保安資訊及事件管理(SIEM)是一個網絡保安方案,從不同來源收集、分析及關聯保安數據,以實時偵測、調查及回應潛在威脅。
目錄
SIEM 意義
保安運作中心在網絡保安中扮演越來越重要的角色。保安運作中心是一個集中式單位,在機構內處理保安問題。它是全面網絡保安策略的重要組成部分,旨在實時監察、偵測、回應及減低網絡威脅。網絡攻擊的數量和複雜程度令保安運作中心成為致力保護數碼資產及維持穩健保安狀態的組織不可或缺的一環。
SIEM 保安功能
SIEM 系統的運作方式包括收集及整合記錄檔、進行關聯分析以辨識異常情況,並為保安團隊產生可採取行動的警示。他們亦提供詳細的報告,協助遵循合規及審計要求。作為現代保安運作中心的基石,SIEM 將原始記錄數據轉化為可採取行動的情報,以助提升威脅偵測、事故回應及整體保安狀況,確保機構能主動降低風險。
記錄收集
SIEM 系統從資訊科技基建的各個裝置及應用程式收集記錄及警報數據,包括防火牆、伺服器、用戶端、數據庫及雲端服務。此整合確保所有與安全相關的資訊都儲存在一個地方,簡化視野並消除壁壘。記錄可包括用戶活動、系統錯誤、存取嘗試及應用程式事件。SIEM 能夠從不同來源擷取資料,從而全面了解機構保安狀況。
關聯保安事件
關聯保安事件涉及分析多個記錄之間的模式及關係,以識別潛在威脅或可疑行為。例如,一次登入失敗可能並不觸發問題,但多次登入失敗後,在異常位置成功登入,可能表示出現暴力攻擊。SIEM 應用預先定義的規則、機器學習演算法及情境意識分析來識別這些模式,並優先處理潛在的保安事故以作調查。
提醒及通知
當偵測到異常活動或潛在安全事故時,SIEM 系統會根據預先定義的門檻及規則產生警示。這些警示會透過儀表板、電郵或整合回應工具傳送至保安團隊。例如,可能針對未經授權存取關鍵資料庫或與拒絕服務攻擊有關的異常流量突升而觸發警示。警示的優先順序協助保安人員先集中處理最關鍵的問題,從而提升回應效率。
產生報告
SIEM 平台可生成全面報告,總結保安事件、趨勢及事故回應。這些報告對於了解機構不斷改變的保安狀況、合規要求及提供可採取行動的深入分析來改善未來的防禦至關重要。它們亦可包括事故管理的工作流程,詳述違規後管控、清除及復原的程序。報告通常被用作內部審查和外部審計的關鍵文件。
SIEM 工具
SIEM 工具能即時收集及分析機構用戶端的大量數據,並與保安團隊合作偵測及阻截網絡威脅。您需要定義規則來幫助這些團隊並產生警示。
SIEM 工具亦有助:
- 整合來自多個資料來源的事件記錄。
- 增加情報至不同目錄或來源的關聯事件獲得的原始數據。
- 自動化保安警報。大多數 SIEM 平台都允許設定直接通知。
SIEM 及 SOAR 工具在集中保安事件數據及自動化回應工作流程方面發揮了重要作用。儘管有其實用性,但它們仍面臨著重大挑戰:
- 數據超負荷:SIEM 平台經常產生過多警報,令保安運作中心團隊難以應付,導致警報疲勞。
- 整合複雜性:SOAR 非常依賴與各種工具的無縫整合,這些工具既複雜又耗時。
- 營運壁壘:兩種技術都需要大量的人手努力來關聯資料和協調回應,從而造成事故回應效率低下。
XDR 與 SIEM
XDR 與 SIEM 類似,是提升保安水平及效率的工具。SIEM 與 XDR 的分別如下:
資料收集目標及情境化
- SIEM: 收集、管理及分析網絡或系統內產生的事件及記錄。主要在記錄數據上進行分析,以偵測異常活動及攻擊跡象。
- XDR:從多個數據來源收集及分析遙測數據,包括用戶端、網絡及雲端。它不僅能收集保安事件,還能收集用戶端檔案及流程資料、網絡流量數據等。
分析與偵測
- SIEM: 根據預先定義規則及演算法分析收集的資料。它可偵測異常活動或攻擊跡象,並產生適當的警報及警告。有些產品能夠進行機械記錄之間的關聯分析。然而,判斷事件是否屬於可能的網絡攻擊,則依賴操作員的「人為直覺」。
