当前位置:网站首页>【ManageEngine】什么是SIEM

【ManageEngine】什么是SIEM

2022-07-27 13:37:00 ManageEngine卓豪

SIEM 代表安全、信息和事件管理( Security,Information, andEventManagement)。SIEM 技术将日志数据、安全警报和事件聚合到一个集中平台中,为安全监控提​​供实时分析。

SIEM包括:

  • 安全信息管理(SIM): SIM涉及所有网络活动的收集。这包括从服务器、防火墙、域控制器、路由器、数据库和网络流收集的日志数据,以及网络中的非结构化数据,如电子邮件。可以使用两种技术收集日志数据,即无代理收集和基于代理的收集。
  • 基于代理的日志收集:这种方法要求在每台设备上部署一个代理。代理收集日志,然后在将日志返回到SIEM服务器之前对其进行分析和过滤。这种技术主要用于封闭且安全的网络,例如通信受限的非军事化区(DMZ)。
  • 无代理日志收集:这是一种更常用的方法,SIEM服务器使用安全通信通道(如使用安全协议的特定端口)自动收集设备生成的日志。
  • 安全事件管理(SIEM): SIEM是指对收集的数据进行分析。使用各种技术分析数据,发送告警,和/或针对任何异常行为启动工作流。

分析过程包括:

  1. 日志关联:分析所有收集的数据,并将日志相互关联,以检测任何攻击模式。日志数据还可以与威胁源相关联,以检测妥协指标(IOC)。
  2. 威胁情报:上下文威胁信息用于检测网络中发生的任何入侵、横向移动或数据泄露。
  3. 基于机器学习的用户行为分析:机器学习算法和分析工具可以形成用户行为模式的基线。如果行为出现偏差,SIEM解决方案将检测到异常,发出警报,及时对安全威胁进行防范。

通过上述技术获得的数据会以条形图或饼图的形式呈现,这使得IT安全管理员可以更快、更容易地做出决策。

SIEM针对暴力破解的经典应用场景:

一分钟内输入五次不正确的网络访问密码。这被认为是低优先级攻击,因为用户可能多次输入了错误的密码。
现在想想一分钟内如果输入240次错误密码的情况。那这极有可能是一种暴力攻击,黑客正试图破解您的账号。

SIEM是如何触发告警的:

  • 一分钟内输入错误密码n次将显示:登录失败,事件ID 4625
  • 在n次失败尝试后输入正确的密码将显示:登录成功,事件ID 4624
  • 发出告警:网络中可能存在暴力攻击。

SIEM软件可以检测这种暴力攻击,通知IT安全管理员,并自动启动工作流来锁定帐户并隔离发生事件的计算机。

在这里插入图片描述
EventLog Analyzer是一款日志管理和分析工具,可以实现快速、简便地检测网络威胁。这款SIEM解决方案可以识别任何IT资源生成的日志并进行可视化分析。可以轻松扩展至任何IT网络环境,抵御任何来自内部或外部的威胁。

原网站

版权声明
本文为[ManageEngine卓豪]所创,转载请带上原文链接,感谢
https://blog.csdn.net/ITmoster/article/details/125990030

边栏推荐

猜你喜欢

随机推荐