IT工程師數位筆記本

企業選購或廠商優化SIEM產品時應考慮哪些因素，SIEM(安全信息與事件管理)在SOC操作中心中扮演著十分重要的角色，可以說它是SOC的心臟，能夠收集事件并按照配置好的規則進行事件分析，同時向安全分析師發出系統入侵等異常行為的告警，并執行SOC程序。

本文旨在幫助企業評估并采購合適的SIEM產品，搭建他們自己的SOC操作中心。以下整理的內容會對SIEM的POC(概念證明，可理解為產品測試，證實產品的各項優異性能)產生一定幫助。

文章主要介紹購買SIEM產品的基本思路，幫助客戶獲得最符合企業安全需求的SIEM技術。當然提供SIEM服務(SaaS)的安全公司也能從中獲益，根據所列要點提高產品的客戶滿意度，擴大市場占有率。

摘要

一些客戶和新興公司往往會忽視進行SIEM概念證明(POC)時的很多細節，一些安全廠商便利用這一點在服務和部署環節中收取高額費用。

因此進行SIEM的概念證明時我們應該記住一些重要的參數、要點和功能。

用戶首先應該認真了解自身環境，確定SIEM安裝的實際要求，并對比不同SIEM的各項功能。只有完成以上步驟，才能夠作出相對完美的采購選擇。

本文共包含4個部分：架構概述、SIEM功能、成本審核及其它服務。

我們可以將下圖稱之為“SIEM POC檢查表”：

架構總覽

這是描述某系統中關鍵元素的圖表，包括通信方式、內外部系統連接、集成及美學等方面。

具體有硬件、軟件和數據庫(存儲庫)、事件流、其它應用程序支持等詳細結構模式，以及POC中與GUI(圖形用戶界面，也稱圖形用戶接口)相關的重要事項。

硬件概述

了解SIEM架構中的設備類型，并根據相關引擎ELM即日志收集器等的功能列出設備清單。

支持性文檔，說明是否需要日志收集器安裝程序、控制臺安裝程序等。

軟件概述

列出軟件解決方案的最低應用/軟件要求。

列出檢查清單，以是/否的形式確定所需要求。

數據庫或存儲庫概述

明確SIEM的數據庫或存儲庫類型，比如像Oracle、SQL、SAN、DAS、DWH等內外部存儲庫以及分區類型。

接口類型(GUI)概述

確定三種類型的可用控制臺：

網站控制臺

管理控制臺

疑難解答控制臺

內置工具功能概述

列出清單說明編寫解析器或測試環境時是否使用內置或第三方工具。比較不同SIEM功能時這招很管用。

架構流程圖概述

大型企業的架構圖

確定帶寬消耗：在設備內測量。

SIEM功能

我們將在本節中根據以下參數深入對比SIEM的一些重要功能。

默認解析器數量

從SIEM供應商處獲得默認解析器的數量和相關文檔，并進行比較。

數據包抓取

這是某些SIEM具備的最佳功能。您可以比較目標SIEM是否支持此功能。

數據包大小不僅是一個常規的原始日志。若該SIEM采用數據包的方式，那么請務必考慮存儲空間，詳詢供應商。

執行報告的時間

精確審查每日、每周、每月報告的執行時間。

日志壓縮比

確認是否支持日志壓縮以及壓縮的百分比。

McAffee Intel Nitro的壓縮功能最為出色。

數據時效

就在線和離線數據(每天)的數據保留策略，您可以了解并比較恢復1周離線數據所需的時間。

備份和恢復期間的系統性能

計算大約數值。在某個精確時間段進行備份和恢復時，CPU和內存利用率的百分比。

基于角色的配置和訪問控制

確定是否具有MSSP(多序列式屏幕)功能。向特定團隊或客戶顯示某些數據(僅防火墻)。

網絡建模

通過導入Nessus報告以及一些具有發現功能的工具，或者利用自身導入格式(CSV、xlsx、txt)的方式來確定網絡建模是否可行。

資產建模

通過導入Nessus報告以及一些具有發現功能的工具，或者利用自身導入格式(CSV、xlsx、txt)的方式來確定資產建模是否可行。

警報的嚴重性與警報升級

了解更多關于內部事件管理系統以及與外部事件管理系統集成的效率。

日志收集層的日志過濾

了解減少干擾事件的功能，SIEM管理員應避免接收器接收干擾流量，只允許關聯重要事件。

觀測表(動態/靜態)

確認它是否支持靜態觀測表。

了解動態觀測表的工作效率，如通過在觀測表中確定的觸發事件來更新條目。
看文倉www.kanwencang.com網友整理上傳,為您提供最全的知識大全,期待您的分享，轉載請注明出處。
歡迎轉載：http://www.kanwencang.com/bangong/20170212/100588.html

文章列表

---

Avast 防毒軟體已檢查此封電子郵件的病毒。 www.avast.com