企業選購或廠商優化SIEM產品時應考慮哪些因素？

引言

SIEM（安全信息與事件管理）在SOC操作中心中扮演著十分重要的角色，可以說它是SOC的心臟，能夠收集事件並按照配置好的規則進行事件分析，同時向安全分析師發出系統入侵等異常行為的告警，並執行SOC程序。

本文旨在幫助企業評估並採購合適的SIEM產品，搭建他們自己的SOC操作中心。以下整理的內容會對SIEM的POC（概念證明，可理解為產品測試，證實產品的各項優異性能）產生一定幫助。

文章主要介紹購買SIEM產品的基本思路，幫助客戶獲得最符合企業安全需求的SIEM技術。當然提供SIEM服務（SaaS）的安全公司也能從中獲益，根據所列要點提高產品的客戶滿意度，擴大市場佔有率。

摘要

一些客戶和新興公司往往會忽視進行SIEM概念證明（POC）時的很多細節，一些安全廠商便利用這一點在服務和部署環節中收取高額費用。

因此進行SIEM的概念證明時我們應該記住一些重要的參數、要點和功能。

用戶首先應該認真了解自身環境，確定SIEM安裝的實際要求，並對比不同SIEM的各項功能。只有完成以上步驟，才能夠作出相對完美的採購選擇。

本文共包含4個部分：架構概述、SIEM功能、成本審核及其它服務。

我們可以將下圖稱之為「SIEM POC檢查表」：

架構總覽

這是描述某系統中關鍵元素的圖表，包括通信方式、內外部系統連接、集成及美學等方面。

具體有硬體、軟體和資料庫（存儲庫）、事件流、其它應用程序支持等詳細結構模式，以及POC中與GUI（圖形用戶界面，也稱圖形用戶介面）相關的重要事項。

硬體概述

了解SIEM架構中的設備類型，並根據相關引擎ELM即日誌收集器等的功能列出設備清單。

支持性文檔，說明是否需要日誌收集器安裝程序、控制台安裝程序等。

軟體概述

列出軟體解決方案的最低應用/軟體要求。

列出檢查清單，以是/否的形式確定所需要求。

資料庫或存儲庫概述

明確SIEM的資料庫或存儲庫類型，比如像Oracle、SQL、SAN、DAS、DWH等內外部存儲庫以及分區類型。

介面類型（GUI）概述

確定三種類型的可用控制台：

網站控制台

管理控制台

疑難解答控制台

內置工具功能概述

列出清單說明編寫解析器或測試環境時是否使用內置或第三方工具。比較不同SIEM功能時這招很管用。

架構流程圖概述

大型企業的架構圖

確定帶寬消耗：在設備內測量。

SIEM功能

我們將在本節中根據以下參數深入對比SIEM的一些重要功能。

默認解析器數量

從SIEM供應商處獲得默認解析器的數量和相關文檔，並進行比較。

數據包抓取

這是某些SIEM具備的最佳功能。您可以比較目標SIEM是否支持此功能。

數據包大小不僅是一個常規的原始日誌。若該SIEM採用數據包的方式，那麼請務必考慮存儲空間，詳詢供應商。

執行報告的時間

精確審查每日、每周、每月報告的執行時間。

日誌壓縮比

確認是否支持日誌壓縮以及壓縮的百分比。

McAffee Intel Nitro的壓縮功能最為出色。

數據時效

就在線和離線數據（每天）的數據保留策略，您可以了解並比較恢復1周離線數據所需的時間。

備份和恢復期間的系統性能

計算大約數值。在某個精確時間段進行備份和恢復時，CPU和內存利用率的百分比。

基於角色的配置和訪問控制

確定是否具有MSSP（多序列式屏幕）功能。向特定團隊或客戶顯示某些數據（僅防火牆）。

網路建模

通過導入Nessus報告以及一些具有發現功能的工具，或者利用自身導入格式（CSV、xlsx、txt）的方式來確定網路建模是否可行。

資產建模

通過導入Nessus報告以及一些具有發現功能的工具，或者利用自身導入格式（CSV、xlsx、txt）的方式來確定資產建模是否可行。

警報的嚴重性與警報升級

了解更多關於內部事件管理系統以及與外部事件管理系統集成的效率。

日誌收集層的日誌過濾

了解減少干擾事件的功能，SIEM管理員應避免接收器接收干擾流量，只允許關聯重要事件。

觀測表（動態/靜態）

確認它是否支持靜態觀測表。

了解動態觀測表的工作效率，如通過在觀測表中確定的觸發事件來更新條目。

周期性儀錶盤

這也是SIEM廠商會提供的強大功能之一，能夠幫助第一階段的監控分析師有效地檢測到系統入侵等安全事件。

SIEM管理員確定在指定時間間隔內旋轉的特定儀錶盤，以便分析人員更好地實施監控。

