什麼是SIEM？

SIEM(安全信息和事件管理)是一個由不同的監視和分析組件組成的安全和審計系統。最近網絡攻擊的增加，加上組織要求更嚴格的安全法規，使SIEM成爲越來越多的組織正在採用的標準安全方法。

但是SIEM實際上涉及到什麼呢?它由哪些不同的部分組成?SIEM實際上如何幫助減輕攻擊?本文試圖提供一種SIEM 101。後續文章將深入探討一些可用於實際實現SIEM的解決方案。

1、爲什麼我們需要SIEM?

毫無疑問，對計算機系統的攻擊不斷增加。Coinmining, DDoS, ransomware，惡意軟件，殭屍網絡，網絡釣魚——這只是今天那些正義之戰所面臨的威脅的一部分。

有趣的是，正如賽門鐵克(Symantec)在其2018年互聯網安全威脅報告中所指出的那樣，不僅攻擊數量在上升，使用的途徑和方法也在上升:

“從WannaCry和Petya/NotPetya的突然傳播，到造幣商的迅速增長，2017年再次提醒我們，數字安全威脅可能來自新的和意想不到的來源。”隨着時間的推移，不僅威脅的數量在不斷增加，而且威脅的範圍也變得更加多樣化，攻擊者會更加努力地尋找新的攻擊途徑，並在此過程中隱藏自己的蹤跡。

系統和網絡監控在幫助組織保護自己免受這些攻擊方面一直髮揮着關鍵作用，多年來已經發展了一些相關的方法和技術。然而，網絡犯罪性質的變化意味着一些攻擊往往會被忽視，這一點很快就變得顯而易見。數據融合，即來自多個數據源的數據的聚合和不同事件之間的相關性，以及長時間保留這些數據的能力變得至關重要。

網絡攻擊的增長導致合規要求更加嚴格。健康保險流通與責任法案(HIPAA),支付卡行業數據安全標準(PCI DSS),薩班斯-奧克斯利法案(SOX),和一般的數據保護監管(GDPR)——所有的這些都需要組織來實現一組全面的安全控制,包括監測、審計和報告,所有這些都促進了SIEM系統。

2、定義與演變

簡單地說，SIEM是一個由多個監視和分析組件組成的安全系統，旨在幫助組織檢測和減輕威脅。

如上所述，SIEM將許多其他安全規程和工具結合在一個綜合的框架下:

日誌管理(LMS)——用於傳統日誌收集和存儲的工具。

安全信息管理(SIM)——集中於從多個數據源收集和管理與安全相關的數據的工具或系統。例如，這些數據源可以是防火牆、DNS服務器、路由器和防病毒應用程序。

安全事件管理(SEM)——基於主動監視和分析的系統，包括數據可視化、事件相關性和警報。

SIEM是今天的術語管理系統,所有上述合併到一個層,知道如何從分佈式自動收集和處理信息的來源,將它存儲在一個集中位置,不同事件之間的關聯,並根據這些信息生成警報和報告。

3、SIEM組件

SIEM不是一個單獨的工具或應用程序(儘管有一些工具可以幫助部署SIEM系統，見下文)，而是一組不同的構建塊，它們都是系統的一部分。沒有標準的SIEM協議或已建立的方法，但是大多數SIEM系統將包含本節中描述的大部分(如果不是全部的話)元素。

3.1聚合

日誌表示在數字環境中運行的進程的原始輸出，是提供實時發生的事情的準確圖像的最佳來源，因此是SIEM系統的主要數據源。

無論是防火牆日誌、服務器日誌、數據庫日誌，還是在您的環境中生成的任何其他類型的日誌，SIEM系統都能夠收集這些數據並將其存儲在一箇中心位置以進行擴展的保留。此收集過程通常由代理或應用程序執行，部署在監視的系統上，並配置爲將數據轉發到SIEM系統的中央數據存儲。

3.2處理和標準化

在SIEM上下文中收集數據的最大挑戰是克服各種日誌格式。從本質上說，SIEM系統將從大量層(服務器、防火牆、網絡路由器、數據庫)中提取數據，每種記錄的格式都不同。

看看下面的例子:

這兩個日誌消息報告的是同一個事件——特定用戶(您的真實用戶)和客戶機IP的身份驗證失敗。注意時間戳字段的格式、用戶的日誌記錄方式和實際消息的不同。

爲了能夠跨不同源和事件相關性高效地解釋數據，SIEM系統能夠規範化日誌。這個規範化過程包括將日誌處理爲可讀的結構化格式，從日誌中提取重要數據，並映射日誌中包含的不同字段。

3.3關聯

一旦收集、解析和存儲，SIEM系統中的下一步將負責連接這些點並關聯來自不同數據源的事件。這種關聯工作基於各種SIEM工具提供的規則、爲不同的攻擊場景預定義的規則，或者由分析人員創建和調整的規則。

簡單地說，關聯規則定義了一個特定的事件序列，該序列可能表示安全性受到了破壞。例如，可以創建一個規則來確定在一段時間內從特定IP範圍和端口發送的請求數量何時超過x。

環境中記錄的數據量非常大。即使是中小型組織也很可能每天發送數十gb的數據。實際上，規則通過消除干擾並指向可能有意義的事件，幫助將數據壓縮爲更易於管理的數據集。

大多數SIEM系統還提供生成報告的內置機制。這些報告可以用於管理、審計或合規性原因。例如，可以將詳細描述觸發警報或規則的每日報告嵌入到儀表板中。

3.4呈現

可視化數據和事件的能力是SIEM系統中的另一個關鍵組件，因爲它允許分析人員方便地查看數據。包含多個可視化或視圖的儀表板有助於識別趨勢、異常情況，並監控環境的總體健康或安全狀態。一些SIEM工具將附帶預先製作的儀表板，而另一些工具將允許用戶創建和調整自己的儀表板。

3.5緩解和修復

一旦相關規則就位，並監視構建的儀表板以提供系統的全面概述，SIEM系統的最後一個關鍵組件就是一旦識別事件如何處理。

大多數SIEM系統支持自動包含和減輕安全事件的機制。例如，根據相關規則，可以將SIEM系統配置爲自動啓動內部升級流程——執行腳本，這些腳本通過觸發警報、打開票證等來啓動包含進程並將球傳遞到組織中的正確資源。

4、那麼，SIEM如何提供幫助呢?

我們已經定義了什麼是SIEM，並且對組成SIEM系統的主要組件有了大致的瞭解。但是SIEM系統實際上是如何幫助安全分析人員識別和阻止攻擊的呢?

4.1可見性

對於安全分析人員來說，SIEM系統是他們所保護的IT環境的焦點。SIEM系統集中收集來自所有相關數據源的安全數據，存儲大量信息，可以使用這些信息瞭解實時發生的事件和流程。

獲得的可見性程度直接受到作爲SIEM系統一部分的日誌聚合和收集過程的影響。如上所述，如果沒有適當的處理和解析，日誌數據將缺乏結構，因此將更加難於分析。

SIEM系統的另一個主要優點是能夠將事件關聯起來並在儀表盤中可視化數據，這爲分析人員提供了一種獲得實時可見性的方法。

4.2事件檢測和緩解

許多事件不會被第一行安全設備注意到，因爲它們沒有更廣泛的上下文。SIEM相關規則以及圍繞它們構建的報告機制可以幫助組織在發生這些事件時得到通知。

在DDoS攻擊的例子中，防火牆很可能報告異常的網絡流量，而web服務器請求則報告來自特定ip組的請求的404響應。

在這種情況下，緩解可能只是指示防火牆阻止來自這些ip的通信，可以將SIEM規則配置爲在這兩個事件之間進行關聯，並向相關資源發出警報，以便在早期阻止攻擊。

4.3合規

當今大多數合規性類型，如HIPAA、PCI DSS、SOX和GDPR，都要求組織遵守一系列的安全控制。這些控制包括:日誌收集、監視、審計和警報。

不用說，從上面的描述中已經很清楚，SIEM系統爲所有這些文章提供了支持，這也是SIEM成爲實現安全性和合規性的行業標準的原因之一。

5、下一個什麼?

這篇文章更多的是理論，而不是實踐。組織正在實現SIEM，以保護其環境，並遵從越來越多的合規類型。一旦組織將SIEM的需求內在化，下一個自然階段就是規劃技術實現。

可以使用各種工具和平臺來實現SIEM，包括專有的(AlienVault、QRadar、LogRhythm)和開源的(OSSIM、OSSEC、ELK)。在以後的文章中，我們將討論這個精確的主題，概述不同的解決方案及其優缺點。

作者：Threathunter
鏈接：https://www.jianshu.com/p/f7330951e1ef
來源：簡書
著作權歸作者所有。商業轉載請聯繫作者獲得授權，非商業轉載請註明出處。

什麼是Auditbeat？

Auditbeat 可以從主機收集審計數據。其中包括進程、用戶、登錄、套接字信息、文件訪問等等。

安裝Auditbeat

點擊windows查看安裝方法

點擊下載選擇最下面的64位安裝包

解壓到C:\Program Files下並重命名爲Auditbeat

以管理員身份運行PowerShell
輸入下列內容，直接複製就行

cd "C:\Program Files\Auditbeat"
.\install-service-auditbeat.ps1

但我這裏遇到一個問題，無法加載文件 C:\Program Files\Auditbeat\install-service-auditb
eat.ps1

百度了下解決方法，直接輸入set-executionpolicy remotesigned然後輸入Y就行了

安裝完成後還要修改一下配置文件

只需在setup.kibana:下添加hosts: ["127.0.0.1:5601"]即可

然後回到cmd終端輸入以下內容