SIEM功能如何用于实时分析？

很多企业主要依靠安全信息和事件管理技术(SIEM)来生成周期性、集中的安全报告，这些报告用于合规性目的以及对攻击事件事后检测及调查。不过，大多数SIEM平台其实还能够执行实时分析。

创新互联公司-专业网站定制、快速模板网站建设、高性价比海南网站开发、企业建站全套包干低至880元,成熟完善的模板库,直接使用。一站式海南网站制作公司更省心,省钱,快速模板网站建设找我们，业务覆盖海南地区。费用合理售后完善，十多年实体公司更值得信赖。

这意味着它们可接收最新安全事件日志数据、持续监测和分析所有最近收集的数据，以及确定需要采取进一步行动的事件。这可能涉及更密切地监控特定网络连接、生成警报让安全运营中心人员作出回应，或者调配其他企业安全控制来阻止正在进行的攻击。

现在很多企业正在利用SIEM产品的实时分析功能来更快速检测和阻止攻击，这可帮助减少重大数据泄露和其他攻击活动。下面让我们看看在评估SIEM系统用于实时分析时应考虑的三个因素：

多种分析技术。不同的情况需要不同的分析技术或技术组合。例如，通过基于签名的技术来检测攻击可能比其他方法更快，但这也很容易被攻击者绕过，让其失去效用。

SIEM平台应该支持可查找异常事件、用户行为模式改变、统计异常和其他突发性活动的技术。此外，SIEM产品还应该为每种情况使用正确的技术。

事件关联功能。SIEM最大优势之一是它可发现单个事件的关联部分或者多个日志的相关事件，并结合这些来看到整个局面。例如，网络入侵防御系统可能检测到服务器正受到攻击，但需要访问服务器的操作系统和应用日志来确定攻击是否成功以及发生了什么。

而SIEM平台可自动分析所有这些日志，它们可更详细描述发生了什么。在某些情况下，SIEM平台可发现一系列相关事件，让人类分析师可追踪攻击者在整个公司的活动。

威胁情报支持和使用。威胁情报源可提供有关最新检测到的威胁的信息，例如攻击其他企业的设备的IP地址。SIEM利用威胁情报信息可显著提高其实时分析能力，让攻击检测更快更准确，并让SIEM平台可更好地优先排序其操作。

有些SIEM平台使用供应商提供的威胁情报;其他平台还支持使用第三方威胁情报。这种威胁情报的质量非常重要，质量包括更新频率、是否全面以及精确度。同样重要的是考虑SIEM产品如何利用这些威胁情报，这应该是实时分析考虑的因素之一。不平衡的做法可能会显著增加误报或漏报率，让实时分析事倍功半。

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：创新互联

猜你还喜欢下面的内容