例如：前10個攻擊者源IP、前10個目標IP、前5個故障用戶名、檢測到的Symantec反病毒事件等等。

日誌導出格式

了解SIEM支持的文件導出格式，如CSV、PDF、txt、HTML等。

警報機制

就警報機制進行比較，如對主要的具體事件通過SIEM GUI或控制台、電子郵件以及SMS（手機簡訊）等方式進行告警。

最新的SIEM增加了「報警蜂鳴」的提醒功能，從而對高優先順序或特定事件/相關規則作出快速響應。

模板自定義（報告/電子郵件）

確定模板自定義是否是SIEM的內置功能，並了解它是如何提供報告和電子郵件的模板自定義（報告優先順序規則）功能的。

報告生成器

大多數SIEM都具有此內置功能。

原始日誌報告生成

驗證SIEM是否具有根據定義條件生成原始日誌報告的功能。

SIEM設備的審計日誌報告

確認SIEM是否具有獲取所有SIEM審核日誌的有效方式，達到監控SIEM管理員活動的目的。

該方法在調查SIEM管理員未發現的活動時非常管用。

報告格式

確定報告格式並進行比較（Excel、Html、csv、doc、pdf）。

報告與SIEM健康檢查儀錶盤（應實現全自動化）

應比較EPS、RAM-CPU利用率、存儲統計和設備之間的連接以及許多其他報告和儀錶盤的功能。

基於角色的默認報告

管理、L1和L2級等基於角色的報告。例如，網路操作中心團隊將獲得配置防火牆的日誌報告（策略更改、執行的命令以及管理員級別的活動等）。

基於會話的事件報告（p2p和VPN）

檢查其是否具有顯示端到端可見性的默認會話報告（用戶/ VPN會話等）

中央策略管理

檢查SIEM是否具有從單個控制台在所有SIEM設備上推送策略的功能。

故障轉移設備配置的複製

檢查SIEM是否具有自動將配置複製到故障轉移設備的功能。該功能能夠節省管理員時間，並立即展開設備的故障轉移工作。

成本審核

在本節中，我們將了解維護成本的組成部分。下圖展示了影響成本的因素。

DB /Storage/ DAS / NAS等

確認SIEM的內置存儲庫類型以及存儲空間（專有的或外部的，如Oracle、SQL等）。

確認其與外部存儲的兼容性，以防碰到龐大存儲需求的情況，如DAS、NAS、Hadoop等。

許可標準

許可是決定/影響SIEM總成本的主要參數。

成本可能取決於需要集成的設備數量、EPC數量或需要合并的資產數量、用戶數量或其他標準（若適用）。

專業服務

應包含以下內容：

合規數據包

解析器開發

SIEM管理和事件處理培訓項目

有關SIEM設備高優先順序問題的解決方案

現成設備與SIEM的集成

其它服務

硬體解決方案

請確認以下兩點內容：

所需設備的數量和類型

所需的支持性軟體

軟體解決方案

基於架構計算軟體解決方案的最低系統要求

其它所需軟體

GTI（邁克菲全球威脅情報解決方案） Feeds實時更新服務

確認GTI Feed服務是否包含在SIEM總價中，還是需要額外購買

其它服務或功能

本節中，我們將介紹SIEM服務中的其它項目。

補丁管理

穩定的補丁發布後，補丁安裝是升級SIEM設備最重要的方面。

了解供應商補丁程序的發布頻率、修補程序改進的內容以及是否穩定等信息，並作出比較。

供應商指南

比較和SIEM共同提供給客戶的文檔內容：

管理

疑難解答

安裝和配置

用戶手冊

最佳實踐

備份和恢復

其他項目

設備通信埠列表

列出設備之間進行內部通信所需埠的詳細信息

知識庫

確認SIEM是否具有定義事件處理進程的模板。

默認/現成服務

如果SIEM供應商要求支付默認服務的費用，客戶應要求提供支持性文檔。

支持協議

供應商應提供以下信息：

支持性文檔類型

在線自助服務（論壇或群組）

後記

本文主要介紹了比較多樣SIEM產品時應考慮的各項因素，選擇兩個最好的SIEM產品進行比較，並根據公司預算以及行業標準最終確定選用哪一個產品。當然SIEM廠商也能夠根據所列項目對比自己產品中不足的地方，不斷進行優化。

*參考來源：

infosecinstitute

，FB小編Carrie編譯，轉載請註明來自FreeBuf（FreeBuf.COM）

您的贊是小編持續努力的最大動力，動動手指贊一下吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: