博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 4349|回复: 2

Gartner:2019年SIEM(安全信息与事件管理)市场分析

[复制链接]
发表于 2020-6-30 10:03:49 | 显示全部楼层 |阅读模式
Gartner:2019年SIEM(安全信息与事件管理)市场分析【作者按】关注安管平台,必须关注SIEM!19年来,笔者关注过Gartner每份SIEM魔力象限报告。从2005年Gartner发布第一份SIEM MQ到2019年有15年了,而在2002年到2005年间这个市场被叫IT安全管理。说到这里,又让我想起了2003年做的安管平台调研报告

注意,本文不是译文,内容也不仅MQ报告本身,还有其它资料来源。本文内容主要是作者自己的理解和感想,如果想要了解MQ报告原始信息,请另行搜索报告。

下面让我们一瞥2019年的报告吧。本文首发于本人的微信公众号,欢迎关注。


Gartner:2019年SIEM(安全信息与事件管理)市场分析

�0�2Benny Ye


2020年2月18日,Gartner终于发布了2019年度的SIEM市场魔力象限分析(MQ)报告,比原定2019年12月底的发布时间推迟了近3个月,拖到了2020年,以至于有人直接将这份报告称作2020年SIEM MQ报告(说起来也对)。顺便提一句,在2016年及以前,SIEM MQ一般都是在8月份发布,2017年原本也是如此,但由于各种原因推迟到了12月,此后2018年也是在12月发布。这次干脆跳票到了次年2月份,不知道再往后的调研及发布时间会如何安排。

�0�2

今年的报告中,Gartner对SIEM的定义做了一点微调,删除了几个词。SIEM被定义为实时地分析安全事件数据,以满足用户对于攻|击和泄露进行早期检测的需要。SIEM系统对安全数据进行收集、存储、调查,并支持缓解和报告,以实现事件应急响应、取证与合规。原文前半部分如下:

The security information and event management (SIEM) market is defined by customers’ need to analyze security event data in real time, which supports the early detection of attacks and breaches.

而在2018年的报告中,则是这么写的:

Gartner defines the security and information event management (SIEM) market by the customer’s need to analyze event data in real time for early detection of targeted attacks and data breaches.

去掉“定向”和“数据”两个词的用意在于扩大了攻|击和泄露的范畴。

�0�2

2019年度的SIEM MQ矩阵如下图所示:

对比一下2018年的矩阵:

基于Gartner最近这两年的MQ报告,结合相关厂商的其它信息,部分分析如下。

先从厂商视角来看:

SIEM三强变两强:LogRhythm终究还是没有挺住,在3年后退出了三强之列,SIEM的头部格局变成了IBM和Splunk两强之争。Gartner对LogRhythm的第一个警告就是其在向现代SIEM架构迁移过程中落后了。尽管它用了ES,也算基于大数据架构了,但还是混合型架构,还没有摆脱对Windows和MS SQL的依赖。显然,越往后发展,架构问题越发成为制约其产品能力的瓶颈。

�0�2

UEBA两强华丽转身:Gartner没有对UEBA厂商做过MQ,估计以后也不会做了,因为它不是一个产品细分市场,而是一种技术。因此,Gartner会出UEBA的MG(市场指南)。在MG中会列举典型的UEBA厂商。凭感觉,Exabeam和Securonix算得上是靠前的UEBA厂商吧。而这两个厂商最大的亮点就是转型SIEM市场,并且转的很成功,从2017年上榜,到第三年就已经跻身领导者阵营。作为初创公司,他们也得到了资本的垂青。作为看惯了SIEM MQ厂商变迁的笔者,认为他们的归宿大概率是被某个大厂收入囊中。

�0�2

多个厂商改换门庭:AlienVault已经被运营商AT&T收购,并专注于SaaS模式。尽管以前的设备/软件版本还继续售卖,但估计会逐步收缩。此外,RSA在这份报告中虽然还算在Dell旗下,但我们已经知道它最近被DELL卖给了私募基金。还有,LogRhythm业已被私募股权公司Thoma Bravo拿下。

