下一代SIEM应该具备的八项关键能力 - 网安 - 专业的网络安全产业、社区、知识平台

随着信息技术的发展，传统网络边界逐渐消失，企业数据量变得越来越庞大，传统安全检测及边界防护无法应对当前挑战。

传统SIEM无法处理不断增长的数据量以及复杂的安全场景，导致其无法实时检测并猎捕高级威胁。

下一代SIEM应该具备本文中以下陈述的八种能力，用以支持海量数据进行实时分析，以检测并应对高级安全威胁场景。

端点、应用程序、网络设备、VPN、服务器和云应用程序的这些数据，不但数量非常庞大，而且都与安全以及威胁场景相关，基于传统数据库架构的SIEM无法满足海量数据处理以及扩展性要求。

下一代SIEM应建立在大数据平台上，不但能够处理企业产生TB以上的海量数据，通过使用开放数据模型存储数据来提供数据可移植性，并且通过通用平台部署以经济的方式进行数据的长期存储。

基于特征以及专家经验的检测规则只擅长发现已知威胁，通过规则方式发现未知威胁会产生大量的噪声，很难发现高价值的异常风险。这导致在网络威胁快速扩散的今天，传统SIEM显得不堪重负。

下一代通过机器学习有监督、无监督、统计算法等技术，对海量数据中的用户行为进行学习，并在此基础上建立用户行为基线，通过对比行为基线检测异常行为。

没有丰富上下文的告警可能会被淹没在SIEM海量告警数据中，同时可能造成为了确认告警是否有价值，安全分析人员需要在多个页面以及数据库中，多次进行手工查询与分析。

下一代SIEM通过添加额外的上下文数据来进行告警信息丰富化，其中包括用户、资产、IP地址、地理位置、威胁情报、漏洞扫描结果等信息。通过丰富的上下文信息，安全分析人员可以快速了解告警严重性以及优先级。

传统SIEM创建新的关联规则周期长、成本高，随着当前网络攻击形势不断演变，即使非常专业的安全分析人员来管理与配置传统SIEM，这样低效地完善或新建安全分析规则，也难以应对快速变化的安全威胁。

下一代SIEM能够提供打包好的开箱即用的安全分析规则，通过威胁类型和安全场景对安全分析内容进行分类，用户可以快速地对其特定安全分析需求进行定制化部署。并且通过动态安全场景创建和信息共享，以领先于快速变化的安全威胁形势。

传统SIEM一般按照吞吐量（EPS）或存储容量（GB）定价，用户不得不考虑哪些数据源重要或者不重要，使安全分析人员被迫担心数据成本上升，而不是专注于安全分析效果，这会导致对安全检测能力带来损失。

下一代SIEM可以很好地处理海量数据，因此其定价模式可以不受数据处理速度和数据存储量的限制。下一代SIEM可以提供更符合客户业务需求的定价模式，比如通过用户数量定价可以准确反映安全风险和威胁的复杂性，使得成本的不可预测性得以消除，也不需要担心有价值数据无法收集的风险。

检测识别威胁只是开始，快速响应以应对威胁才至关重要。传统SIEM缺乏事件响应能力，这意味着需要与第三方技术进行继承来进行事件响应。并且如果这个过程过度依赖于手工操作，这会使得威胁快速响应能力降低。

下一代SIEM应具备自动事件响应能力，能够创建符合安全行业最佳实践的剧本，与广泛的第三方产品与工具进行紧密集成，采取一系列明确操作进行自动化响应，并给出应该采取的行动建议。

传统SIEM通常部署在本地数据中心设备上，本地化部署没有考虑过云计算环境。随着企业云计算应用的快速发展，传统SIEM本地化部署方案难以保护云端应用，也无法解决安全团队面临的云端基础设施监控的挑战。

如今企业正通过云计算战略实现增加效益、降低成本、保持灵活性和敏捷性，下一代SIEM则需要与企业总体IT战略相匹配，需要具有虚拟化和基于云环境的部署能力，或者将SIEM作为一项SaaS服务进行交付。

为了更好地检测和应对威胁，安全协作、自动化和响应（SOAR）、网络流量分析（NTA）以及用户和实体行为分析（UEBA）这些曾经是独立产品的功能，将成为逐渐成为下一代SIEM中的标准集成组件。

UEBA能够深入深度分析社会工程、信息泄露等威胁与异常；NTA能够监控网络流量、连接状态和对象，以检测网络中的威胁。SOAR有助于快速响应与修复。UEBA、NTA、SOAR逐步融入其平台功能，也是下一代SIEM的特征之一。

本文主要的内容与思想来自Securonix报告，在公众号后台回复“1207”下载报告文件：

Eight_Capabilities_of_a_Next_Generation_SIEM_Securonix.pdf