- XDR:根據提供 XDR 的網絡保安公司所掌握的威脅情報(惡意程式、惡意網站、惡意電郵、網絡攻擊者使用的攻擊方法等),網絡攻擊的跡象就以收集所得的遙測數據來決定。
事故回應及自動化
- SIEM: 為安全事故提供基本資訊及程序,以協助事故回應;SIEM 專注於警示產生及監控,而實際回應程序可能需要其他產品。
- XDR:提供自動化及協調功能,支援快速回應保安事故。偵測的威脅會進行分析,並即時提供回應指引。
依賴來源
- SIEM 方案的價值與其獲取資訊的來源直接相關。如果其覆蓋面存在差距,往往很遲才發現,甚至根本不能發現。
- 因此,如果我們將 SIEM 與 XDR 作比較,我們亦應指出在大部分情況下,這並非一個二擇一的決定。更常見是 XDR 及 SIEM 聯合,因為 SIEM 的偵測及回應記錄能發揮最大價值。
- 基於 SIEM 方案對第三方供應商所產生資料質素的依賴,兩個系統通常會並行使用,而 XDR 方案亦會將相關數據傳送至 SIEM。
SIEM 優勢
目錄可集中管理
通過引入 SIEM,目錄可以集中管理。這可免除管理每部裝置的目錄及減少管理錯誤及遺漏。此外,SIEM 還具備將已收集的目錄正常化的功能,並視覺化整個資訊科技環境,從而實現高效及全面的管理。
及早偵測保安事故及威脅
SIEM 集中目錄管理和實時進行關聯分析,及早偵測事故及威脅。當發現威脅狀況或事故時,可作出快速回應,並盡量減少損害蔓延。
防止內部欺詐
安全事件不僅由外部網絡攻擊引起。防止您所屬機構的員工作出不當行為,也是機構的重要保安措施。通過引入 SIEM,您可以偵測可疑的僱員行為和未經授權的登入。SIEM 亦有效防止內部欺詐。
消除保安人員短缺
使用 SIEM 可以簡化保安運作。透過自動化一系列任務,例如記錄檔整合、正常化及分析,您可以減少企業保安措施所需的資源。雖然操作 SIEM 需要一定程度的保安知識,但引入 SIEM 後,您將能夠實施比以往更有效的保安措施。
SIEM 在保安運作中心中的角色
SIEM 主要用於保安運作中心,它負責監控機構內的保安,並了解網絡攻擊及事故的發生。這是保安專業人員以下列方式支援高效保安運作的重要工具。
透過整合目錄管理發出通知
SIEM 以整合方式管理各種記錄,偵測異常活動或攻擊跡象,並警示保安人員。例如,除了偵測惡意程式及其他未經授權行為外,SIEM 還會在偵測到可疑事件時發出警示,例如多次登入儲存關鍵資料的伺服器,或使用未經機構授權的雲端服務。
事故調查及回應
根據未經授權或可疑事件,SIEM 會調查是否屬於網絡攻擊(正常行為、存取錯誤等)。如果被判定為網絡攻擊,可以追蹤攻擊的途徑和範圍,包括外部或內部網絡攻擊,以提供事件回應的線索。
報表
從中長期角度來看,想像您公司違反保安政策的狀況,以及網絡攻擊的影響,然後作出報告。透過觀察公司在一個月、三個月、六個月、一年等期間遭受哪種網絡攻擊,公司可考慮下一步應採取哪些安全措施。
以上列出 SIEM 的主要使用案例,但保安人員的最大好處是能快速從不同產品中查看事件及記錄資料,並準備下一個行動。
SIEM 挑戰
雖然 SIEM 為保安運作中心及其他機構帶來效益,但亦帶來以下挑戰:
複雜的實施及配置
SIEM 是複雜的系統,需要時間及專業知識才能實施及配置。保安專業人員必須持續努力整合裝置目錄及資料來源、配置規則及調整警報。
處理大量目錄資料
必須處理和分析大量目錄數據。需要適當的硬件及儲存資源來處理大量數據。亦有必要管理記錄資料保留期及壓縮/減少資料。
對假陽性及警報超負荷的持續反應
然而,SIEM 會根據預先定義規則及模式產生警示;可能會出現誤判及錯誤。根據配置,可能會收到大量警示,需要持續調整警示及改善用戶方面的規則。
偵測事故後的回應
當實時偵測到事件時,必須確認並回應實際事件。如果保安人員未有提前調整警報,將須回應不同規模的警報,從而減低運作效率。
技能和資源要求
正確實施及運作 SIEM 需要保安分析及目錄管理技能。它亦需要提供適當的資源(人員、硬件及軟件)。
我可以在哪裡獲得 SIEM 的協助?
