你确定了吗 SIEM目标?
您是否创建了需要解决的需求列表?
您有数据要求清单吗?
您已经在记录哪些数据?
您是否有未记录但应记录的内容的列表?
您如何配置SIEM工具以满足您的需求,并更好地了解您当前遇到的问题?
许多安全解决方案都通过简单网络管理协议(SNMP)提供实时报告。它们包括API或数据导出系统,可以帮助您将现有工具中的数据获取到SIEM平台中进行分析。正确使用后,SIEM工具可以帮助您识别异常并快速有效地响应安全漏洞。
但是,如果您日志记录过多或不确定如何处理日志记录,则可能会 摩洛哥电话号码列表 发现自己不知所措。了解您正在查看的内容并了解“基线”是什么至关重要,因此您可以发现正常活动的变化。
SIEM用例
SIEM部署可以采用的一些常见示例包括:
帐户受损: 如果工作人员在办公室登录,然后在20分钟后从400英里外登录,则该帐户可能会受到损害。
内幕威胁: 具有特权凭据的系统管理员或工作人员在办公时间以外(在家)登录时,可能会尝试渗出数据。
蛮力尝试: 传统的黑客尝试(例如蛮力,“通过哈希”或“金票”)通常在日志中非常明显。
网络钓鱼尝试: SIEM可用于确定谁进行了网络钓鱼尝试,以及是否有人点击了网络钓鱼链接,如果帐户被破坏,则提供了培训或采取补救措施的机会。
违规后的补救措施: 如果确实发生了漏洞,即使不是通过上述矢量之一,SIEM也可能会提醒管理员更改服务器的配置,甚至不会出现内存使用或处理器使用高峰。这可能会提醒团队发生漏洞,使他们有时间锁定系统,诊断问题并采取补救措施。
恶意软件: SIEM可用于监视文件更改,如果恶意软件感染开始对通常无法访问的文件进行加密,则通过发出警报来充当勒索软件的附加防御线。
SIEM在合规性中的作用
SIEM结合了日志记录和分析功能,可帮助公司保护其系统并帮助他们 遵守隐私 规定。需要澄清的是,SIEM本身并不是合规工具。但是,SIEM仪表板会提醒管理员注意指示未经授权或恶意活动的威胁和问题。知识是网络安全的重要组成部分,SIEM可以让管理员掌握进行强大防御所需的知识。