订阅业界RSS CSDN首页> 业界

SIEM的核心:日志分析管理

发表于2014-10-27 15:22| 来源互联网| 作者互联网

摘要:进入信息化时代的今天,人们对信息安全重要性的认识越来越深刻。而如何保证信息安全,防止内鬼的盗用和黑客的威胁,是每个企业或组织面临的难题。

进入信息化时代的今天,人们对信息安全重要性的认识越来越深刻。而如何保证信息安全,防止内鬼的盗用和黑客的威胁,是每个企业或组织面临的难题。一直以来,对安全信息进行分析、关联、取证被认为是最常见也是最有效的手段。也被认为是安全信息和事件管理(SIEM)的主要任务。

SIEM的核心:日志分析管理 

自从计算机系统诞生,日志分析就作为故障诊断的手段之一,也就有了日志管理一说。但初期的日志管理,大多以收集IT网络资源产生的各种日志,统一存储,以备查询为目的。到了上世纪90年代末期,出现了SIM(Security Information Management - 安全信息管理)和SEM(Security Event Management - 安全事件管理)两个技术。这些技术建立在最早的日志管理之上,并更多地关注日志采集后的分析、审计、发现问题。当时在产品化方面还比较初级,多见于研究领域。直到2005年,Gartner提出了SIEM的概念,首次将SIM和SEM整合到了一起,强调SIM关注于内控,包括特权用户和内部资源访问控制的行为监控,合规性管理;而SEM则关注于内外部的威胁行为监控,安全事故应急处理,更偏重于安全本身。从此,日志分析管理才算掀开了新的篇章。

作为全球领先的IT管理解决方案提供商,ManageEngine对日志管理领域同样进行了持续的关注与研究,并提供了相应的SIEM工具。ManageEngine安全专家认为好的日志管理解决方案,必须解决客户在合规性、运维支撑、威胁检测、取证分析方面的需求,除了集中管理、存储来自企业和组织中所有IT资源(包括网络、系统和应用)产生的安全信息(包括日志、告警等)外,还应能够实时监控、历史分析、审计分析、调查取证、出具报表。鉴别出来自外部的入侵和内部的违规、误操作行为,从而实现IT资源合规性管理的目标,提升企业和组织的安全运营、威胁管理和应急响应能力。

在国外,IT环境及IT行为合规性的重要性,早就得到政府、机构和企业的认可。而日志分析和审核被认为是达到合规性的一个重要手段和途径。因此在构建IT环境时,除了采购所需的硬件设备之外,还会配备必要的软件产品。而国内,用户大都集中在硬件投资上,而忽略了配套软件或监管手段。即使有的单位上了相应的项目,大多也以SOC为主,搞所谓的高大全、华而不实,起不到应有的作用。据权威机构对来自58个国家的数万份问卷调查统计,有超过52%的IT机构依然靠人工或者自制脚本进行日志管理,而采用专用解决方案管理日志的IT机构不足48%。在国内部署专用解决方案的数量要远低于该数值。

就日志分析而言,实现异源日志的全面收集、海量存储,通过强大的分析、搜索引擎,为用户提供多方位、全视角的分析报表,才能满足SIEM的核心管理要求。从而为客户带来实实在在的管理效益。