上面提到的是上榜MQ的厂商被并购的情况,还没有提到他们收购别人的情况。而更多没有上榜的,并购其实更加频繁。

�0�2

其它厂商点评

大厂McAfee终于也退出了领导者阵营。Gartner给McAfee的负面评价包括:UEBA能力较弱,没有群组分析功能,SOAR能力也较弱。

MicroFocus的Arcsight继续陨落,继2017年掉出领导者象限后,今年更是来到了第四象限。尽管2019年初收购了Interset终于有了自己的UEBA,但尚未完成整合;虽然架构也基本完成了向大数据的迁移,但还是太复杂,而且用户界面和体验还是太差;最后就是创新能力明显不足,譬如还没有SOAR。仔细看MQ矩阵,会发现Arcsight在坐标横轴位置居然位居所有厂商最末尾!Gartner有多么不待见Arcsight,起码在五维度横向评比中位居中游啊。

Rapid7继续上升,2019年来到了领导者象限。

�0�2

特别关注:还有一些厂商,Gartner认为其在市场定义上并不匹配其SIEM定义,尽管有的产品也被这些厂商称作SIEM。这里就包括微软的Azure Sentinel和Chronicle的BlackStory。作为SaaS服务,这两家的产品笔者之前专门做过分析,这里暂不表述。另外还有Elastic、Sumo Logic和Devo等公司。他们都开始在安全领域发力,甚至出手并购安全公司,譬如Endgame、JASK等,都自称推出了SIEM产品。此外,还有一类公司,把自己包装成我称之为“下一代日志管理”的产品,也就是Gartner所谓的“基于机器学习的日志分析”,虽够不上Gartner的SIEM产品界定标准,但也正试图蚕食一部分SIEM市场,并在迅速与SIEM融合。

�0�2

再从产品视角来看:

UEBA之后,SOAR迅速成为SIEM的重要功能:上榜的大部分厂商都通过各种方式补齐了SOAR方面的能力。IBM、Splunk、Rapid7、Fortinet、FireEye是靠收购获得SOAR;RSA、Securonix是通过OEM;Exabeam、McAfee、LogRhythm、AlienVault则分别发布了各自轻量级的SOAR组件。

Gartner在2019年的厂商评估流程中,已经明确提出要厂商描述原生的UEBA功能,但并未要求描述SOAR功能。不过,Gartner要求厂商在给其做产品演示的时候,提及了SOAR相关功能的演示环节。

�0�2

各大厂商纷纷扩充产品组合:Garnter近几年一直有个公式:SOC平台 = SIEM + UEBA + EDR + NTA +SOAR。不好说是用户需求和厂商的做法促使Gartner有了这种观点,还是Gartner的这种观点让厂商们(尤其是为了入选MQ)如此。总之,这个趋势越来越显著。

IBM的QRadar不必多言,其很早就在SIEM产品线下集合了VM、NDR、UEBA以及收购自Resilient的SOAR产品,自家也有TIP,遗憾的是缺少EDR产品。

LogRhythm的SIEM产品线也囊括了NDR、UEBA,以及轻量级的EDR和SOAR功能。

Securonix作为一家初创公司,在SIEM领域的进阶很大。跟Exabeam很不同,它2019年通过OEM快速扩充其产品线。从CyberSponse那里OEM了SOAR,从Corelight那里OEM了NTA探针。但这样做的风险也是很大的。不知道CyberSponse归属Fortinet后是否要寻找后备。

Rapid7的产品线也比较齐整,除了内嵌UEBASIEM,还包括漏洞管理、SOAR,2019年收购了一家名为NetFort的NTA小厂,获得了网络探针能力,此外自己还有一个轻量级的端点Agent。

AT&T旗下AlienVault的SIEM产品线也很注重自身产品组合的完整性,除了顶在最上面的USM平台外,还打包了自家的资产发现、漏洞扫描、IDS(相当于NTA)、EDR,以及威|胁情报产品,还发布了SOAR功能,但缺少UEBA能力。

