SIEM（安全信息和事件管理）堪稱企業安全運營的發動機，它不但從IT基礎架構中的海量信息資源中收集和分析各種活動，同時也是安全自動化、DevSecOps、下一代SOC等安全管理和運營的基礎。

　　SANS 2019年的報告（下圖）顯示，超過70％的大型企業仍然依賴安全信息和事件管理（SIEM）系統來進行數據關聯、安全分析和運營。此外，很多企業的安全運營中心（SOC）團隊還圍繞SIEM配備了用于威脅檢測/響應、調查/查詢、威脅情報分析以及流程自動化/編排的其他工具。

　　沒有人懷疑SIEM的重要性，但是由于SIEM本身也存在諸多疑難問題（例如與大量安全工具的可擴展和集成性、需要大量人員培訓和經驗、消耗大量運營資源、誤報過多、對新威脅力的響應不從心、供應商產品之間差異過大等）。因此，企業選擇SIEM需要格外謹慎，不僅僅是因為該產品是企業安全運營的基石，SIEM需要考量的因素眾多（尤其是考慮到當前很多企業安全架構正在面臨重大升級或者DevSecOps范型轉移），同時還有很強的鎖定效應。

　　近日，國外多位網絡安全專家就SIEM的選型發表了觀點，安全牛整理如下：

　　Elastic Security高級總監 Jae Lee

　　SIEM是很成熟的產品類別，并且還在不斷發展中。但是，隨著SecOps從“傳統”轉變為“自適應”，SIEM產品需要支持團隊的“進化”。

　　首先，從人的角度來看：傳統安全技能是基于工具的（例如，漏洞、防火墻、IDS/IPS等），但是未來的安全運營需要更廣泛的技能，例如處理和分析數據、進行協作研究、了解對手/廠商等，一個好的SIEM方案應當能幫助安全團隊增強和發展這些技能。

　　其次是流程。提升技能、不再被告警“統治”（除非允許），預定義的靜態SOP /預案對于新一代的SIEM來說是不夠的。團隊現在需要進行實時分析以進行搜尋，包括進行研究、逆向工程和模擬威脅等等。上下文（context）決定一切。有效地進行搜尋和操作需要完全的可見性——不是在單獨的工具中，而是在SIEM中。

　　最后是技術。全面的安全可見性不僅指廣泛的覆蓋范圍，也包括快速的見解。同樣，檢測需要支持OOTB。例如端點安全中，OOTB檢測具有很高的準確性。SIEM中應該應用相同的規則，而不要求每個分析師都是規則編寫專家。SIEM不僅是“技術”，還需要經過現實世界驗證過的安全性內容。

　　隨著SecOps的成熟，企業通常需要大量投資來維護SIEM。安全主管必須有效阻止威脅來證明安全投資的合理性。你需要樹立目標，例如通過部署SIEM滿足快速發展的安全需求，并就擴展性和靈活性向供應商提出一些尖刻的問題——從檢測到集成，部署選項到定價指標。

　　Christopher Meenan，IBM Cloud和認知軟件QRadar產品管理和策略總監

　　選擇SIEM解決方案首先要考慮的是您需要解決的是哪種用例，例如是在云轉換期間保護企業？還是構建統一的IT和OT安全運營程序？還是僅解決合規性問題？SIEM的用例是千差萬別的。不同用例的集成、用例內容、分析和部署方法的需求也有很大差異。

　　可以咨詢供應商幫助解決需求問題。了解包括哪些集成和用例內容，以及哪些需要單獨的許可證或自定義開發。了解可用的分析以及如何使用這些分析來檢測已知和未知威脅。詢問本機支持哪些框架，例如MITER ATT＆CK。

　　如果像大多數公司一樣，您的團隊人手不足，這意味著您需要可用性更高的產品，這些產品可以幫助縮短新分析師的學習曲線，并使經驗豐富的團隊成員更有效率。詢問每種解決方案如何在檢測、調查和響應過程中如何提高效率。如果需要降低管理成本，同時還需要詢問有關SaaS部署和MSSP合作伙伴關系的信息。

