浅析SIEM、态势感知平台、安全运营中心
近年来SIEM、态势感知平台、安全运营中心等概念炒的火热,有的人认为这都是安全管理产品,这些产品就是一回事,有人认为还是有所区分。那么到底什么是SIEM、什么是态势感知平台、什么是安全运营中心,他们之间有什么联系和区别呢? 一、SIEM SIEM英文是security information and event managemen安全信息和事件管理 SIEM是一个由多个监视和分析组件组成的安全系统,旨在帮助组织检测和减轻威胁 一款典型的SIEM产品是将许多其他安全规则和工具结合在一个综合的框架下形成的一个合集。 典型的包括以下模块 日志管理(LMS)——用于传统日志收集和存储的工具。 安全信息管理(SIM)——集中于从多个数据源收集和管理与安全相关的数据的工具或系统。例如,这些数据源可以是防火墙、DNS服务器、路由器和防病毒应用程序。 安全事件管理(SEM)——基于主动监视和分析的系统,包括数据可视化、事件相关性和警报 大多数的SIEM包括以下元素 1、安全数据采集 主要是基于安全日志数据,日志表示在数字环境中运行的进程的原始输出,是提供实时发生的事情的准确图像的最佳来源,因此是SIEM系统的主要数据源。无论是防火墙日志、服务器日志、数据库日志,还是在实际网络环境中生成的任何其他类型的日志,SIEM系统都能够收集这些数据并将其存储在一个中心位置以进行扩展的保留