避坑指南 优秀安全专家谈SIEM怎样选型
发布时间:2022-07-25 09:08:09 所属栏目:安全 来源:互联网
导读:SIEM(安全信息和事件管理)堪称企业安全运营的发动机,它不但从IT基础架构中的海量信息资源中收集和分析各种活动,同时也是安全自动化、DevSecOps、下一代SOC等安全管理和运营的基
|
SIEM(安全信息和事件管理)堪称企业安全运营的发动机,它不但从IT基础架构中的海量信息资源中收集和分析各种活动,同时也是安全自动化、DevSecOps、下一代SOC等安全管理和运营的基础。 Elastic Security高级总监 Jae Lee SIEM是很成熟的产品类别,并且还在不断发展中。但是,随着SecOps从“传统”转变为“自适应”,SIEM产品需要支持团队的“进化”。 首先,从人的角度来看:传统安全技能是基于工具的(例如,漏洞、防火墙、IDS/IPS等),但是未来的安全运营需要更广泛的技能,例如处理和分析数据、进行协作研究、了解对手/厂商等,一个好的SIEM方案应当能帮助安全团队增强和发展这些技能。 其次是流程。提升技能、不再被告警“统治”(除非允许),预定义的静态SOP /预案对于新一代的SIEM来说是不够的。团队现在需要进行实时分析以进行搜寻,包括进行研究、逆向工程和模拟威胁等等。上下文(context)决定一切。有效地进行搜寻和操作需要完全的可见性——不是在单独的工具中,而是在SIEM中。 最后是技术。全面的安全可见性不仅指广泛的覆盖范围,也包括快速的见解。同样,检测需要支持OOTB。例如端点安全中,OOTB检测具有很高的准确性。SIEM中应该应用相同的规则,而不要求每个分析师都是规则编写专家。SIEM不仅是“技术”,还需要经过现实世界验证过的安全性内容。 随着SecOps的成熟,企业通常需要大量投资来维护SIEM。安全主管必须有效阻止威胁来证明安全投资的合理性。你需要树立目标,例如通过部署SIEM满足快速发展的安全需求,并就扩展性和灵活性向供应商提出一些尖刻的问题——从检测到集成,部署选项到定价指标。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号