引言
SIEM(安全信息与事件管理)在SOC操作中心中扮演着十分重要的角色,可以说它是SOC的心脏,能够收集事件并按照配置好的规则进行事件分析,同时向安全分析师发出系统入侵等异常行为的告警,并执行SOC程序。
本文旨在帮助企业评估并采购合适的SIEM产品,搭建他们自己的SOC操作中心。以下整理的内容会对SIEM的POC(概念证明,可理解为产品测试,证实产品的各项优异性能)产生一定帮助。
文章主要介绍购买SIEM产品的基本思路,帮助客户获得最符合企业安全需求的SIEM技术。当然提供SIEM服务(SaaS)的安全公司也能从中获益,根据所列要点提高产品的客户满意度,扩大市场占有率。
摘要
一些客户和新兴公司往往会忽视进行SIEM概念证明(POC)时的很多细节,一些安全厂商便利用这一点在服务和部署环节中收取高额费用。
因此进行SIEM的概念证明时我们应该记住一些重要的参数、要点和功能。
用户首先应该认真了解自身环境,确定SIEM安装的实际要求,并对比不同SIEM的各项功能。只有完成以上步骤,才能够作出相对完美的采购选择。
本文共包含4个部分:架构概述、SIEM功能、成本审核及其它服务。
我们可以将下图称之为“SIEM POC检查表”:
架构总览
这是描述某系统中关键元素的图表,包括通信方式、内外部系统连接、集成及美学等方面。
具体有硬件、软件和数据库(存储库)、事件流、其它应用程序支持等详细结构模式,以及POC中与GUI(图形用户界面,也称图形用户接口)相关的重要事项。
硬件概述
了解SIEM架构中的设备类型,并根据相关引擎ELM即日志收集器等的功能列出设备清单。
支持性文档,说明是否需要日志收集器安装程序、控制台安装程序等。
软件概述
列出软件解决方案的最低应用/软件要求。
列出检查清单,以是/否的形式确定所需要求。
数据库或存储库概述
明确SIEM的数据库或存储库类型,比如像Oracle、SQL、SAN、DAS、DWH等内外部存储库以及分区类型。
接口类型(GUI)概述
确定三种类型的可用控制台:
网站控制台
管理控制台
疑难解答控制台
内置工具功能概述
列出清单说明编写解析器或测试环境时是否使用内置或第三方工具。比较不同SIEM功能时这招很管用。
架构流程图概述
大型企业的架构图
确定带宽消耗:在设备内测量。
SIEM功能
我们将在本节中根据以下参数深入对比SIEM的一些重要功能。
默认解析器数量
从SIEM供应商处获得默认解析器的数量和相关文档,并进行比较。
数据包抓取
这是某些SIEM具备的最佳功能。您可以比较目标SIEM是否支持此功能。
数据包大小不仅是一个常规的原始日志。若该SIEM采用数据包的方式,那么请务必考虑存储空间,详询供应商。
执行报告的时间
精确审查每日、每周、每月报告的执行时间。
日志压缩比
确认是否支持日志压缩以及压缩的百分比。
McAffee Intel Nitro的压缩功能最为出色。
数据时效
就在线和离线数据(每天)的数据保留策略,您可以了解并比较恢复1周离线数据所需的时间。
备份和恢复期间的系统性能
计算大约数值。在某个精确时间段进行备份和恢复时,CPU和内存利用率的百分比。
基于角色的配置和访问控制
确定是否具有MSSP(多序列式屏幕)功能。向特定团队或客户显示某些数据(仅防火墙)。
网络建模
通过导入Nessus报告以及一些具有发现功能的工具,或者利用自身导入格式(CSV、xlsx、txt)的方式来确定网络建模是否可行。
资产建模
通过导入Nessus报告以及一些具有发现功能的工具,或者利用自身导入格式(CSV、xlsx、txt)的方式来确定资产建模是否可行。
警报的严重性与警报升级
了解更多关于内部事件管理系统以及与外部事件管理系统集成的效率。
日志收集层的日志过滤
了解减少干扰事件的功能,SIEM管理员应避免接收器接收干扰流量,只允许关联重要事件。
观测表(动态/静态)
确认它是否支持静态观测表。
了解动态观测表的工作效率,如通过在观测表中确定的触发事件来更新条目。
周期性仪表盘
这也是SIEM厂商会提供的强大功能之一,能够帮助第一阶段的监控分析师有效地检测到系统入侵等安全事件。
