SIEM与SOAR 软件评估的主要考虑原由
发布时间:2022-07-20 08:40:55 所属栏目:安全 来源:互联网
导读:现在IT安全软件产品比任何时候都更加多样化,安全信息和事件管理产品也面临来自新的安全编排自动化与响应产品的竞争。 这些工具都声称具有强大的特性和功能,IT团队可以考虑以下SIEM功能,以简化评估过程。 (1) 日志关联和分析。日志互操作性是关键组成部分
|
现在IT安全软件产品比任何时候都更加多样化,安全信息和事件管理产品也面临来自新的安全编排自动化与响应产品的竞争。 这些工具都声称具有强大的特性和功能,IT团队可以考虑以下SIEM功能,以简化评估过程。 (1) 日志关联和分析。日志互操作性是关键组成部分。SIEM工具必须从各种各样的数据源中提取大量日志文件,而日志文件没有统一的标准。 有些日志提供非常详细和细粒度的数据,而另一些日志则可能省略详细信息;有些来源可能会以人类可读的纯文本格式生成日志文件,而其他工具可能会以需要解析器读取的方式对数据进行编码。这里的重点是你选择的SIEM工具应该可在企业的特定IT网络中提取和解释日志。 但是,所提取的日志必须关联。读取多个日志的功能可帮助SIEM工具了解到,某个日志错误可能与网络流量或错误消息相关。SIEM工具价值的基础是解读和关联各种数据的功能。 第三个分析功能是威胁检测,这是SIEM技术的关键限制。SIEM工具必须具有关联的日志数据以识别潜在威胁。某些威胁检测是基于日志错误和相关数据自动进行,但管理员仍应部署其他管理调试和威胁情报,以定义威胁行为或跳过“误报”。 (2) 事件优先排序、通知和警报。SIEM工具检测威胁的能力至关重要,但重要的是,必须及时、有效地将这些威胁信息传达给管理员。通常,在繁忙的IT环境中的SIEM系统每秒可能产生数百甚至数千个问题。 你应该评估SIEM工具在检测到问题并确定优先级时如何发出通知。这些工具可以让管理员为触发的事件配置操作,并向安全团队成员发送实时警报。这里的目的是减少安全事件活跃的时间。减少响应时间有利于关键性能指标,例如应用程序可用性、停机时间和用户满意度等级。 (3) 报告和用户界面。SIEM工具可以提供一系列基本和自定义报告,以满足特定的业务需求。例如,报告可以跟踪指标,例如平均修复时间,并表明安全团队如何发现和修复威胁。 请确保评估UI。很多SIEM工具都提供仪表板式的UI,管理员可以对其进行配置,以显示对企业特别有价值的数据点。管理员和IT经理可能会忽略笨重、不灵活且难以使用的UI,因此请在选择SIEM软件时考虑UI的可读性和可配置性。 (4) 工作流进程。无数的问题和警报很容易导致修复措施不完善和失败的结果。现在越来越多的SIEM工具正在部署工作流进程,以帮助管理员跟踪事件进度,从监视和检测到修复。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号