什么是SIEM工具？

SIEM 代表安全信息和事件管理。SIEM 是一种安全管理方法，它将安全信息管理 (SIM) 和安全事件管理 (SEM) 功能整合到一个安全管理系统中。SIEM 的发音为 SIM，字母 e 不发音。

SIEM 是一种软件解决方案，它聚合并分析来自整个 IT 基础设施中大量不同资源活动的日志。

SIEM 从网络设备、服务器、域控制器等收集安全数据。它存储、标准化、聚合这些数据并应用分析，以发现趋势、检测威胁并使组织能够调查任何警报。

• SEM：它分析日志和事件数据，实时提供威胁监控、事件关联和事件响应。它通知网络管理员重要问题，并建立安全事件之间的关联。
• SIM：它从日志文件中收集数据以进行分析，并报告安全威胁和事件。

每个 SIEM 系统的基本原则是聚合来自多个相关数据源的数据，识别与常规的偏差，并采取适当的行动。例如，当检测到潜在问题时，SIEM 系统可能会记录额外信息、生成警报并指示其他安全控件停止活动的进行。

SIEM 系统可以是一个基于规则的统计关联引擎，用于建立事件日志条目之间的关系。先进的 SIEM 系统已经发展到包括用户和实体行为分析 (UEBA) 以及安全编排、自动化和响应 (SOAR)。

SIEM 系统通过分层部署多个收集代理来工作，以收集来自终端用户设备、服务器和网络设备，以及防火墙、防病毒软件或入侵防御系统 (IPS) 等专用安全设备的与安全相关的事件。

收集器将事件转发到中央管理控制台，安全分析师在这里梳理噪音，连接点滴，并对安全事件进行优先级排序。

安全信息和事件管理过程可细分为以下几个部分：

• 数据收集：网络安全信息的所有来源，例如服务器、操作系统、防火墙、防病毒软件和入侵防御系统，都配置为将事件数据馈送到 SIEM 工具。
• 策略：SIEM 管理员创建配置文件，该配置文件定义了企业系统在正常条件下和在预定义的安全事件期间的行为。SIEM 提供默认规则、警报、报告和仪表板，这些都可以进行调整和定制以适应特定的安全需求。
• 数据整合与关联：SIEM 解决方案整合、解析和分析日志文件。然后，事件根据原始数据进行分类，并应用关联规则，将单个数据事件组合成有意义的安全问题。
• 通知：如果事件或一组事件触发了 SIEM 规则，系统会通知安全人员。

SIEM 如何工作？

SIEM 软件收集并聚合由组织技术基础设施（从主机系统和应用程序到网络和安全设备，如防火墙和防病毒过滤器）生成的日志数据。

然后，该软件识别和分类事件，并对其进行分析。SIEM 提供两种主要功能，例如：

1. 提供关于安全相关事件的报告，例如成功和失败的登录、恶意软件活动和其他可能的恶意活动。
2. 如果分析显示某个活动违反了预定规则集并表明潜在的安全问题，则发送警报。

其核心是，SIEM 是一个数据聚合器、搜索和报告系统。SIEM 从整个网络环境中收集大量数据，进行整合，并使这些数据可供人类访问。

SIEM 的好处

以下是使用 SIEM 的一些好处：

• SIEM 通过过滤大量的安全数据并对软件生成的安全警报进行优先级排序，使企业更容易管理安全。
• SIEM 软件使组织能够检测可能未被发现的事件。
• SIEM 系统还可以通过自动生成包含所有已记录安全事件的报告来帮助组织满足合规性要求。如果没有 SIEM 软件，公司将不得不手动收集日志数据并编译报告。
• 公司可以将其用于围绕数据或日志的各种用例，包括安全程序、审计和合规性报告、帮助台和网络故障排除。
• 它支持大量数据，因此组织可以继续扩展和增加他们的数据。
• 它提供威胁检测和安全警报。
• 在发生重大安全漏洞时，它可以执行详细的取证分析。

SIEM 工具

IT 市场上有许多安全信息和事件管理工具，它们已存在十多年。SIEM 工具是组织保护敏感数据最有效的方式。大型企业是 SIEM 工具的主要客户，因为它们最有可能需要 IT 监督。然而，中小型企业 (SMB) 仍然可以享受 SIEM 功能的好处，通常是通过与托管服务提供商 (MSP) 合作。

最好的 SIEM 工具能够善于利用过去的趋势来区分实际威胁和合法使用，从而使您能够避免误报，同时确保最佳保护。

1. Splunk

Splunk Enterprise Security 是一个流行的选择，已存在十多年。顾名思义，这是一个企业级选项，这意味着许可成本并不具有竞争力。此工具可能太贵了。

我们可以将其作为本地软件或SaaS解决方案获得。仪表板具有有用的可视化效果，例如图形和图表。

它提供实时威胁监控、通过可视化关联进行快速调查以及进行调查分析，以追踪与高级安全威胁相关的动态活动。

Splunk SIEM 可作为本地安装软件或云服务提供。它支持与第三方应用程序的威胁情报源集成。

2. IBM QRadar

IBM QRadar 从企业信息系统中的源收集日志数据，包括网络设备、操作系统、应用程序和用户活动。

QRadar SIEM 实时分析日志数据，使用户能够快速识别和阻止攻击。

QRadar 还可以从云应用程序收集日志事件和网络流量数据。此 SIEM 还支持威胁情报源。

QRadar 是另一个流行的 SIEM 工具，可以根据组织的需要和能力部署为硬件设备、虚拟设备或软件设备。QRadar 可以与Varonis集成，以添加高级威胁检测功能。