SIEM管理员确定在指定时间间隔内旋转的特定仪表盘,以便分析人员更好地实施监控。
例如:前10个攻击者源IP、前10个目标IP、前5个故障用户名、检测到的Symantec反病毒事件等等。
日志导出格式
了解SIEM支持的文件导出格式,如CSV、PDF、txt、HTML等。
警报机制
就警报机制进行比较,如对主要的具体事件通过SIEM GUI或控制台、电子邮件以及SMS(手机短信)等方式进行告警。
最新的SIEM增加了“报警蜂鸣”的提醒功能,从而对高优先级或特定事件/相关规则作出快速响应。
模板自定义(报告/电子邮件)
确定模板自定义是否是SIEM的内置功能,并了解它是如何提供报告和电子邮件的模板自定义(报告优先级规则)功能的。
报告生成器
大多数SIEM都具有此内置功能。
原始日志报告生成
验证SIEM是否具有根据定义条件生成原始日志报告的功能。
SIEM设备的审计日志报告
确认SIEM是否具有获取所有SIEM审核日志的有效方式,达到监控SIEM管理员活动的目的。
该方法在调查SIEM管理员未发现的活动时非常管用。
报告格式
确定报告格式并进行比较(Excel、Html、csv、doc、pdf)。
报告与SIEM健康检查仪表盘(应实现全自动化)
应比较EPS、RAM-CPU利用率、存储统计和设备之间的连接以及许多其他报告和仪表盘的功能。
基于角色的默认报告
管理、L1和L2级等基于角色的报告。例如,网络操作中心团队将获得配置防火墙的日志报告(策略更改、执行的命令以及管理员级别的活动等)。
基于会话的事件报告(p2p和VPN)
检查其是否具有显示端到端可见性的默认会话报告(用户/ VPN会话等)
中央策略管理
检查SIEM是否具有从单个控制台在所有SIEM设备上推送策略的功能。
故障转移设备配置的复制
检查SIEM是否具有自动将配置复制到故障转移设备的功能。该功能能够节省管理员时间,并立即展开设备的故障转移工作。
成本审核
在本节中,我们将了解维护成本的组成部分。下图展示了影响成本的因素。
DB /Storage/ DAS / NAS等
确认SIEM的内置存储库类型以及存储空间(专有的或外部的,如Oracle、SQL等)。
确认其与外部存储的兼容性,以防碰到庞大存储需求的情况,如DAS、NAS、Hadoop等。
许可标准
许可是决定/影响SIEM总成本的主要参数。
成本可能取决于需要集成的设备数量、EPC数量或需要合并的资产数量、用户数量或其他标准(若适用)。
专业服务
应包含以下内容:
合规数据包
解析器开发
SIEM管理和事件处理培训项目
有关SIEM设备高优先级问题的解决方案
现成设备与SIEM的集成
其它服务
硬件解决方案
请确认以下两点内容:
所需设备的数量和类型
所需的支持性软件
软件解决方案
基于架构计算软件解决方案的最低系统要求
其它所需软件
GTI(迈克菲全球威胁情报解决方案) Feeds实时更新服务
确认GTI Feed服务是否包含在SIEM总价中,还是需要额外购买
其它服务或功能
本节中,我们将介绍SIEM服务中的其它项目。
补丁管理
稳定的补丁发布后,补丁安装是升级SIEM设备最重要的方面。
了解供应商补丁程序的发布频率、修补程序改进的内容以及是否稳定等信息,并作出比较。
供应商指南
比较和SIEM共同提供给客户的文档内容:
管理
疑难解答
安装和配置
用户手册
最佳实践
备份和恢复
其他项目
设备通信端口列表
列出设备之间进行内部通信所需端口的详细信息
知识库
确认SIEM是否具有定义事件处理进程的模板。
默认/现成服务
如果SIEM供应商要求支付默认服务的费用,客户应要求提供支持性文档。
支持协议
供应商应提供以下信息:
支持性文档类型
在线自助服务(论坛或群组)
后记
本文主要介绍了比较多样SIEM产品时应考虑的各项因素,选择两个最好的SIEM产品进行比较,并根据公司预算以及行业标准最终确定选用哪一个产品。当然SIEM厂商也能够根据所列项目对比自己产品中不足的地方,不断进行优化。
*参考来源:infosecinstitute,FB小编Carrie编译,转载请注明来自FreeBuf(FreeBuf.COM)0day
文章评论