　　最重要的是，不要害羞，要求廠商提供概念驗證以確保您正在考慮的產品對您有用。

　　Exabeam首席安全策略師 Stephen Moore

　　即使是經驗和資源最豐富的安全團隊也很容易被一天之內收到的SIEM警報數量所淹沒，讓SOC安全人員頭大的問題還有很多，例如基于憑據攻擊的復雜性、警報疲勞、缺乏熟練的分析師和漫長的調查時間等。很多都是傳統SIEM方案無法解決的。

　　現在，許多組織正在將其SIEM遷移到云中，這使分析師可以利用更多的計算能力來篩選、解釋和運營SIEM數據?，F在，他們將更多的時間花在了發現不利因素上，而不是平臺和服務器支持上。但是要為“企業”選擇合適的SIEM，您需要花時間調查咨詢。您需要確保SIEM的功能與業務的目標、關注和期望保持一致，顯然，很多企業的目標和期望在最近幾個月中已經發生了重大變化。最重要的是，企業需要花一些時間來提問。

　　然后，基于已知的攻擊者行為和違規結果做出選擇，重點關注憑據相關信息，確保您的平臺具有適應性和以對象為中心。詢問廠商這樣的問題，例如產品是否會縮短您回答問題的時間（TTA），例如“與該警報關聯的帳戶或資產是什么？” 或者“事件之前，之中和之后發生了什么？”

　　最后，任何解決方案都需要幫助您的SOC分析人員專注于正確的事情。自動化的關鍵是“自動化”——既以時間表或故事板的形式完整展示事件的情節，又可以在恢復過程中提供自動化的事件響應功能。部分調查流程的自動化對于事件響應人員來說意義重大，可以更快地采取行動，最大程度地降低響應不完全的風險。

　　Rapid7首席安全研究員 Wade Woolwine

　　盡管SIEM這個縮寫的第一個詞是“安全”，但事件和日志管理不僅僅針對安全團隊。

　　當企業打算投資SIEM或替換現有SIEM時，他們應考慮跨安全性、IT/云、工程、物理安全性以及任何其他可能從集中式日志聚合中受益的業務部門的用例。一旦確定了利益相關者，明確了記錄日志的類型、來源和用例，企業才能制定出評估SIEM供應商的需求主清單。

　　企業還應該認識到用例將隨著時間而變化，不斷會有新的用例“沖擊”SIEM，尤其是在安全團隊內部。因此，企業還應將以下內容視為支持未來增長的SIEM的硬性要求：

　　·支持安全團隊添加和分類自定義事件源

　　·支持基于云的事件源

　　·具有高級跨數據類型搜索功能和支持正則表達式的字段搜索

　　·可保存的警報搜索

　　·使用動態儀表板報告保存搜索

　　·整合威脅源的能力

　　·支持自動化平臺集成

　　·API支持

　　·報價包括多日培訓

　　LogPoint首席執行官 Jesper Zerlang

　　隨著企業基礎架構復雜性的增加，現代SIEM解決方案的關鍵能力是能夠從任何地方捕獲數據。這包括云中和本地數據以及來自軟件（包括SAP等企業應用程序）的數據。在當今復雜的威脅形勢下，集成UEBA并幫助企業快速增強安全性分析是SIEM的大勢所趨。

　　SIEM解決方案的效率完全取決于您輸入的數據。如果SIEM解決方案的許可證模型依賴于攝取的數據量或事務數量，那么由于數據量的整體增長，成本將不斷增加。因此，有些企業會選擇讓縮小SIEM的覆蓋范圍，忽略部分基礎架構以降低成本，這種做法非常危險。

　　選擇許可模型的SIEM時，需要確保該模型支持企業的完全數字化并且其未來成本可以預測。這將確保業務需求與您的技術選擇保持一致。最后一點，但也可能是最重要的一點：選擇那些有段時間見效案例的SIEM方案，并且確保能夠按時完成部署的SIEM項目。SIEM部署，無論是初次實施還是替代，通常被認為是復雜且耗時的，這方面要保持高度警惕。