埃里克·布朗静电的2019年3月12日
安全信息与事件管理(Security information and event management, SIEM)是将SIM (Security information management,安全信息管理)和SEM (Security event management,安全事件管理)功能结合为一个安全管理系统的一种安全管理方法。首字母缩写SIEM发音为“sim”,不发音为“e”。
连接到网络的设备生成事件日志,作为其正常操作的一部分。这为企业安全专业人员提供了对其IT环境中活动的深入了解和跟踪记录。SIEM软件收集和聚合整个组织技术基础设施产生的日志数据,从主机系统和应用程序,到网络和安全设备,如防火墙和反病毒过滤器。
企业部署SIEM技术的原因
- 合规义务(HIPAA, SOX, PII,NERCCOBIT 5日,FISMA,一种总线标准等)。
- 获得和维护认证(如ISO 27000, ISO 27001, ISO 27002和ISO 27003)
- 日志管理和保留
- 持续的监控和事件响应
- 个案管理或票务系统
- 策略执行验证和策略违反
必威电子BlumShapiro使用了一种叫做AlienVault的SIEM工具。AlienVault有自己的网络来监控全球的威胁状况。该平台被称为AlienVault开放威胁交换(OTX),是世界上最权威的开放威胁信息共享和分析网络。OTX为全球威胁研究人员和安全专业人士提供访问渠道,在140个国家有超过5万名参与者,每天贡献超过400万个威胁指标。OTX允许安全社区中的任何人积极讨论、研究、验证和分享最新的威胁数据、趋势和技术。
AlienVault软件会对事件进行识别和分类,然后进行分析。该软件实现了两个主要目标:
- 提供安全相关事件和事件的报告,如成功和失败的登录,恶意软件活动和其他可能的恶意活动
- 如果分析表明某个活动是根据预先确定的规则集运行的,则发送警报,从而表明存在潜在的安全问题
blum是如何帮助我们的客户了解这类信息的?
我们的许多客户都有内部的IT部门提供日常的帮助台服务,并运行和维护他们的企业基础设施。blum提供的价值体现在安全性和遵从性义务方面。例如,如果客户A处理信用卡,他们有什么义务来保持遵从性?
一项潜在的义务是监控和存储保护信用卡环境长达一年的设备的防火墙日志;但是,三个月的日志必须随时可供分析。AlienVault工具通过记录与此环境相关的所有网络活动来帮助我们的客户满足这一需求。另一个好处是如果我们的客户遭遇违约AlienVault可以帮助他们。
目标有一个灾难性的网络入侵;这是怎么避免的呢?
塔吉特的安全漏洞虽然复杂,但并不是史上最天才的黑客攻击事件,本来是可以避免的。多层疏忽的发生,使三分之一的美国人暴露于身份盗窃。对这一安全漏洞的调查显示,Target的安全系统FireEye (SIEM Tool)显示,警告一直存在,班加罗尔的安全团队要么没有注意到,要么选择忽略它们。当他们最终通知明尼阿波里斯市的“目标”安全团队这一漏洞时,他们没有理会这些警告。在Bl必威电子umShapiro,我们积极审视并与客户的内部IT员工合作,以确保他们始终知晓任何可疑活动。
目标案例说明了安全事件通知过程中的一个完全失败。一个情报系统只有在产生的数据被用来做出更好的决策时才有价值。
以下是我们与我们的CISO作为服务客户定期审查的信息类型示例:
- 网络活动报告,数据正在发送到哪些国家?
- 无线报告,客人和公司访问报告
- Windows活动目录问题
- 远程访问报告,成功和失败
- 反病毒报告和反恶意软件活动报告
此外,BlumShapiro必威电子将提供指导,以改善公司的安全态势每月或每季度,并确保它与公司的总体it战略一致。
如果您对blum 's SIEM作为一种服务产品有任何疑问,以及它将如何对您或您的业务产生积极影响,请致电617.221.1917或ebrown@必威电子blumshapiro.com。