RSA由其前些年收购的NetWitness团队担纲SIEM产品线,并对其产品组合进行扩充,除了顶在上面的NWP,还推出了日志管理、EDR、NDR、UEBASOAR产品。其中,UEBA源自其收购的Fortscale,SOAR则OEM自Demisto,在Demisto被PAN收购后又改为OEM Threat Connect的SOAR

FireEye的SIEM产品线也集成了自家的EDR、NDR和威|胁情报产品。

Fortinet的SIEM产品线源自其2016年收购的AccelOps,如今也整合了轻量级EDR和威|胁情报功能,以及收购自ZoneFox的UEBA产品。此外,Gartner报告还没有来得及讲的是就在2019年的12月份,Fortinet收购了CyberSponse,获得了成熟的SOAR产品。

�0�2

说起来,这种产品组合拳的打法国内更擅长。但对于不同的厂商而言,这样做的利弊需要谨慎衡量,并非总是OK。这里的产品组合也包括方案组合,在落地的时候也会有不同的产品路线,或者自研,或者OEM,或者结盟,或者创建/融入开放生态。如果选择自研,还有不同的技术路线。还有一种方法,就是炒而不做。上面列举的那么多公司的产品,路线选择可谓是八仙过海、各显神通。

总之,对于大厂,总是有更多的玩法可以选择,且有时间去试错。而对于小厂或者初创公司,就要慎重考虑了,有限的资源恐怕难以覆盖如此宽广的市场需求。还有的时候,背后的资本力量也是促使厂商们如此行事的一个隐藏因素。

�0�2

回到SIEM市场本身。

SIEM的基本使用场景并非变化,还是高级威|胁检测、基础安全监控,以及调查与应急响应。威|胁管理依然是SIEM的首要驱动因素,其次是监控与合规。

报告指SIEM市场趋于成熟,竞争激烈。全球市场规模从2017年的23.19亿美元增至2018年的25.97亿美元,市场份额主要集中在Splunk、Arcsight(不要奇怪)、IBM和LogRhythm手里。而据Gartner另外的资料表明,SIEM全球支出在2019年预计将达到34.7亿美元。可以说,SIEM市场规模较大,增速也远高于安全市场总体平均值。

正是因为大家都看到了这个好市场,也看到了客户不断增长的需求,看到了SIEM正处于技术革新的转型期,各色厂商纷纷入局。国外如此,国内亦是如此。

所以,我们可以看到云厂商开始涉足SIEM,将其封装为SECaaS的一个关键能力,国外有Azure,AWS,Google云,国内则见于阿里、腾讯。我们还看到各大安全厂商纷纷布局SIEM,有传统综合性安全厂商,也有新晋的上市公司,更有试图颠覆安全市场的新兴综合性安全大厂,他们皆将SIEM视为其产品战略的关键一环,被看作是安全软件平台之母。我们也看到不少创业公司投入这个领域,试图通过颠覆性技术和迎合特定客户的新需求切入这个市场。国外如此,国内亦然。

�0�2

与这份SIEM MQ报告同期发布的还有SIEM CC(关键能力)报告。这份报告中,Gartner对入围的厂商从五个维度(跟2018年不同)进行了打分排名。更重要地,列举了Gartner在评估SIEM厂商时所关注的关键技术能力,跟2018年度也有不同,包括:

1)�0�2�0�2�0�2�0�2�0�2�0�2 架构/部署/伸缩性;

2)�0�2�0�2�0�2�0�2�0�2�0�2 云就绪情况(今年新增);

3)�0�2�0�2�0�2�0�2�0�2�0�2 运维与支持;

4)�0�2�0�2�0�2�0�2�0�2�0�2 数据管理能力;

5)�0�2�0�2�0�2�0�2�0�2�0�2 分析能力;

6)�0�2�0�2�0�2�0�2�0�2�0�2 应急响应管理;

7)�0�2�0�2�0�2�0�2�0�2�0�2 内容包及其管理,即知识工程(今年新增);

8)�0�2�0�2�0�2�0�2�0�2�0�2 取证与威|胁猎捕(今年新增);

9)�0�2�0�2�0�2�0�2�0�2�0�2 用户体验与用户接口(今年新增)。

�0�2

写在最后:

今年Gartner SIEM MQ评估之时,笔者已经创业,无缘再次亲身参与其中。不过笔者不断从多个侧面了解整个进程,算是对评选工作略知一二。

从技术维度看,评估标准与往年比并没有特别多的变化,一切都紧随Gartner所有报告中对SIEM的技术论述。

从市场维度看,此次评估标准中对于中国厂商而言最关键的一点是对SIEM营收有很强的国际化的要求。Gartner要求上榜厂商必须有15%及以上的公司总部所在国家之外的海外营收。也就是说,如果你的公司总部在中国,那么就要有15%以上的非中国(海外)收入。同时,Gartner要求上榜厂商必须在亚太、北美、欧洲中东非洲、拉美四个区域的至少两个区域中有销售与市场运作行为,并且分别拥有至少10个客户。这两条标准表明Gartner对于SIEM产品十分看重厂商的国际化能力。而这对于中国厂商而言是一个比较高的门槛。在2018年及以前虽然也有国际化方面的评估,但都没有这次的量化程度高。所以,我们看到多个国内厂商虽然参与评估,但最终未能上榜,仅获提名。但我们也看到了有中国公司入榜,让笔者颇为惊讶,刮目相看。

把话题进一步延伸开来,我们发现不仅是SIEM MQ,其它安全产品的MQ也都在加强对国际化的要求。一方面是因为参与的厂商越来越多,而上榜的公司则不能太多,另一方面体现了Gartner的国际范儿。因此,近几年来我们已经看到多个产品的MQ报告中有中国厂商由于国际化不达标而下榜。当然,国际化也是未来对中国领先安全厂商的一个必然要求,国际化对于中国公司是挑战更是机遇。再进一步说,ToB软件的国际化尤其难,我们尚需努力。


 楼主| 发表于 2020-6-30 10:05:56 | 显示全部楼层
从UEBA到SOAR
首席安全官Plus 2020-05-10 14:39:29 191 [url=] 收藏 1[/url]

分类专栏: 网络安全

[url=]版权[/url]



在互联网普及的20多个年头中,企业安全经历了几次变革,从最开始的设置简单的防火墙、虚拟局域网到安全运营中心建设;2005年,随着数据过载,安全信息及事件管理(SIEM)正式诞生,并成为SOC不可或缺的帮手,被广泛应用;而2015年后,随着SIEM的管理越来越复杂,处理数量越来越大,用户实体行为分析(UEBA)与安全编排自动化响应(SOAR)应运而生。

传统安全主要基于威胁情报、流量特征、设备指纹等方式识别,但对于机器合法接口、真人恶意行为等容易产生错判、漏判,UEBA强调用户行为分析,以用户为视角基于行为进行六元组建模,建完模型后主要利用无监督学习和半监督学习进行自我演化进而不断贴合业务。SOAR则是在识别后,强调对于威胁事件的处理,重点解决复杂逻辑编排、安全设备联动的问题。

2016年,用户实体行为分析(UEBA)入选Gartner十大信息安全技术,并在2018年入选Gartner为安全团队建议的十大新项目;2017年Gartner提出SOAR概念,预计到2019年,将有30%的大中型企业会进行SOAR平台建设。


一、UEBA(User Entity Behavior Analysis)

UBA(用户行为分析)最早应用在网站访问和精准营销等方面,后来被移植到网络安全领域,Gartner在UBA的基础上融入实体行为,并认为关注实体行为分析可以更准确地识别威胁。UEBA不只是SIEM的补充,更是理解网络安全的全新方式。

1.前提:以用户为视角

长期以来,SIEM都主要依赖于规则,以流量和请求为视角,需要人工配置已知规则、专家经验、人为设定的阈值,一直存在误报率高、准确率低、未知威胁无法发现等问题。而UEBA的前提条件是转换思维,以用户为视角,从基于规则分析到关联分析、行为建模、异常分析,弥补传统SIEM的不足,通过用户实体行为异常分析来检测各种业务与安全风险。


