信息化觀察網(wǎng)

security information and event managemen安全信息和事件管理，我們統(tǒng)稱為SIEM，

SIEM解決方案已成為企業(yè)網(wǎng)絡安全不可或缺的組成部分。但由于SIEM功能過于復雜且架構難以理解，企業(yè)往往忽視SIEM的潛在功能。遺憾的是，他們忽視的潛在功能正是解開企業(yè)網(wǎng)絡合規(guī)的重要部分。

例如，處理客戶信用卡信息的企業(yè)需要遵守PCI-DSS要求。SIEM 解決方案可以幫助生成豐富的審計報告，這樣，企業(yè)就不再需要單獨的解決方案來滿足其PCI-DSS合規(guī)需求。

但是，盡管所有軟件供應商都會向您介紹其SIEM產(chǎn)品的功能，但在這里還是建議您在選擇解決方案之前一定對其進行一定的了解。

下面我將和大家一起了解一下SIEM對企業(yè)至關重要的七大功能！

網(wǎng)絡安全監(jiān)控

在SIEM解決方案應具備的關鍵功能之一是網(wǎng)絡安全監(jiān)控功能。企業(yè)內部設備的組成一般都很復雜，例如工作站、路由器、防火墻等。SIEM 解決方案必須可以監(jiān)控不同的網(wǎng)絡設備，識別各類潛在的攻擊威脅或數(shù)據(jù)泄露風險，并讓管理員隨時了解網(wǎng)絡環(huán)境中的具體情況。此外，該解決方案應與威脅源集成，以阻止已知威脅源與您的網(wǎng)絡交互。

用戶和實體行為分析

在大型企業(yè)中，管理員不可能手動監(jiān)視所有用戶。SIEM解決方案必須能夠了解用戶行為基線并得出基線。每當偏離基線時，都應立即提醒管理員。此外，如果該解決方案可以根據(jù)用戶的行為進行風險評分，管理員將更容易識別受感染的帳戶或具有威脅的內部人員。

防止數(shù)據(jù)丟失

企業(yè)每天都需處理大量數(shù)據(jù)，這些數(shù)據(jù)中很有可能包括極其敏感的信息，例如客戶的個人信息、信用卡詳細信息、價格敏感信息等。如果把這些信息存儲在不安全的位置，可能會導致數(shù)據(jù)泄露、被勒索贖金并影響公司的聲譽。識別未經(jīng)授權的非法訪問并提醒其管理員，是SIEM 解決方案的一項重要功能。

云安全

根據(jù)ManageEngine的相關調查，十分之八的IT專業(yè)人員表示，疫情導致“云”使用量增加。盡管云服務擁有諸多優(yōu)勢，并且能夠為企業(yè)帶來諸多便利。但由于內部部署和云架構的差異，可能會對安全性產(chǎn)生巨大影響。

這時候擁有一個可以監(jiān)控云活動并識別潛在威脅的SIEM解決方案就變得尤其重要。它還應該能夠監(jiān)控應用程序使用情況，以及哪些應用程序被禁止使用。

活動目錄審計

監(jiān)視活動目錄對于避免對關鍵資源的任何未授權訪問起著至關重要的作用?；顒幽夸洷O(jiān)控必須是 SIEM 解決方案的重要組成部分，以確保權限的配置符合組織的內部政策和行業(yè)法規(guī)。

威脅情報

威脅情報有助于識別惡意IP、URL、電子郵件地址、域等，從而提供更好的安全上下文并減少威脅監(jiān)測的平均時間。

端到端事件管理

無論企業(yè)的網(wǎng)絡安全系統(tǒng)如何優(yōu)化，網(wǎng)絡安全事件都是不可避免的。但是，SIEM 解決方案需要能夠自動執(zhí)行事件響應，從而減少安全威脅的影響。管理員還應在事件發(fā)生時收到警報。SIEM 解決方案必須能夠關聯(lián)各個事件、識別模式、檢測潛在攻擊并對其做出響應。

SIEM 解決方案可以增強企業(yè)的整體安全態(tài)勢，但重要的是要使SIEM解決方案的功能與企業(yè)的安全需求相匹配。以及，要了解SIEM解決方案的核心功能，才能有效檢測和防御網(wǎng)絡攻擊。