全事件管理|甲方安全建设：信息安全与事件管理实施( 二 ) 实施|信息安全|管理|建设|事件

日志管理在SIEM系统中，日志管理首先配置IT系统中的节点，尤其是重要或关键的节点，以便将相关的系统和应用程序事件（日志）发送到由SIEM应用程序管理的中心数据库。这个SIEM数据库首先会解析和规范化 (译者注：规范化是数据库中组织数据的过程) IT系统上众多不同类型节点发送的数据，接着SIEM通常还会提供日志存储、结构化数据、检索和存档服务，以满足企业可能需要的日志管理需求。这些企业出于合规目的经常需要这些服务。这些数据输入到SIEM系统的日志管理组件中有助于进一步使用准实时分析，以及对所有将输入SIEM系统的IT系统数据在健康和安全状态进行数据挖掘。输入SIEM系统的节点越多，您对整个IT系统的看法就越精确。
被输入到SIEM系统节点中的日志在本质上有很大区别。这些节点包括运行各种操作系统的计算机系统，主流操作系统有Linux、UNIX和Windows。其他输入到SIEM中的节点还包括网络基础设施系统设备，如路由器、托管交换机、防火墙、代理服务器、入侵检测系统（IDS）、远程访问系统和各种其他网络设备。这些不同的系统来自于多个供应商，不同的供应商在其产品的日志结构以及上游日志服务器的系统功能上体现出各自不同而又独有的特性。
系统可能安装了内置syslog类型的客户端服务可以满足这种分层日志记录的目的，例如路由器和其他网络设备上的服务，或者您可能需要在网络节点上安装第三方syslog客户端软件来导出日志，如Winlogd或Snare。SIEM供应商还可以提供一组自定义代理，只要把这些代理安装在特定类型的节点上就能执行导出功能。
IT常规检查/安全合规检查现在，所有来自重要和关键系统的事件都被记录下来了，您可以构建过滤器、规则和计时器来审核（根据标准进行监视）和验证安全等级保护是否到位，或者识别公司在安全等级保护要求下是否出现违规情况。根据输入到系统中的日志进行检查的规则内容可能包括：监视密码更改的频率、识别无法安装的操作系统（OS）或应用程序修补程序，以及出于安全等级保护要求下的审核防病毒软件、反间谍软件和IDS更新的频率。虽然您可能会构建自己的过滤器或规则集合来帮助满足等保要求，但许多SIEM供应商都包含预先打包的规则集合，这些规则集合是专门为满足企业需要遵守的不同法律法规的要求而设计的。这些功能通常是由供应商提供的打包的附加组件，甚至是在上市后增值向SIEM客户收取费用的经销商。
几乎所有的SIEM系统都包括功能齐全的报告系统，许多系统都有预先设计和可定制的报告。企业通常需要这些报告来提供自我审计的证据并验证其合规性水平。
事件关联事件关联使方程式具有更高的智能水平。你不会在只看到一个事件的情况下，选择处置或不处置。通过事件关联，可以教会系统在触发警报之前考虑各种情况。例如，一个服务器以100%的CPU利用率运行可能是由许多不同的因素造成的。它可能表示正在发生需要纠正的问题，也可能不是。也可能是一个失败的应用程序锁定了服务器。它还可能表示系统的合法活动过载，并指示一个或多个服务或应用程序应分布在其他服务器上，例如在集群中。由于蠕虫病毒对系统执行拒绝服务（DoS）攻击，服务器可能已达到最大性能。或者它可能只是暂时的自然的服务器活动。SIEM上的关联引擎可以调查和考虑（关联）与CPU利用率不一定相关的其他事件，还可以提供服务器运行状况的更完整的图像，以排除有关问题原因的特定理论。例如，在CPU利用率为100%的情况下，可以将SIEM配置为考虑以下因素：
防病毒（AV）应用程序是否已识别此服务器上的恶意软件
其他系统上的AV应用程序最近是否报告了恶意软件？
是否有其他服务器以100%的CPU利用率运行？他们报告过病毒活动吗？
是否有一个应用程序或多个应用程序或服务停止响应？
是否存在与此服务器相似的正常网络流量峰值，这个峰值对于应用程序来说是合理的但偏高？
是否存在与此服务器类似的非典型网络流量峰值，但它可能意味着DoS攻击？它的流量是否来自不同的来源？可能确定为分布式拒绝服务（DDoS）攻击？
这些问题体现了事件之间的相关性。SIEM的警报和你的反应之所以会有所不同，很大程度上取决于这些条件中的真正有效的事件告警。
活动事件处置现在您已经拥有了向SIEM提供事件的所有系统，定义了您的规则和筛选器，并且您的关联规则已经就位；您是要对所有已验证的安全事件采取操作并执行事件处置，还是应该将SIEM配置为自动和主动地处置特定类型的关联事件？当然，让SIEM自动地对感知到的威胁或错误配置采取纠正措施，会让安全分析员，甚至可能是IT部门的工作人员从他们的工作中解脱出来。许多SIEM系统可以执行主动处置，例如，在路由器的访问控制列表（ACL）上添加IP和端口筛选器，或者防火墙SIEM对感知到的威胁的触发、自动和主动处置可能比简单地向人类发出警报然后要求执行这些任务反馈的速度要快得多。这将会是一件很好的事情，难道不是吗？尽管提供自动处置的SIEM有一些明显的好处，但是只有在成熟的安装和经过微调的SIEM上才能实现自动化的主动处置。如果这个过程没有经过仔细考虑和精确实现，那么您的SIEM系统可能会对一系列误报事件做出响应，并且您可能正在自己的网络上执行DoS攻击。活动事件自动化处置对很容易成为一把双刃剑。