SIEM系统,有什么好处?

信息安全 暹粒
2021-08-15 23:50:02

公司中的每个人都有一个唯一的用户名/密码,除了他之外,没有人应该使用他的用户名/密码登录。

我想要一个程序来检查日志,其中包括今天来工作的所有人的列表,并检查登录用户的列表(来自 AD 或任何地方),以查找是否有人在登录-in 不应该存在的日志(因为他不在第一个日志中)。如果程序发现这种不一致,它应该立即向负责系统的人报告。

上面的清单是我老板想要的,他认为 SIEM 系统可以赋予我们这种能力。这只是他希望我们有能力做的日志文件交叉引用的一个例子。

现在我们有许多系统(来自许多公司),每个系统都在检查公司的不同方面(例如,一个系统可以从文件服务器向我们报告哪些文件和谁更改了文件、有多少文件以及任何它发现的异常;检查 PC 上 USB 插入的系统等)。我想找到一个可以提供所有报告的系统,以便生成交叉引用报告。

据我从SIEM ( SIM , SEM ) 的 Wikipedia 页面中了解到,该系统应该为我们提供这种能力。

我的问题是,由于我需要从现有的86 种不同的 SIEM 系统中选择一种,并最终在组织中实施,我希望您能就适合我上述需求的系统提出建议。它也应该尽可能易于使用,因为最终必须有人使用该系统,如果它没有有意义的界面和有意义的报告,例如我不会得到结果我想。

除了上述之外,我想知道我应该准备哪些组件(计算机客户端代理、服务器代理等)。

4个回答

仅从您问题中的信息来看,缩小 86 人的名单并不容易 - 我快速浏览了一下,因为我知道一些顶级名字。几点:

  • SIEM 解决方案应该能够运行日志相关类型的活动
  • 大多数包括设备插入日志记录和 Tripwire 类型检查(或者可以合并 Tripwire 或任何其他 SYSLOG 日志)
  • 他们中的大多数都有合理的用户界面
  • 大多数都有可编写脚本的命令行界面

你应该做的是列出你想要/需要它拥有的东西并在这些项目上进行选择。如果你能把它降到 10 以下,你就有更好的机会进行比较测试。

我个人使用Splunk 来做这件事。它具有强大的搜索/关联/仪表板功能。此外,它还可以本地运行 Python 脚本,以便您可以从自定义源生成自己的数据。

例如,将谁应该在工作的列表与登录用户列表进行比较将是一个微不足道的搜索。

Splunk 对我来说非常强大和有帮助。它将 45 分钟的各种日志、报告、电子邮件等的手动检查减少为自动生成的 pdf 格式的电子邮件。

Splunk 有一个非常奇特的学习曲线,基本的搜索可以在几分钟内完成,然后我花了一天的时间来理解如何构建一个复杂的搜索。再过两天就有一组图表(时间表、故障、仪表)。然后我意识到创建保存的搜索并从那里开始工作更有意义(您可以更轻松地编辑它们)。

我还建议查看配置文件(特别是transforms.conf)。

由于我在 SIEM 业务中工作了 5 年,到目前为止,我几乎不会发表任何适合我的声明。在大多数情况下,SIEM 是公司的一项政治决策,因为公司有一些预算并希望提高其安全意识。通常是购买昂贵的产品,然后最终忽略它。因此,我在 SIEM 中寻找的是扩展它以满足您自己的需求的选项,因为每家公司都有自己的一套规则和必须/想要遵循的安全准则。考虑到这一点,要充分利用 SIEM,您需要:

  • 开放API

  • 编写索引器的选项

  • 编写自定义报告的选项

如果您的系统管理员不想在其中投入太多时间,您还需要:

  • 定期更新安全规则和索引器

无论如何,我不知道我所做的是否公平,因为我建议将 OTUS SIEM作为我们自己的产品,到目前为止我们已经花了 4 年时间,但到目前为止,我们已经获得了大量的用户体验,我们知道他们从哪些期望开始并且他们最终解决了什么问题。

其它你可能感兴趣的问题
上一篇保护 Docker 和 LXC 下一篇在互联网上发布 dxdiag 是否安全?