信息來源：51CTO

一定規(guī)模的安全公司幾乎都會有套昂貴的SIEM系統(tǒng)。出于各種原因，SIEM曾經(jīng)一度處于安全運營和事件響應(yīng)的中心位置。但隨著時間流逝，安全運營工作流越來越復雜，公司企業(yè)能從SIEM中獲得的價值已大不如前。但這并不是說公司企業(yè)應(yīng)馬上完全摒棄SIEM。

事實上，正好相反，公司企業(yè)應(yīng)敦促SIEM提供商滿足2018的安全運營需求，而不是二十年前的。而一旦這些遺留系統(tǒng)真的達不到當今的要求，可能也就到了該換個選項的時候了。

基于此，特給出和傳統(tǒng)SIEM說再見的10個理由：

1. 攻擊不是線性的

大多數(shù)SIEM按行呈現(xiàn)其攝入的數(shù)據(jù)。換句話說，線性輸入線性出。然而不幸的是，攻擊者和攻擊本身卻并不總是線性的。瞪著一張事件列表并不能幫你找出可疑或惡意行為。

2. 關(guān)注數(shù)據(jù)價值而非其數(shù)量

人們總想把所有能接入的數(shù)據(jù)源上的數(shù)據(jù)都收集起來。但你有沒有想過這些源對安全運營有沒有價值呢?如果沒有，還有必要收集了存起來嗎?收集來的每份數(shù)據(jù)都會縮短現(xiàn)有存儲空間的壽命，降低調(diào)查分析的效率。數(shù)據(jù)收集應(yīng)更聰明些，而不是更努力些。

3. 太多工具

大多數(shù)安全公司持有的安全工具數(shù)量都十分驚人。有這么多工具可用的同時，需要每種工具滿足多種不同操作需求的時代也來臨了。隨著安全運營行業(yè)的成熟，對SIEM的要求已超出了大部分傳統(tǒng)供應(yīng)商的能力范圍。

4. 內(nèi)部流量

包括SIEM在內(nèi)的很多安全解決方案，都重度依賴邊界流量來提供可見性。但很不幸，邊界內(nèi)部也是有很多很重要的東西的。橫向移動、內(nèi)部應(yīng)用誤用和憑證竊取之類的事通常都發(fā)生在公司內(nèi)部。然而，公司內(nèi)部恰恰是很多公司企業(yè)都難以獲得足夠可見性的地方。視而不見或不聞不問要不得。

5. 數(shù)據(jù)切分

大多數(shù)安全分析員通常都有才、聰明、有創(chuàng)造性。他們需要能夠構(gòu)建復雜查詢的工具來切分數(shù)據(jù)，以便能夠調(diào)查可疑行為，并發(fā)現(xiàn)其他需要注意的活動。另外，速度和效率也很關(guān)鍵。不應(yīng)該耗費數(shù)小時才可以知道給定類型的行為是否曾經(jīng)出現(xiàn)過。

6. 關(guān)聯(lián)

安全團隊需要工具將相關(guān)事件關(guān)聯(lián)起來。至少安全工具應(yīng)該是輔助而不是阻礙分析師做這些關(guān)聯(lián)。除此之外，現(xiàn)代工具還應(yīng)能在分析師著手之前就自動關(guān)聯(lián)某些相關(guān)數(shù)據(jù)。

7. 上下文

描述清楚事件可以讓安全團隊做出及時準確的決策。這涉及到從不同數(shù)據(jù)源收集各種支持性證據(jù)揉合成重要的上下文，而不是直接拋出缺乏上下文的事件。不支持這種程度的調(diào)查自由度，或者沒辦法自動化其中一部分工作的工具，在2018年是沒有市場的。

8. 更智能的內(nèi)容構(gòu)建

無論公司企業(yè)的檢測技術(shù)多么緊跟潮流常換常新，總有改進的空間。如果你已經(jīng)有了精英安全團隊，他們很可能會對傳統(tǒng)SIEM系統(tǒng)那有限的分析和查詢能力感到絕望。他們腦中有關(guān)新檢測技術(shù)的構(gòu)想，需要現(xiàn)代工具幫助他們挖掘出來并加以實現(xiàn)。

9. 更平滑的調(diào)查

只要用過傳統(tǒng)SIEM調(diào)查事件，就會很快發(fā)現(xiàn)這調(diào)查過程磕磕絆絆一點都不平滑。今天的調(diào)查要求工具擁有足夠的靈活性和功能性，要能對各式各樣的大量數(shù)據(jù)做深入查詢。

10. 新方法

人工發(fā)展警報邏輯是非常重要的活動，但也有可能是效率極低的做法。自動化分析方法已經(jīng)成熟到了可以產(chǎn)出價值附加警報的程度，為安全運營工作流帶來效率。當然也有工具并不具備足夠的分析嚴謹性，會產(chǎn)生大量誤報和噪音。不過，有一部分精選工具可以產(chǎn)生人類可能沒識別出的高保真可靠警報。雖然步伐緩慢，但這一功能必然會成為現(xiàn)代安全團隊必備品。