全事件管理|甲方安全建设：信息安全与事件管理实施实施|信息安全|管理|建设|事件

文章插图
序信息安全事件管理系统(SIEM)相对于主流IT行业来说是比较新颖的概念。大概在10到20年前，早期的SIEM系统开始以各种形式的产品出现，但近几年才开始被较好的整合起来，在安全架构中找到自己的立足点。SIEM系统是一个复杂的技术集合，它为企业的整个IT系统提供远见和清晰性，使得安全分析人员和IT管理员能够从中受益。正如您将在接下来的章节中看到的，您可以用一个SIME系统来完成所有这一切——甚至更多。几乎每一个小型，中型，或大型企业、部门或政府实体的IT基础设施中都需要配备这么一个强大的系统。
注意：信息安全事件管理系统也称安全信息管理系统，安全事件管理系统，和安全事件与信息管理系统。
安全专家和安全分析师使用SIEM系统来监视、识别、记录攻击，有时还用SIEM系统对安全攻击进行应急处理。其中一些安全事件很容易被识别出来的，比如故意和恶意的拒绝服务（DoS）攻击和病毒爆发。但SIEM系统还可以识别出更难以捉摸的安全事件，它们被每秒数千个安全事件所掩盖，如果没有强大而精细的SIEM系统的帮助，它们将完全不被注意到。这些更难以捉摸的安全事件包括违反安全规定、未经授权的访问尝试，以及发现技术娴熟而又专注的黑客正在有条不紊地潜入公司的IT环境。
安全分析师主要通过对SIEM系统的运营来减少误报告警的数量，但众所周知做这件事的难度不亚于大海捞针。简易的安全系统在许多误报事件上产生告警而闻名（或者更恰当地说，臭名昭著），如入侵检测系统（IDS）。这些误报不仅浪费了安全分析师的时间和精力，还会使他们的注意力变得迟钝，使得真正重要的有效告警更容易被安全分析师们忽略。
许多设备，比如IDSs，通过完全“忽略”某个事件，或者通过将源或流量标记为“安全”来达到减少误报的目的。用这种简单粗暴的方法处理告警量大的问题势必会为攻击者提供一条自由而又不引人注意的通道令他们成功进入您的IT系统。而更为精确的SIEM系统则通过仔细创建过滤和相关事件规则（通常称为SIEM内容）来减少误报告警，只识别以及对那些高质量的安全事件产生告警，同时适当地仔细检查，从而准确地忽略大部分误报。如何过滤告警和编写相关事件规则将是本书的重点。
虽然设计SIEM系统的初衷是考虑到IT系统的安全性能方面，对于网络工程师和IT管理员来说，使用SIEM系统可以是他们常规操作但又不希望它成为太重要的”操作”角色。IT部门可以使用SIEM来识别网络中的各种类型的操作问题，如识别宕机的服务器以及识别故障或配置错误的系统、应用程序和设备。此外，SIEM还可用于确定常规IT系统需求，例如，附加容量需求、用户培训问题以及提示用户可能需要修补、升级或更换的有缺陷的应用程序。
除了刚刚提到的这些好处以外，SIEM系统中的其他方面的强大功能在近年来才开始被探索。除了在IT基础建设这一块以外，我们可以将SIEM实践的视线转向另一个方向，销售部门，企业经营所有者，甚至政府部门都可以准实时地监控和提醒重要的外部活动，这些活动可能表明他们的竞争和市场发生了重大变化。SIEM系统可以从外部关注短讯新闻、搜索引擎和内容库，并对特定市场或特定主题的查询、研究和新闻类型的趋势变化和增长产生告警事件。使用它收集市场、商业或政治情报，你可以识别和量化外部力量，包括对您的市场，外部市场，全球经济，甚至政治力量的微妙和重大的变化。使用SIEM系统，您可以深入了解其他方面竞争或外国政府看不见的活动。啊，但在此处谈及这些讯息还太早。请继续读下去，您会意识到这个工具在IT安全工程师、IT管理人员甚至是创造性和外向思维的营销专业人员、企业主、政府实体手中是多么强大。
什么是SIEM工具？安全信息和事件管理（SIEM）系统通常被认为提供以下服务集合：日志管理
IT常规检查/安全合规检查
事件关联
活动事件反馈
终端安全
本书将介绍一些互不关联的软件工具或装置，它们可以为需要这些服务的中小型企业和部门执行这些功能中的一个或多个服务，也可以为看起来可能不需要这些服务或预算有限的的企业或部门提供完全成熟、全面集成的SIEM系统。这本书还将展示全功能的SIEM系统如何执行这些独立的功能，并将它们集成起来，以产生功能强大、更完整的安全和安全合规服务集合，并且证明企业需要和完全负担得起SIEM系统的开销。