「运维有小邓」SIEM方案分解剖析

「运维有小邓」SIEM方案分解剖析

一、SIEM包括两个功能：

① 安全信息管理(SIM): SIM涉及所有网络活动的收集。这包括从服务器、防火墙、域控制器、路由器、数据库和网络流收集的日志数据，以及网络中的非结构化数据，如电子邮件。

可以使用两种技术收集日志数据，即无代理收集和基于代理的收集。

• 基于代理的日志收集:这种方法要求在每台设备上部署一个代理。代理收集日志，然后在将日志返回到SIEM服务器之前对其进行分析和过滤。这种技术主要用于封闭且安全的网络，例如通信受限的非军事化区(DMZ)。

• 无代理日志收集:这是一种更常用的方法，SIEM服务器使用安全通信通道(如使用安全协议的特定端口)自动收集设备生成的日志。

SIEM

② 安全事件管理(SEM): SEM是指对收集的数据进行分析。使用各种技术分析数据，发送告警，和/或针对任何异常行为启动工作流。

分析过程包括:

• 日志相关:分析所有收集的数据，并将日志相互关联，以检测任何攻击模式。日志数据还可以与威胁源相关联，以检测妥协指标(IOC)。

• 威胁情报:上下文威胁信息用于检测网络中发生的任何入侵、横向移动或数据泄露。

• 基于机器学习的用户行为分析:机器学习算法和分析工具可以形成用户行为模式的基线。如果行为出现偏差，SIEM解决方案将检测到异常，发出警报，并预防对网络的任何威胁。

通过上述技术获得的数据会以条形图或饼图的形式呈现，这使得IT安全管理员可以更快、更容易地做出决策。

用户行为分析

二、让我们一起看看以下这个经典的SIEM场景：

① 一分钟内输入五次不正确的网络访问密码。这被认为是低优先级攻击，因为用户可能多次输入了错误的密码。

② 现在想想一分钟内如果输入240次错误密码的情况。那这极有可能是一种暴力攻击，黑客试图要访问网络。

暴力攻击

三、让我们再看看SIEM是如何发出告警的：

• 一分钟内输入错误密码240次将显示：登录失败，事件ID 4625

• 在240次失败尝试后输入正确的密码将显示：登录成功，事件ID 4624

• 发出告警:网络中可能存在暴力攻击。

• SIEM软件可以检测这种暴力攻击，通知IT安全管理员，并自动启动工作流来锁定帐户并隔离发生事件的计算机。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。