从 SIEM 到下一代 SIEM 的演变

在此文中，我们详细介绍了下一代 SIEM 的演变。传统的 SIEM 主要用于提高网络可见性和网络安全性，同时支持合规性。它们跨应用程序、网络和系统摄取、收集和存储日志数据。

SIEM 使捕获和搜索数据变得更加容易，这些数据有助于组织进行审计、取证和事件响应。

因为它充当可以提供整个企业可见性的中央数据存储库，所以它经常被安全运营中心 (SOC) 用作识别和调查指示活动威胁和攻击活动的事件的主要控制台。

SIEM 中的“S”已经成熟了好几年。

传统和第二代 SIEM 的局限性

早期版本的 SIEM 具有平庸的搜索功能，这使得检索随时间推移收集的数据变得非常困难。管理员能够执行简单的关联，使他们能够根据时间和/或 IP 地址将相关数据分组在一起。

虽然这很有帮助，但第二代 SIEM 显着改善了可搜索性问题，但还没有真正的安全分析。有些人试图添加这些技术。

但是，从根本上说，这些平台是为本地日志收集而设计的。添加新的分析功能，如网络流量分析、网络检测和响应 (NDR) 或用户实体行为分析 (UEBA) 几乎是不可能的，因此这些技术是“附加”的，而不是真正集成的。

云也是如此。如今向混合云、去中心化云和多云环境的转变需要对 SIEM 进行全面的重新架构。

传统和第二代 SIEM 平台无法充分投资重建全新产品。所以他们尝试“MacGyver”它在云端工作。但是，如果不手动关联多个安装，大多数都无法处理所需的数量和/或提供完整的可见性。较新的云原生产品缺乏传统 SIEM 的功能。

这导致事件、误报和 SOC 分析师在确定威胁是否真实、活动是否正在进行或如何及时准确地做出响应时遇到的大量事件急剧增加。在威胁检测、调查和响应方面，传统的 SIEM 表现不佳。

为什么下一代 SIEM 优于传统 SIEM？

真正的下一代 SIEM 被设计为云原生 SaaS 平台，可在分散的、混合的、多云环境中可靠地工作。

它可以接受更广泛的遥测，包括应用程序、网络端点和云以及威胁情报。

它提供了一套统一的分析、训练有素的机器学习 (ML) 和人工智能 (AI) 以进行准确检测；收集与攻击相关的上下文以确定攻击活动的优先级并验证攻击活动（调查）；并且具有动态响应能力，可实现更快、更精确的补救。

以下要求概述了下一代 SIEM 应提供的功能以满足当今现代基础设施的需求：

• 云原生、混合和多云部署
• 从所有可用来源收集和管理数据
• 大数据架构
• 完全可观察性
• 主动线程检测和修复
• 自动线程修复
• 合规性（仅举几例，例如 GDPR）

支持云原生、混合和多云部署

下一代 SIEM 必须专门构建以在各种公共和私有云环境中运行，其中包括 AWS、Microsoft Azure、GCP 等。

这包括跨地理分散的云（也称为“联合搜索”）无缝管理和支持数据需求的能力。对于混合环境也必须如此，因为大多数企业仍将在云端和本地维护数据。

支持多云环境不仅仅是从云端收集数据。SIEM 必须支持正确收集数据并跨多个云应用高级威胁分析的能力，以识别隐藏在公共云环境中的威胁。

提高完整的可观察性

由于其基础架构和基于数据的许可模型，许多 SIEMS 难以在整个企业范围内大规模摄取和整合数据。然而，能够从其他安全解决方案、应用程序、端点、网络数据包信息等向 SIEM 发送数据以获得环境的整体视图至关重要。

此外，大多数 SIEM 和 XDR 解决方案都是基于规则的 ML/AI 引擎。真正的下一代 SIEM 使用训练有素的机器学习，它提供比基于规则的 ML/AI 更好的结果，因为它吸收更广泛的数据源而不是固定的数据集。

这允许 ML/AI 支持的任何分析在生命周期的更早阶段查明攻击，而不是等待规则触发。此外，经过训练的机器学习检测模型可以更有效地发现新的攻击和变体，这些攻击和变体可以轻松逃避基于规则的系统。

支持大数据架构

由于 SIEM 是 SOC 的“真实来源”，因此它可以完美地提供有关整个组织中几乎所有 IT 系统中的用户、应用程序、网络、设备和事件的上下文。传统的 SIEM 无法很好地处理大规模数据，并且还会产生高百分比的误报，尤其是当企业迁移到云端时，因为它生成的事件比本地解决方案多得多。

相反，下一代 SIEM 应该扩展以处理更多的数据源、增加的数据量、搜索与安全相关的数据集的能力以及持续的监控和分析。这些功能以及第三方威胁情报源的结合，增强了检测更复杂攻击的能力。

通过自动化提高更好的威胁检测

下一代 SIEM 提供一组可以链接在一起的统一分析，通常称为模型链接，具有分析链的能力。模型链分析通过警报的交叉验证消除了确定威胁时的歧义。

例如：您看到危险行为的早期警告与不寻常的横向移动相结合。然后，还有潜在的指挥和控制 (C2) 通信，以及地理位置问题。此数据与上下文统一以建立真正的威胁。

使用传统的 SIEM，安全团队可能需要几天或几周的时间来收集所有必要的上下文并手动验证作为攻击活动一部分的各种事件。为了让安全团队真正做出响应并防止违规行为。

促进优先调查

大多数 SIEM 和安全分析平台只是将攻击阶段关联起来，从而增加风险级别。它们为每个攻击阶段或用于触发事件的任何数据源提供妥协指标，但由分析师确定包含的警报集是否与攻击相关。

下一代 SIEM 必须能够跨任何数据源提供统一的数据集。结合广泛的分析，它可以提供必要的上下文，从而减轻安全团队执行调查和确认攻击活动有效性所需的大量手动工作。

如前所述，将分析模型链接在一起、交叉验证攻击活动并将这些结果提交到企业风险引擎的能力对于确定攻击的优先级至关重要。相反，大多数 SIEM 只是依赖汇总的第三方风险评分，而不是生成与组织特别相关的动态风险评分。

启用动态威胁修复

对于大多数 SIEM 和相关的SOAR，响应手册中缺乏上下文和精度。通常，他们只提供指导。IT 团队必须协作以提出适合组织的正确纠正措施，这会减慢响应时间。

下一代 SIEM 必须通过正确的遥测集收集一整套“相关”上下文，以提供有关攻击的准确详细信息，从而采取一套精确的行动来阻止违规行为。重要的是要摆脱静态剧本以生成动态响应，而不是自定义静态响应操作，这会减慢修复速度。

此外，下一代 SIEM 必须能够确定各个操作的优先级，以最大程度地减少业务中断并为有针对性的响应提供步骤。根据风险确定行动的优先级，使安全团队能够采取必要的步骤来阻止或限制攻击，而不是等待一次采取所有行动。

支持合规性

下一代 SIEM 必须支持和改进传统 SIEM 最常见的用例，法规遵从性。这是通过支持整个业务基础架构的集中合规性审计和报告实现的。

下一代 SIEM 应该内置对常见合规性要求和标准的支持和报告，例如健康保险流通与责任法案 (HIPAA)、支付卡行业数据安全标准 (PCI DSS) 和萨班斯-奥克斯利法案 ( SOX)、NIST、GDPR、MITRE 攻击框架等。

真正的下一代 SIEM 改进了安全操作的每个阶段。它旨在解决与可观察性、合规性和审计相关的所有用例。

它还可以加速准确的威胁检测、调查和响应。