使用SIEM保持云基础架构安全

如果代替构建处理和收集日志和安全事件的解决方案,您可以通过加密的频道将问题推向云?因此,您将轻松了解有关贵公司威胁的详细报告。

在本文中,我们将研究SIEM(安全信息和事件管理)的主题,并解释SIEM是什么以及我们从这种系统中获得的内容。我们还将列出一些有用的原则,在云模型中有用。

那么,骚动是什么?

Siem是一个多组件安全系统,用于监控和分析,旨在帮助组织检测威胁并减轻攻击的影响。它结合了一个相干系统下的几个学科和工具:

  • 日志管理系统(LMS) –用于传统日志收集和存储的工具。
  • 安全信息管理(SIM) –专注于从多个来源收集和管理安全相关数据的工具或系统,例如防火墙,DNS服务器,路由器和防病毒。
  • 安全事件管理(SEM) –基于主动监测和分析的系统,包括数据可视化,事件相关和警报。

Siem是今天用于管理系统的术语,该管理系统将所有上述元素组合到一个平台,该平台知道如何从分布式源自动收集和处理信息,将其存储在一个集中位置,比较各种事件并根据此信息生成警报。

暹粒随着时间的推移

暹粒不是一种新技术。该平台’S核心能力以各种形式存在近15年。以前,暹粒依赖于本地部署,获得统一的概述。这意味着硬件升级,数据分析和缩放问题需要常量调整以实现最大性能。现代暹粒工具专注于云托管提供商的本土采购支持。它们还收集端点数据,例如父/子进程,以提供对差别的检测支持–对遵守至关重要。

为什么我们需要暹粒?

没有人怀疑信息系统的攻击数量和各种攻击是不断发展的。系统和网络监控始终在保护攻击方面发挥了关键作用。多年来,许多相互关联的攻击方法和技术已经发展出来,很快就会变得显而易见的是,网络犯罪的变化性意味着一些威胁经常被忽视。

对于安全分析师,暹粒系统是IT环境的中央方向性点。通过集中测量系统健康和安全性的所有数据,您可以具有所有进程和事件的实时可见性。能够从多个系统中关联日志并在一个视图中展示它们是暹粒的主要优势和好处。

由于个人事件缺乏上下文,许多复杂的事件可能会被第一层安全性忽视。在SIEM系统和报告机制中设置的规则有助于组织检测有助于更复杂的攻击或恶意活动的事件。此外,可以自动对持续的攻击作出反应并减轻其效果。

将暹粒移动到云端将获得什么?

基于云的解决方案提供了在基于内部内部和基于云的系统中使用各种数据集的灵活性。随着越来多的公司开始在基础架构等型号中工作(IAAS),平台作为服务(PAAS)和软件作为服务(SAAS),与第三方系统的易于集成显示云中的SIEM更有意义。将SIEM移动到云中最重要的好处是混合架构,自动软件更新,简化配置,可扩展基础架构,将系统调整到各个需求以及高可用性的大可能性提供的灵活性。

5规则,帮助在云模型中实施暹粒

为了充分利用SIEM的潜力,特别是为企业的版本,您需要一个良好的行动计划和大量的预防措施和警惕。通过正确实现,暹粒可以将IT部门从基于基于基于基于基于基于基于基于基于基于信息的模型转换为信息中心模型

在云中实施和管理SIEM增加了可访问性,效率和易于管理,但与任何技术一样,它有一些缺点和陷阱。通过以下几个简单规则,您可以避免它们:

1.定义您的目标并对它们进行调整

在实施之前,回答这5个问题:

  1. 你需要什么暹粒?兼容性问题?那边吗?漏洞检测?
  2. SIEM应该如何实施以满足您的期望(暹粒应涵盖哪些流程,功能和属性)?
  3. 应记录,分析和报告什么?
  4. 什么应该是正确且经济有效地满足您的业务需求的规模?
  5. 应该监控的数据在哪里? 

2.增量使用。

成功的最快方式是以小步骤开始扩大您的范围。在某些情况下,这可能意味着从管理日志并在了解要求,卷和需求时立即添加SIEM。现在,当作为服务的安全性启用灵活和可扩展的方法时,起点可能是在规则和标准范围内启动SIEM,您必须遵守或在各个区域,部门或单位内。

3.定义事件响应计划。

您应该计划并定义事件引起注意时要采取的行动。您是否调查,暂停用户,取消激活密码,拒绝某个特定IP地址的服务,或者根据威胁的严重性,漏洞级别或攻击者的身份应用其他纠正措施?明确的事件响应计划允许您管理网络中的漏洞,并确保遵守要求。

4.实时监控7/24/365。

这可能是许多组织的挑战,但黑客醒了。尽管Siem是一个全自动解决方案,但它需要每天24小时不断警惕和监测,并且许多IT部门对此没有足够的资源。在这种情况下,作为服务的安全性与传统解决方案有利,让您在晚上更安静地睡觉。知道安全过程的这一元素可以由专业人士处理,而无需涉及额外的员工和预算,使得云模型中的解决方案值得感兴趣。

5.冷却冰!

在实施和启动SIEM后,您可能会观察到由于恶意软件,僵尸网络和其他安全噩梦,因此可能会遵守完全意外的数字和类型的警报。它’s喜欢在显微镜下观看床上用品。你了解到你被一直在那里的很多奇怪的生物所包围,但是当你采取足够的措施来摆脱它们时,他们结果就像他们看起来那么危险。它与Siem的推出相似。一旦你意识到是什么威胁和如何对其做出反应,你就可以越来越多地做出智能决策并自动化整个过程。

概括

Siem是一个安全平台,该平台处理事件记录并在一个地方收集它们,以附加信息为您的数据提供单个视图。

将暹粒移动到云中最重要的好处包括:

  • 混合架构提供的灵活性
  • 自动软件更新
  • 简化配置,可扩展基础架构
  • 将系统调整到个人需求和高可用性的大可能性

要在贵公司实施暹粒,您需要一个良好的计划和大量的节俭和警惕。记住,像冰一样冷!

 

文章写的 piotr slupski..