，最為重要的問題包括：

缺乏可操作的警報

缺乏相關(guān)的內(nèi)容和使用案例

缺乏執(zhí)行能見度

進程未能充分完整的部署實施

具有訪問權(quán)限的人員

未能讓檢測工作起到預(yù)防作用

我就相關(guān)的挑戰(zhàn)問題和他關(guān)于如何從SIEM獲得最大的價值的建議，與泰勒進行了一次詳談。

“許多企業(yè)都會安裝這些設(shè)備，以便向其指明他們的相關(guān)日志和其他數(shù)據(jù)源，并建立起基本的內(nèi)容，而每天的安全事件從數(shù)百萬到一兩千件不等。”泰勒說。 “這仍然不是一個可以進行調(diào)查管理的數(shù)量。他們需要靜下心來，專注以兩三個有意義的事件活動，有針對性的調(diào)查，而從數(shù)千個安全事件中獲得兩三個便是一項挑戰(zhàn)。”

企業(yè)沒有得到他們所需要的可操作的警報，因為來自諸如防火墻和入侵檢測系統(tǒng)(IDS)這樣的設(shè)備仍然有太大的噪音，并且圍繞著警報也沒有足夠的背景能讓他們真正信任。這可能會導致安全分析師把時間浪費在意義不太重大的事件上。泰勒強調(diào)了來自SIEM設(shè)備上的超越了基層內(nèi)容，并能夠提供自定義的使用案例，而且是特定于企業(yè)用戶的業(yè)務(wù)和計算環(huán)境​​的重要性。

“我們在SIEM和使用案例中看到缺乏相關(guān)的內(nèi)容。”根據(jù)泰勒介紹。“一個SIEM可以幫助您找到很多東西，但你必須告訴需要尋找的是什么，或者你可以給它一些條件，這樣其就可以開始分析行為。你也必須明白，相關(guān)的安全威脅是不斷發(fā)展的，需要不斷地適應(yīng)你的內(nèi)容和你的使用案例。”

他說，一個簡單的使用案例：可能是想知道“當企業(yè)的某個員工在辦公室登錄到自己的臺式機，并在同一時間從遠程位置登錄到VPN。畢竟一個人不能同時出現(xiàn)在兩個地方，這樣，企業(yè)就會知道這是一個值得深入挖掘的情況。需要查看分析兩個登錄源，對兩個登錄源分別來自何處做定位分析，并發(fā)出相關(guān)類型的警報。這是一個非常簡單的企業(yè)可能想基于員工的差旅和使用VPN設(shè)置的使用案例。當然還有更復(fù)雜的使用案例，也可以圍繞應(yīng)用程序、Web門戶網(wǎng)站和尋找惡意軟件和惡意活動的基本內(nèi)容建立。”

他給出了一個如何把一次安全事件融入周圍環(huán)境的例子。假設(shè)你企業(yè)有IDS檢測活動，正試圖利用一個危險的漏洞，如Shellshock。但流量是針對那些不具有漏洞的系統(tǒng)，基于漏洞掃描你企業(yè)已經(jīng)有的數(shù)據(jù)。重要的是要關(guān)聯(lián)這些數(shù)據(jù)點，這樣你就不會以追逐那些根本沒什么要緊的東西而結(jié)束了。

很多企業(yè)并沒有花時間去將他們的內(nèi)部資源和政策模擬成SIEM，使其更有效地確定可疑的內(nèi)部威脅，以及周邊環(huán)境的安全性。 “企業(yè)需要模擬他們的資產(chǎn)，”泰勒說。“他們需要確保熟悉其環(huán)境中的一切，熟悉金融區(qū)域與開發(fā)區(qū)域，熟悉相關(guān)的企業(yè)政策應(yīng)該從哪里傳達到哪里，這就是業(yè)務(wù)的環(huán)境背景。它告訴我很多關(guān)于什么情況應(yīng)該是正常的，然后我可以創(chuàng)建使用案例和行為，這樣我可以尋找那​​些異常的東西。”

他補充說，“你不能依靠SIEM的基本內(nèi)容以回答有關(guān)環(huán)境背景和重點的問題。所有的SIEM有基本的內(nèi)容固然是相當不錯，但你必須去適應(yīng)它，將其模擬到您自己的環(huán)境和當下的安全威脅。你必須不斷增加和調(diào)整內(nèi)容。”

泰勒表示說，企業(yè)的SIEM項目失敗的另一方面是其運作，或定義進程如何進行。例如，從安全操作中心發(fā)送一個請求到網(wǎng)絡(luò)運營團隊以解決防火墻塊的問題的進程是怎樣的?該請求將如何優(yōu)先? 如果有可能導致違反環(huán)境的關(guān)鍵威脅，網(wǎng)絡(luò)團隊需要現(xiàn)在就立馬解決塊的更改問題，而不是等到常規(guī)變更管理窗口四天之后才解決。泰勒建議在一個共享的運行手冊定義這樣的流程，以避免臨時反應(yīng)或活動。

SIEM的部署實現(xiàn)還有一個有時會引發(fā)問題的領(lǐng)域是要在相關(guān)的崗位上安排合適的人員。泰勒說，SIEM專家很難找到，且有著高度的需求。不過，也有一些關(guān)鍵的角色，公司必須要有，就像一個內(nèi)容作者，一個SIEM架構(gòu)師進行使用案例建​​模和SIEM管理員以確保數(shù)據(jù)源和數(shù)據(jù)庫工作正常。如果一家企業(yè)無法找到足夠的員工來組成一個合格的團隊，有些任務(wù)可以采用外包，比如全天候覆蓋的監(jiān)測和響應(yīng)警報。

泰勒說，企業(yè)可以從SIEM解決方案中獲得了很多價值，但是只有當其是不斷地按照企業(yè)的內(nèi)容和策略為目的而定制服務(wù)時，才能發(fā)揮其最大價值。