上图是某客户用户注册、登录、获取积分的日志,以流量为视角分析时,上述访问行为是合法请求(UI、特征、请求地址、请求构造、参数等均合法)。而我们对其进行实频率转换时,通过傅立叶变换转变成频率行为,我们可以看到其访问行为具有周期性,不同于以往高频词的爬虫行为,其周期往往以数分钟、甚至数小时为单位,通过用户视角,我们可以初步判断这次访问存在异常。


2.核心:行为建模

白山ATD团队经过实践,发现基于六元组模型,即:时间、地点、人/ID、作用域、动作和结果,可以定义行为概念,基于此我们能够进行行为建模。

目前主流的行为分析主要包括有监督学习、半监督学习两种方式,但很多企业都在实际操作过程中遇到一定的瓶颈。

▪️有监督学习:标注样本的难题。

大部分传统SIEM系统多采用有监督学习算法。利用机器学习插件,导入已经标注好的样本、选择合适的模型,系统就可以自行开始训练。但其最大的问题在于过于依赖标注样本,而安全场景中样本标注需要安全专家投入较高的人力成本和时间成本,大部分企业没有安全标注样本。

▪️半监督学习:场景多样化的难题。

因为各企业业务、数据不同,安全标注样本并不能通用性的在各家企业中适用,缺乏场景多样化。

而UEBA主要应用无监督学习算法,利用个群对比、聚类分析、规律学习,无需大量样本标注就能准确识别异常行为。

▪️个群对比:我们在ATD中内置大量数学函数,包括平均值、方差、公值、相似度、重复比等,与特征数据结合形成特征空间,然后再进行空间特征泛化,最后进行个群对比分析,识别出行为异于正常用户的攻击者。

在上述案例中,我们不仅利用UEBA分析得到规律性行为,同时根据个群对比,发现大部分访问数据不具有规律的周期,结合以上两点,我们才判断为异常行为。

▪️聚类分析:通过聚类特征放大,对多源低频团伙行为进行识别判断。深度引擎还进行长时间轴线分析,对比自身行为规律变化情况,进行威胁检测。

以某电商客户为例,其比较头疼的问题之一是多源低频攻击。据统计每天约有300万个真实IP地址爬取商品价格、详情及评价,但爬取频率极低,平均每天仅有5-6次访问。在多源低频的爬虫下,基于规则和阈值的传统安全产品基本失效,无法准确识别攻击行为。而通过无监督学习,我们将所有访问聚类,从而区分正常用户访问和机器爬虫程序。

▪️规律学习:通过学习数据的历史行为内在规律计算概率模型,然后基于这些概率模型构建集成学习分类算法,进而对未知异常行为进行识别分析。

ATD学习的内部规律主要包括:文本规律、路径规律。一般客户的日志收集很难保证时间戳的持续性,但用户访问的路径都具有很强的关联性。在某电商客户的实际应用中,通过规律学习,正常用户的访问路径为:验证码、登录、商品信息,但通过用户行为分析,我们发现存在大量访问的路径异常,其路径为:登录、验证码、商品信息,通过分析我们发现客户端验证码的校验存在被盗库的逻辑。

在实际使用过程中,无监督学习识别出的未知威胁还可以结合人工标注,安全专家定期针对少量异常行为进行标记,通过有监督学习,利用Active Learning算法,允许用户进行有限标注,通过CNN(卷积神经元网络)训练少量样本模型,进而通过模型串接,修正原有算法分析结果,最终算法可以更贴合企业业务场景、提升算法准确率。


二、SOAR(Security Orchestration and Automation Response)

SOAR是Gartner 2018年在安全领域定义的最新前沿技术,与UEBA、EDR等侧重于威胁识别发现的技术不同,SOAR集中在识别后的威胁处理,强调用户可以通过事件编排中心通过编码实现任意的威胁处理逻辑。

传统SIEM除了无法识别未知威胁外,还存在报警过多、无法实时处理等问题。大多数的安全团队只关注识别忽略了处理或只能支持阻断/通知/放行等简单的处理。但对于安全事件的处理是包含一定逻辑的,还需要与已有安全产品联动,形成威胁处理的闭环。这种背景下,应用SOAR等自动化工具就成为安全团队的必然选择。

