什么是 SIEM(安全信息和事件管理)?
SIEM 是安全信息和事件管理的缩写,是一种集中收集、存储和管理各种设备和软件生成的日志,实时分析以检测安全威胁并在异常事件时发出警报的系统。 SIEM 一词也指用于此目的的软件。
SIEM 的主要功能包括:
事件日志的收集和存储:
SIEM 系统从各种来源(例如防火墙、WAF、防病毒软件、代理服务器、操作系统和应用)收集和存储与安全相关的事件日志。 然而,收集过多的日志会增加操作工作量并使规范化等过程变得复杂。 因此,仔细确定优先级并选择日志源至关重要。
日志数据的规范化:
收集的数据必须在格式和解释上统一,同时消除冗余。 这个过程称为规范化。
跨日志数据的相关性分析:
某些安全威胁无法仅通过单个日志条目来检测。 SIEM 系统会一起分析多个日志条目,以识别单个日志无法显示的模式和威胁。 例如,与暴力攻击相比,密码列表攻击的登录尝试次数要少得多,因此与典型的用户输入错误难以区分。 通过根据源 IP 地址聚合日志并检测来自同一 IP 的不同 ID 的多次登录尝试,SIEM 可以识别密码列表攻击。
警报和报告:
如果 SIEM 识别出表明存在安全威胁的事件,它会向管理员发送警报。 此外,它还生成以可视化方式呈现这些事件的报告,从而改善安全防御的管理和优化。
F5 的 BIG-IP记录了大量与安全相关的数据,并可以与各种 SIEM 工具集成,通过全面的数据分析和威胁检测进一步增强安全措施。