什么是安全信息和事件管理（SIEM）？

安全信息和事件管理（SIEM）这个术语用来描述一类特定的解决方案，这类解决方案可以帮助企业提前解决安全问题和漏洞以免运维中断。

在自动化的帮助下，企业可以使用 SIEM 系统来简化威胁检测和事件响应过程中涉及的许多手动流程。SIEM 软件可以编译和聚合安全设备、网络基础架构、IT 系统和应用产生的事件数据，以便这些数据可被用于快速创建自动和手动安全响应。

SIEM 系统在不同供应商和部署之间有显著差异，但它们通常可与其他安全防护系统协同工作，例如入侵检测和防护系统（IDPS）。SIEM 系统主要包含四大核心功能：

• 日志管理： 收集、存储和分析计算机生成的日志文件，以监控和审查系统活动。
• 事件关联和分析： 实时分析并交叉引用日志和事件数据，以识别模式、异常和潜在的安全威胁。
• 事件监控和安全警报： 检测未经授权的活动并通知管理员，并将这些活跃的进程汇总到一个仪表板中。
• 合规管理和报告： 用系统化的流程收集和分析数据，确保企业符合特定的监管标准，并生成报告以记录合规性。由于企业的大部分数据都会经过其 SIEM 系统，因此它也是用来生成最新合规报告的理想选择。

从聚合到警报

首先，SIEM 系统会监控硬件或软件设备的事件日志，每当设备观察到变化时，就会生成一个事件。为此，SIEM 系统会从存储器访问设备的日志文件，或使用事件流协议来监控网络数据。 

一旦获取这一事件数据，SIEM 系统就会：

• 在一个日志流过程中整理和聚合数据。尽管这一过程在 SIEM 系统之间各不相同，但首先做的通常是滤除噪声，例如将那些在预期参数下运行的设备所发出的报告排除在外。 
• 对各种事件日志进行索引，以将数据分类，并启用搜索和事件连接。
• 分析收集的事件数据，以寻找模式并建立关系，从而识别漏洞和可疑事件。
• 根据通常由管理员手动提供的规则，将分析的数据与安全威胁关联起来。这个过程中的每一步（排序、索引和分析）都有助于实现关联，而这是 SIEM 的核心安全功能。 

例如，如果 SIEM 系统发现因密码错误而出现了 1000 次登录失败，它可以将该活动与某种类型的安全威胁相关联，并创建警报，然后由人类专家或自动化系统采取行动。

SIEM 托管类型

由于收集的数据具有敏感性，SIEM 系统在传统上是托管于本地的。然而，维护这些本地系统成本很高，因为它们需要使用专门的软件，并由安全防护人员监督。 

为了避免这种复杂性，许多企业不得不去寻找其他的方案。与当今混合云世界中的大多数系统一样，SIEM 可以作为本地安装的软件、云端自助管理流程，或通过云提供商或托管安全服务提供商提供的托管服务（SIEM 即服务）来交付。许多 SIEM 解决方案也可以分割为一个混合模型，部分数据（也许是较为敏感的数据）驻留在本地，而其他数据则存储在云端。

例如，企业可以使用一项本地服务来收集和聚合安全防护数据，同时使用一项云托管 SIEM 即服务来执行关联过程。 

托管 SIEM 解决方案并没有哪个方法绝对正确。在决定选择哪种策略时，企业应考虑以下几个问题：

• 企业是否存在现有的 SIEM 基础架构？是否与托管服务兼容？
• 企业是否有任何安全顾虑或监管要求，导致无法将数据从本地转移到云环境中？  
• 您的安全防护人员是否是 SIEM 专家，或是否能够通过培训来成为 SIEM 专家？或者，租用 SIEM 功能即服务也许更具有可行性？
• 您是否有一套自动化解决方案，能够在整个混合云环境中原生运行，包括本地数据中心、不同的云和边缘位置等所有环境？

威胁检测

SIEM 可以持续分析日志和事件数据以产生警报，帮助识别异常或潜在的恶意活动。这种方法有助于安全团队检测威胁，如未经授权的访问、数据泄露或恶意软件攻击，并且迅速做出反应以缓解问题。