目前国内的一部分安全团队也开始在SOAR领域进行尝试。白山在ATD内集成了SOAR平台,安全人员可以在平台内定义安全事件,当故障发生时,系统会被立即触发。在事件处理中心,会自动分析故障原因,并采用防火墙或邮件通知;在事件编排中心,安全人员事先通过JS代码编排所有主流安全产品的接口调用流程,事件触发时可以按照预定逻辑进行多业务系统、多设备、多层级的联动,实现安全编排的自动化响应。


                                                                                                               ATD编排平台


从UEBA到SOAR,基于AI的SIEM正在重新定义下一代安全产品。

 楼主| 发表于 2020-6-30 10:11:01 | 显示全部楼层
回复 2# network
浅析SIEM、态势感知平台、安全运营中心

xiejava1018 2020-03-02 21:34:05   825   收藏 6
分类专栏: 网络信息安全
版权
近年来SIEM、态势感知平台、安全运营中心等概念炒的火热,有的人认为这都是安全管理产品,这些产品就是一回事,有人认为还是有所区分。那么到底什么是SIEM、什么是态势感知平台、什么是安全运营中心,他们之间有什么联系和区别呢?

一、SIEM
SIEM英文是security information and event managemen安全信息和事件管理
SIEM是一个由多个监视和分析组件组成的安全系统,旨在帮助组织检测和减轻威胁
一款典型的SIEM产品是将许多其他安全规则和工具结合在一个综合的框架下形成的一个合集。
典型的包括以下模块
日志管理(LMS)——用于传统日志收集和存储的工具。
安全信息管理(SIM)——集中于从多个数据源收集和管理与安全相关的数据的工具或系统。例如,这些数据源可以是防火墙、DNS服务器、路由器和防病毒应用程序。
安全事件管理(SEM)——基于主动监视和分析的系统,包括数据可视化、事件相关性和警报
大多数的SIEM包括以下元素
1、安全数据采集
主要是基于安全日志数据,日志表示在数字环境中运行的进程的原始输出,是提供实时发生的事情的准确图像的最佳来源,因此是SIEM系统的主要数据源。无论是防火墙日志、服务器日志、数据库日志,还是在实际网络环境中生成的任何其他类型的日志,SIEM系统都能够收集这些数据并将其存储在一个中心位置以进行扩展的保留。此采集过程通常由代理或应用程序执行,部署在监视的系统上,并配置为将数据转发到SIEM系统的中央数据存储。
2、安全数据解析处理和标准化
为了能够跨不同源和事件相关性高效地解释数据,SIEM系统能够规范化日志。这个规范化过程包括将日志处理为可读的结构化格式,从日志中提取重要数据,并映射日志中包含的不同字段。
3、安全数据集中存储
安全信息数据存储的目地当然是为了利用数据进行管理分析发现安全事件。
4、安全数据分析
一旦收集、解析和存储,SIEM系统中的下一步将负责连接这些点并关联来自不同数据源的事件。这种关联工作基于各种SIEM工具提供的规则、为不同的攻击场景预定义的规则,或者由分析人员创建和调整的规则。大多数SIEM系统还提供生成报告的内置机制。这些报告可以用于管理、审计或合规性原因。例如,可以将详细描述触发警报或规则的每日报告嵌入到仪表板中。
5、安全数据呈现
可视化数据和事件的能力是SIEM系统中的另一个关键组件,因为它允许分析人员方便地查看数据。包含多个可视化或视图的仪表板有助于识别趋势、异常情况,并监控环境的总体健康或安全状态。一些SIEM工具将附带预先制作的仪表板,而另一些工具将允许用户创建和调整自己的仪表板。
基于目前海量的安全信息数据,大数据架构已经成为主流。并不是说SIEM必须使用大数据架构,因为这是一个应用场景问题而非技术问题。但面对大量数据需要处理的场景时,基于大数据架构的SIEM则必不可少。所以有些厂商提出了SDC(security data center)安全大数据中心的概念就是把所有的安全数据集中管理起来,在SDC的基础上构建安全数据分析和展现能力,形成SIEM平台。

