任何曾经实现过安全信息和事件管理(SIEM)解决方案可以证明,需要共同努力才能从解决方案中获得最佳价值。SIEMs是相当复杂的产品,因为它们被设计为从各种设备获取日志和事件数据,应用规则实时关联信息,然后在发现重大事件时向安全专业人员发出警报。
作为受管理的安全服务提供商和咨询公司,保持警惕。具有将业务目标转化为客户定制SIEM解决方案的经验。多年来,公司已与数百家客户和众多SIEM产品合作。机警网的首席技术官Joe Magee分享了四个小贴士,让你最大限度地利用你的SIEM:
关注产出,而不是输入。组织在实现SIEM时最常犯的错误之一是列出其环境中所有可能的数据源,然后创建计划将这些数据源集成到SIEM中。他们假设一旦数据存在,他们将能够创建丰富的内容(规则、报告等),并“发现”在他们的环境中发生的事情。实际上,这创建了一个处理大量日志的系统,从分析和/或警报的角度来看,这些日志的数据可能对组织没有什么价值。
[更多:SIEM比以往任何时候都重要的5个原因]
更好的方法是采用输出驱动的方法来定义您想从SIEM接收的信息之前将日志数据集成到SIEM环境中——理论上,如果您提前知道需要从哪些报告或警报中获取数据,那么您可以只集成(和过滤)需要进入其中的数据。这种方法允许分析人员审查一组更易于管理的数据,而且还促进了性能更高的SIEM基础设施,因为SIEM相关性引擎不会消耗CPU周期来检查与其处理目标无关的数据。
*不要低估参考数据。组织经常忽视参考数据的重要性——定期更新的数据,而不是流动的实时事件数据——它可以用于提供围绕实时数据的业务上下文(例如,这个系统在我的资产列表中是作为开发系统还是生产系统列出的?)或者帮助在SIEM中做出逻辑决策(例如,该流量在我的威胁情报提要中被列为恶意流量吗?)参考数据,如资产列表、黑名单、漏洞扫描结果和威胁情报数据,在对事件进行优先排序时非常有用,通过在事件数据中添加一层业务或环境背景,可以节省数小时的调查时间。
*进行价值评估。在SIEM实现一段时间后,组织应该定期评估他们正在收集的数据的价值。组织经常将防火墙接受和拒绝日志集成到他们的SIEM中,假设他们将使用这些日志进行相关规则或报告。相反,它们通常只是停留在SIEM中,占用磁盘空间并消耗事件处理引擎的CPU周期。
在这个场景中,防火墙日志数据对SIEM的价值很低。相反,我们应该问自己,“实时相关性或高级分析需要数据吗?”以及“数据在成本更低的替代方案(如日志管理存储库)中是否更好?”日志管理产品通常只占成熟SIEM解决方案成本的一小部分,并提供基本的事件数据报告和特别分析。房子数据这是一个理想的解决方案,您可能需要检查用于监管目的或者你可能想为法医检验的目的,通过减少数量的数据流入SIEM“低价值”,你就可以增加效率,从现有SIEM捕获更多的价值投资。
*与业务整合应用程序.在许多组织中,安全被看作是一种保险策略,而不是一种主动的风险管理过程。因此,cio们通常负责安全投入决策基于CISO的建议/公民社会组织在组织内,建议通常专注于基础设施的改善和额外的安全控制,而不是保护和监控的关键业务应用程序驱动的收入。
为了提高价值和安全性,组织应该将SIEM技术应用于这些业务应用程序,使它们能够构建特定于应用程序的仪表板,重点识别策略违规、潜在的应用程序滥用和其他类型的可疑行为,这些行为可能导致危险和昂贵的违规。除了保护数据不受潜在损失之外,将SIEM应用于业务应用程序还使ciso能够将安全监视的一些责任委托给最了解其业务的各个业务单位主管,从而创建一个更有效的风险管理系统。
Linda Musthaler是Essential Solutions Corporation的首席分析师。你可以写信给她LMusthaler@essential-iws.com.
______________________________________________________________
关于Essential Solutions Corp:
基本的解决方案研究信息技术的实用价值,以及它如何使个体工人和整个组织更有生产力。基本解决方案为计算机行业和企业客户提供咨询服务,帮助定义和实现IT的潜力。