数据汇总

SIEM 可以汇总来自各种系统和应用的数据，为企业 IT 环境提供一个统一的视图。这种集中化能够简化系统审核、网络优化和故障排除。凭借一站式仪表板，它还能提供关于技术资产性能和健康状况的深度洞察，支持明智的决策和长期规划。

合规管理

许多监管要求规定严格执行敏感数据的日志记录和报告。SIEM 系统可以自动地收集数据并生成全面的合规报告，帮助企业符合法律和监管标准。

响应质量

SIEM 可以提高事件响应的速度和质量。当安全事件发生时，了解上下文对于有效解决问题至关重要。SIEM 系统可提供详细的信息，例如事件发生之前、期间和之后出现的情况，事件响应团队可以利用这些信息来采取更有针对性的行动，更加高效地解决问题。

安全团队有时会因为 SIEM 解决方案管理和聚合的数据太多而不堪重负，特别是许多误报的事件会浪费团队的大量时间。为了充分利用 SIEM 系统，必须有效验证系统生成的警报并迅速进行补救。

安全防护自动化可以简化 SIEM 解决方案的运行和维护。自动执行任务可以减少手动开销，提高系统的运行效率，并且减少错误数量。它还有助于缩短对所检测威胁的响应时间，并提高安全防护流程的一致性。自动化能够消除人为的可变性，确保更严格地遵守安全性协议，从而提高 SIEM 系统的整体可靠性。

自动化可以简化安全运维团队（SecOps）和安全分析师之间的协作。它可以将活动日志记录和信息收集到一个地方，使分析团队能够直接访问数据或修复问题，从而加快对安全事件的响应。

红帽® Ansible® 自动化平台是一个无代理工具，有助于在整个企业范围内方便地利用自动化。Ansible 自动化平台使用 Playbook、本地目录服务、聚合日志和外部应用来帮助 IT 团队自动执行安全防护解决方案。使用 Ansible 自动化平台后，团队就拥有了更多便捷的工具，能够以协调、统一的方式调查和应对威胁。

这样，企业就可以利用 SIEM 系统来完成更多工作，包括：

• 补救： Ansible 自动化平台允许企业对 SIEM 中的调查和补救任务进行自动化。
• 互操作：Ansible 自动化平台可充当一个连接纽带，使 SIEM 系统众多的组成部分有机地连接在一起。通过实现化安全防护功能的自动化，企业可以协调多个不同的安全防护解决方案，以统一的方式更快地应对网络攻击。  
• 整合和集中管理日志： 与第三方外部日志聚合服务集成，可以帮助安全团队发现趋势、分析基础架构事件、监控异常情况并将不相干事件关联起来。
• 简化：Ansible 自动化平台使用一种简单的人类可读语言，因此无需专门的编程技能，就能确保任务以正确顺序执行。这样一来，安全专家无需专门培训，就能与 SIEM 系统进行交互。
• 提升效率： 采用无代理架构，让企业能够更快部署解决方案，省去了代理更新工作，或避免因为代理漏洞而遭到利用。这种方法可减少 SIEM 系统的安全暴露。
• 现代化：Ansible 自动化平台允许企业在 DevSecOps 工作流中集成 SIEM。

Event-Driven Ansible

由于 SIEM 系统会生成大量分析数据，因此还需要一种能够处理这么多数据的解决方案。Event-Driven Ansible 是一个企业级事件驱动自动化解决方案，包含了与 SIEM 系统直接相关的功能：

• Event-Driven Ansible 控制器支持编排多个 Ansible Rulebook，并提供单个界面来管理和审核所有事件源（如 SIEM 系统）的每一个响应。
• 可与 Ansible 自动化平台中的自动化控制器集成，允许企业使用已经构建的现有工作流，将现有的、可信的自动化扩展到事件驱动的自动化场景中。
• 事件限流允许企业使用响应式方法或被动方法来处理“事件风暴”。这种方法可以更好地控制在何时以何种方式执行操作来响应众多事件（例如 SIEM 系统会在安全事故期间生成大量事件）。