目前成熟的SIEM产品有很多,开源的有OSSIM、Elastic SIEM、Opensoc
OSSIM是SIEM的代表性产品,在产品形式上和Kali类似是一个基于Debain进行二次开发的Linux发行版,当前5.6.5版本基于Dibian 8(jessie)。
OSSIM使用Nmap等实现资产发现、使用Nessus等实现漏洞扫描、使用Snort等实现入侵检测、使用MySQL等进行数据存储,自己实现的部分主要是工具、数据整合和可视化展示。ossim存储架构是mysql,支持多种日志格式,包括鼎鼎大名的Snort、Nmap、 Nessus以及Ntop等,对于数据规模不大的情况是个不错的选择,新版界面很酷炫
从架构上来看,OSSIM系统是一个开放的框架,它的核心价值在于创新的集成各开源软件之所长,它里面的模块既有C/S架构,又有B/S架构,但作为最终用户主要掌握OSSIM WebUI主要采用B/S架构,Web服务器使用Apache。OSSIM系统结构示意图如下图所示。

第1层,属于数据采集层,使用各种采集技术采集流量信息、日志、各种资产信息,经过归一化处理后传入核心层。改层体现安全事件来源,入侵检测、防火墙、重要主机发出的日志都是安全事件来源,它们按发出机制分为两类:模式侦查器和异常监控(两者都采集警告信息,功能互补)由它们采集的安全事件,再被Agent转换为统一的格式发到OSSIM服务器,这一层就是Sensor要完成的内容。
第2层,属于核心处理层,主要实现对各种数据的深入加工处理,包括运行监控、安全分析、策略管理、风险评估、关联分析、安全对象管理、脆弱性管理、事件管理、报表管理等。该层中OSSIM Server是主角,OSSIM服务器,主要功能是安全事件的集中并对集中后的事件进行关联分析、风险评估及严重性标注等。所谓的集中就是以一种统一格式组织所有系统产生的安全事件告警信息(Alarms)并将所有的网络安全事件告警存储到数据库,这样就完成了对网络中所产生事件的一个庞大视图。系统通过事件序列关联和启发式算法关联来更好的识别误报和侦查攻击的能力。
OSSIM本质上通过对各种探测器和监控产生的告警进行格式化处理,再进行关联分析,通过后期这些处理能提高检测性能,即减少告警数量,减小关联引擎的压力,从整体上提高告警质量。
第3层,属于数据展现层,主要负责完成与用户之间的交互,达到安全预警和事件监控、安全运行监控、综合分析的统一展示,形式上以图形化方式展示给用户。Web框架(Framework)控制台界面即OSSIM的Web UI(Web User Interface,Web用户界面),其实就是OSSIM系统对外的门户站点,它主要由仪表盘、SIEM控制台、Alarm控制台、资产漏洞扫描管理、可靠性监控、报表及系统策略等部分组成。
OSSIM主要模块的关系
OSSIM系统主要使用了PHP、Python、Perl和C等四种编程语言,从软件层面上看OSSIM框架系统包括五大模块:Agent模块、Server模块、Database数据库模块、Frameworkd模块以及Framework模块,逻辑结构如图所示。

Elastic SIEM 的核心是全新的 SIEM 应用,此应用是安全团队的交互式工作空间,可允许他们对事件进行分类并开展初期调查。其中包括的时间线事件查看器 (Timeline Event Viewer) 能够允许分析师收集和存储攻击证据,固定相关活动并添加注释,以及添加评论并分享他们的发现,而且这一切在 Kibana 中即可完成;这样一来,您便能够轻松处理符合 ECS 格式的任何数据了。
Opensoc是思科2014年在BroCon大会上公布的开源项目,但是没有真正开源其源代码,只是发布了其技术框架。可以参考Opensoc发布的架构,结合实际落地SIEM的方案。Opensoc完全基于开源的大数据框架kafka、storm、spark和es等,天生具有强大的横向扩展能力