正如你所讀到的,SIEM 並非獨立進行的事情。Trend Vision One™ Security Operations (SecOps) 關聯用戶端、伺服器、電郵、身份、流動裝置、數據、雲端工作負載、營運科技、網絡、全球威脅情報來源的事件,包括 XDR、代理式 SIEM 及 SOAR,以全面分析環境。
SecOps 可助您優先處理、取得可採取行動的警報及自動化複雜的回應行動。您的團隊花更少時間在繁瑣、重複性的任務上,可專注在價值更高的主動保安工作上,例如威脅捕獵及偵測工程。
李兆熙是趨勢科技產品管理副總裁,負責領導企業電郵與網絡資訊保安方案的全球策略與產品開發。他在資訊科技和網絡資訊保安領域累積了 30 多年的經驗,其職業生涯涵蓋基礎架構設計、數據中心營運及資訊保安領導。他早期的事業包括建立歐洲和日本的資訊科技部門,與及管理台灣和菲律賓的保安運作中心,令他深入了解企業面對的挑戰。
這個根基協助他開發符合真實世界需要的創新及可擴充方案。李兆熙以其策略性前瞻、全球產品團隊指導及推動跨部門合作的能力聞名,提供市場領先的資訊保安產品。
常見問題
保安資訊及事件管理有何作用?
SIEM 收集、分析及關聯來自機構資訊科技系統的保安數據,以偵測威脅、支援事故回應及確保合規。
SIEM 的三個主要角色是什麼?
SIEM 的三個主要角色是收集及集中保安數據、偵測及警示潛在威脅,以及支援事故回應及合規報告。
SIEM 關聯規則的目的是什麼?
SIEM 的關聯規則旨在偵測其他威脅偵測方法可能錯過的複雜網絡保安威脅。
保安資訊管理與保安事件管理有何分別?
保安資訊管理(SIM)收集及分析長期記錄數據,以作合規及報告之用。保安事件管理(SEM)專注於快速偵測及回應威脅。
SIEM 工具的例子是什麼?
SIEM 常用的工具包括數據收集工具、搜尋節點、索引、整合點及保安警報。
SIEM 的三種類型是什麼?
SIEM 系統主要分為駐場、雲端及混合型。
甚麼是 SIEM?
SIEM 是任何分析資訊科技記錄以偵測與回應潛在網絡保安事故的服務或方案。
防火牆與 SIEM 有何不同?
防火牆可防止惡意攻擊滲透資訊科技系統。SIEM 是更全面的方案,可偵測系統內的網絡威脅。
甚麼是 SIEM 軟件?
SIEM 軟件是一個網絡保安工具,分析資訊科技記錄的數據以偵測及回應網絡威脅。
SIEM 與保安運作中心有何不同?
保安運作中心是網絡保安專家團隊。SIEM 是保安運作中心用來偵測及防止網絡攻擊的工具。