在今年(2011年)的RSA大會上,有一個關於SIEM的session,說的是建設SIEM系統的三個階段。發言者認爲建設SIEM/SOC這樣的系統不適合一步到位,而應該分階段實施,逐步落實目標計劃。這篇報道講述了發言的業內人士的具體觀點。這個觀點與我們對於SOC在國內建設的觀點是基本一致的。
文章引述作爲某大型聯邦政府部門的人士Nelson的話表示,典型的SIEM實施分爲三個階段:初級階段,成長階段和成熟階段。
在初級階段,主要是受到合規政策的驅動,部署SIEM用於收集和存儲日誌,主要是用於審計。然而,由於缺乏後續資金和人力資源,大部分SIEM用戶 都只是停留在初級階段。Nelson建議用戶在這個階段應該花費半年的時間進行調適。他不建議用戶在這個階段設立過多的目標和期望。"Keep the bar low at the beginning; just get that information in there and get your baseline," he said. "If you try to blow it up all at once at the beginning with the threat and anomoly detection and threat analysis and response, you're going to fail."
【注:在國內有的用戶也可以分爲這三個階段。但是第一階段的動因往往不是合規。不過,在國內我認爲第一階段的目標設定爲將日誌採集上來,存 起來,能查,能出具報表是適當的,也是現實的,與Nelson所提及的內容大體相當。這也是一些人提到的上SIEM之前先上日誌審計(日誌管理)的意思。 也就是SIEM的SIM部分——根據Gartner的劃分。】
在成長階段,就可以進一步發揮SIEM的功能了,主要是SEM的功能,也就是所謂的事件監控功能。【注:根據Gartner對於SIEM的定義,SEM注重監控】Nelson表示,將上下文加入安全信息中很有必要,例如身份信息、網絡信息,等等。【注:Gartner也很強調Context】
而在成熟階段,SIEM的使用過程已經與用戶的IT運維流程整合到一起了,成爲其中的一個部分。Nelson將這稱作“安全的運維化/運營化”(This is where security is operationalized)。
另一位業內人士,作爲政府行業SI的Murphy表示,要實現從初級階段到成熟階段的跨越,識別威脅的優先級十分關鍵。【注:太多重點就等於沒有重點,沒有優先級,就沒有目標,成果就難以取得】"You might have a lot more usable information coming at you than you initially expect; it could be hundreds of things per hour that need to be looked at and addressed in some fashion," he said. "So it is important that there's a really strong prioritization algorithm in place."(你可能採集到比你最初設計的時候多得多的信息,可能每小時就有成百的信息需要你去看。因此你必須要有一個強大的優先級判定算法來幫助 你。)
Murphy表示,劃分優先級不能僅僅針對時間的嚴重性,還應該考慮其他因素,例如事件所作用的資產(業務或應用)的等級、風險因素、時間因素,等等。
最後,這篇文章可以讓我們瞭解歷年RSA大會上對於SIEM的討論內容。可以看出,討論的內容從最初的技術,越來越偏向實施、運維和使用。也體現了SIEM的逐步成熟(包括技術和市場兩個方面)。