所以从SIEM的定义和功能来看有两个核心能力,一个是安全信息数据的采集汇聚能力,一个就是安全事件的分析能力。

二、安全态势感知平台
“态势感知”早在 20 世纪 80 年代由美国空军提出,其包含感知、理解和预测三个层次。截止目前,业界对网络安全态势感知还没有一个统一全面的定义,基于美国Endsley 博士的理论对网络安全态势感知做出的定义:“网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势,并以可视化的方式展现给用户,并给出相应的报表和应对措施。”
什么是态势感知平台,大家都认为应该是利用大数据、机器学习等技术对态势感知态势海量数据进行提取,进行多维度的关联分析。能够提供对安全风险保持报警、趋势预测等,海量数据、关联分析、大屏展示和趋势预测是四个重点。而趋势预测最核心,目前做起来也比较难。
个人理解,SIEM重点在于对安全事件的感知和理解,态势感知重点在于通过大数据、机器学习等技术加深了对安全趋势的预测。国外一般不提态势感知系统,而国内,很多厂商都推出了态势感知系统。
目前国内安全厂商提供的“态势感知产品”包含的功能模块有:资产管理、漏洞管理、大数据平台、日志分析平台、威胁情报、沙箱、用户行为分析、网络流量分析、取证溯源、威胁捕捉等能力。
几个关键点:
1、 大数据平台。随着监测范围的扩大,数据量也在扩大,需要一个具备大数据处理和计算能力的平台,这是整个态势感知平台建设很重要的基础。
2、 基于威胁情报的监测。威胁情报对于降低大量数据和报警中的垃圾数据或者报警噪声,帮助更快速、更高效的发现攻击行为和攻击者非常关键,威胁情报的质量是检验态势感知平台能力的很重要的方面。
3、 全要素数据的采集。利用态势感知这样的平台能力的核心目的,是要监测到复杂的、高级的攻击,就需要态势感知平台首先要捕获到微观的状态,低成本、高效率的全要素数据采集能力是基础。
4、 基于攻击场景的分析研判。攻击不再是基于特征的监测,需要运用威胁情报、运用一些专家的经验,来构建基于场景的分析系统,它不是一个静态的东西,是一个与时俱进的攻防对抗过程中不断学习、学习参考的过程,需要持续运营这样的分析管理,需要更多的专家的经验和安全运营人员的参与。

三、安全运营中心
SOC(安全运营中心)来源于NOC(网络运营中心)。
随着信息安全问题的日益突出,安全管理理论与技术的不断发展,需要从安全的角度去管理整个网络和系统,而传统的NOC在这方面缺少技术支撑,于是,出现了SOC的概念。
以前大家所说的SOC是SOC 1.0阶段,只是在SOC的核心部件SIEM的买卖,国外所说的SOC是一个复杂的系统,它使用SIEM产品进行运维又以此向客户提供服务,也就是我们所说的SOC 2.0
SOC(安全运营中心)是以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件及风险分析,预警管理,应急响应的集中安全管理系统。
SOC是一个复杂的系统,它既有产品,又有服务,还有运维,SOC是技术、流程和人的有机结合。
随着安全态势感知平台的兴起,安全运营中心将以态势感知平台作为智能安全运营的载体,在风险监测、分析研判、通知协作、响应处置、溯源取证等各方面进行了增强,同时融入了当前流行的技术和平台作为支撑,如大数据技术、东西向流量采集技术,EDR 终端检测响应技术、机器学习、欺骗攻击技术等。同时态势感知平台与 ITIL(Information Technology Infrastructure Library,ITIL)理念与信息安全管理标准相融合,将安全运营划分为不同角色,如安全管理人员、安全专家、安全运维、安全分析师、安全应急响应人员、安全研究人员等,在集成了安全事件管理全生命周期的流程中,通过工作流程将其串联起来,使安全运营流程更加规范和有序。

所以个人认为SDC<SIEM<态势感知<安全运营中心
————————————————
版权声明:本文为CSDN博主「xiejava1018」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/fullbug/article/details/104620037
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-24 10:48 , Processed in 0.093611 second(s), 17 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表