logo 华清信安TDR—SIEM-强大的安全数据分析平台_北京华清信安科技有限公司

首页 > 新闻中心 > 公司新闻

华清信安TDR—SIEM-强大的安全数据分析平台

时间:2022-05-11 发布者:华清信安 浏览量:2602

1、SIEM定义

SIEM全称Security information and event management 安全信息和事件管理,最早源于日志管理,它将安全事件管理(SEM)——实时分析日志和事件数据以提供威胁监视、事件关联和事件响应,与安全信息管理(SIM)——收集、分析并报告日志数据,结合了起来。通过多维度的日志收集和场景分析,实现实时和历史事件的分析,主要帮助企业提升事前预测、事中检测和事后调查取证的能力,同时配合企业内部工作流程做到信息安全事件的闭环落地,以提高信息安全防御水平,提升信息安全管理能力。

2、SIEM的发展

最早由Gartner提出了SIEM的概念,首次将SIM和SEM整合到了一起,并对SIEM进行了MQ矩阵的分析。国内SIEM发展的路上,有的企业将重心放在日志分析上,有的企业将重心放在告警预警上。SIEM最早主要是为了满足用户对于攻击和泄露进行早期检测的需要,在十几年的发展过程中,SIME越来越重视采集遥测数据(譬如流数据、包数据),除了数据采集面增加,许多SIEM产品还具备安全分析能力,不仅监视网络行为,还监测用户行为,可针对某动作是否恶意活动给出更多情报。

3、SIEM建设的难点

SIEM工具在实际场景中,可以为SOC、安全自动化和安全运营提供基础。但SIEM建设需要考量的因素有很多。

1)SIEM技术是资源密集型工具,需要专业且拥有丰富经验的人员来运行和维护。

2)SIEM集成了许多产品,产生了大量数据,需要成熟的安全运营来识别真正的威胁,因此许多SIEM部署中出现了大量误报。

3)SIEM采集的部分系统数据较为敏感,大型企业用户通常习惯在本地部署和运行,存在大量的部署和配置成本。

4、SIEM的未来趋势

SIEM的关注重点决定了其发展,SIEM通过尽可能的收集企业的日志和事件数据,因此对异常数据的判断尤为重要,这需要多次调整才能实现,并且受专业人员运营限制。

SIEM功能越来越强大的同时,许多人认为SIEM和SOC是升级版的区别,其实不然,两者并不是替代关系,SOC安全运营中心是以人为中心,利用SIEM作为辅助工具可以达到安全运营的目标。基于SIEM构建SOC平台能够达到发现威胁并及时响应目标,可以加强企业的风险管理能力。SOC以SIEM为基础,通过集成EPP、EDR、网络流量分析、安全编排、SOAR等工具,成为更完善的态势感知解决方案。如果没有高质量的数据来源,SOC也无法发挥其作用,这正是SIEM工具的意义。简单点理解就是SIEM作为一个工具,提供了足够多的信息数据,而这些数据关联后应该如何做决策,正是SOC来完成的。每一个安全事件并不是孤立的,大多时候需要来自各个维度的信息反馈,通过SIEM的全网监控提高足够多的信息,来帮助用户做决策。

研究机构Valuate发布一项报告,数据显示到2027年,全球安全信息和事件管理(SIEM)市场规模预计将从2020年的39.383亿美元升至64.362亿美元,2021~2027年预测期内复合年增长率为6.8%。

在Gartner的分析SIEM厂商关键能力的报告中,考察的能力越来越多,并且特别关注了SOAR和集成能力。SIEM的未来发展趋势非常可观。

【返回列表】
400-067-1560
  • 公司地址: 北京市朝阳区东大桥8号院SOHO尚都北塔B座10层、20层 (北京总部)
  • 联系电话:400-067-1560
  • Email:contact@hqsec.com
  • 离职员工背景调查(邮箱):hq-hr@hqsec.com
关注我们
Copyright © 北京华清信安科技有限公司 2023 京工信ICP备16018918号-1