希望跨关键系统集成各种日志的企业可能会发现 QRadar 非常可靠。这个 IBM 产品具有智能功能，可以捕获各种不断变化的威胁。它不一定是第一个最直观的产品，因为它的复杂架构与其功能相匹配。

3. ArcSight

ArcSight 拥有开放的架构，这赋予了它一些出色的功能。此工具可以从比许多 SIEM 产品更广泛的源中消耗数据，其结构化数据可用于 ArcSight之外，这对于更专业的 IT 团队可能很有用。

它收集和分析来自企业安全技术、操作系统和应用程序的日志数据。一旦检测到恶意威胁，系统就会向安全人员发出警报。

ArcSight 还可以启动自动反应来阻止恶意活动。另一个功能是能够集成第三方威胁情报源以进行更准确的威胁检测。

4. SolarWinds Security Event Manager

SolarWinds Security Event Manager 提供所有日志管理功能，例如安全事件时间关联、合规性报告和高级分析功能。

它适用于那些专门寻求强大的日志监控以及在事件管理方面进行更好优先级排序和响应的企业。

我们还可以使用该工具的文件完整性检查器来跟踪对文件和文件夹的访问和其他更改。此工具通过数据加密、SSO/智能卡集成，以及根据需要阻止 IP、应用程序和 USB 的能力来定制和提高安全性。

5. SolarWinds Threat Monitor

SolarWinds Threat Monitor 是一款强大的安全专用 SIEM 解决方案，它跨各种源分析安全日志信息，并根据不断更新的全球威胁数据库交叉检查异常。此工具通过全面的警报对安全事件提供自动化、智能的响应。

该工具可用于本地部署或云部署。它附带一年的存档日志空间和索引日志功能，便于规范化和搜索。它还提供 14 天免费试用，云版本是 MSP 非常受欢迎的选择。

6. LogRhythm

LogRhythm NextGen SIEM 是针对 Windows 关键日志管理的一个可靠、快速的选项。该工具易于经过培训的 IT 人员部署，并且仪表板有助于简化工作流程。如果我们有特定的合规标准并知道查询，可以快速配置报告。

此工具具有快速发展的 AI 和自动化功能。该平台的可扩展性有限，特别是对于大型企业，并且在我们需要扩展到云环境时支持有限。

7. AlienVault Unified Security Management

AlienVault 统一安全管理工具是中小型企业寻求入门级 SIEM 产品的选择，并且可以安装在 Mac 和 Windows 上。此工具不提供领先竞争对手的广泛功能。它最近增加了端点检测和新的响应功能。

8. RSA NetWitness Suite

RSA NetWitness Suite 是日志管理和威胁情报的另一个选择。此工具支持强大的威胁分析。

它可以重现完整的会话，以准确了解攻击期间发生的情况，并通过自动行为分析深入了解黑客的策略。

此工具位于价格范围的上端，更适合企业。

9. Sumo Logic

此工具是一个新的云平台，适合中小型企业，无论是在成本还是功能方面。由于该产品较新，社区基础尚不完善，但 Sumo Logic 声称其产品弥补了其他产品在 IT 安全方面存在的不足，尤其是在云部署方面。

注意：此工具似乎更偏向技术用户，因此设计功能不那么吸引人。

10. McAfee Enterprise Security Manager

这是一个熟悉的工具，但请注意，其他 McAfee 产品过去已被停产。该产品与其他供应商的工具共享日志并不直接。

如果您已经在使用其他 McAfee 产品，例如其著名的防病毒软件，那么选择 McAfee SIEM 解决方案以简化您的运营可能是明智的。

无论如何，选择此解决方案将获得基本的仪表板管理和报告功能。

11. Securonix

Securonix 是一款罕见的 SIEM 工具，用户和高级安全团队都可以轻松使用。Securonix 是一款功能齐全的工具，具有强大的行为和数据监控功能。

Securonix 与 LogRhythm 和 IBM 合作，在价值、部署、易用性和检测方面进行管理，响应和管理紧随其后。

云交付服务根据员工数量定价，使其成为市场中定价最简单的方案之一，而在其他方案中，数据和事件量占主导地位。

12. Fortinet

Fortinet 工具是那些希望获得强大安全性的用户的不错选择，特别是对于现有的 Fortinet 客户。

Fortinet 工具比此列表中的任何其他供应商都经过了更多的第三方测试。其入侵和渗透防御、网关和 EDR 功能都经过 NSS Labs 的测试。Fortinet SIEM 工具在检测、响应和管理方面得分最高。

用户对 SIEM 产品实时监控功能给予高度评价，而行为监控是该产品可以改进的一个领域。

SIEM 工具方法论

我们分析了第三方测试数据、用户评论、产品功能、分析师报告、转售商和供应商提供的定价。以下是评级类别的说明：

• 检测：不仅仅是 SIEM 产品能够阻止高比例的威胁。它还提供应对高级和新兴威胁的功能以及用户对产品功能的看法。
• 响应：这意味着产品在移除威胁、警报安全团队和指导响应方面做得有多好。
• 管理：此功能使安全团队能够控制广泛的攻击面和向量。
• 易用性：分数越高，产品可能越适合中小型企业或经验较少安全团队。
• 支持：每个人联系支持时都有一个需要解决的问题，因此响应速度很重要。
• 价值：价值不仅仅是价格，还体现在以更低的成本提供先进的功能和高安全性，并为公司节省数据泄露成本和安全人员时间。
• 部署：这不仅包括产品实施的难易程度，还包括与用户环境的集成程度。