發展歷程

SIEM（Security Information and Event Management，安全信息與事件管理）是安全運營中心最重要的組成部分之一，對安全運營有所了解的讀者應該對它都不陌生。隨著國內的安全運營逐步從粗放型轉向業務與技術雙輪驅動的精細化運營，SIEM產品也在這個過程中得到了持續發展。下面，我們將結合安全運營中心的演進過程介紹一下SIEM的發展史。企業面臨的主要風險與安全運營中心的演進過程如下圖所示。

萌芽階段

安全運營中心誕生于2000年以前。當時，計算機病毒、特洛伊木馬和惡意軟件大爆發，并在計算機網絡間傳播，給信息安全造成了嚴重破壞。這個時期，為了構建安全防御體系，防火墻、防病毒系統、IDS（Intrusion Detection System，入侵檢測系統）和漏洞掃描系統等各式各樣的新技術應運而生。其中，IDS注重網絡入侵檢測，在這個時期發揮了重要作用。

安全運營中心的萌芽階段主要以防御為主。企業和組織開始制定基于漏洞修復的管理流程，并通過腳本、入侵檢測系統的控制臺和其他自主開發的工具來初步分析安全事件。運營人員使用SIM（Security Information Management，安全信息管理）產品收集IT網絡資源、各類安全產品產生的日志等信息，并進行關聯分析，從海量信息中分析出有價值的安全事件。同時，更關注實時事件監控和應急處理的SEM（Security Event Management，安全事件管理）產品也開始逐漸出現。SIM和SEM的出現，標志著SIEM技術的萌芽。

成長階段

安全運營中心在2010年前后快速發展。隨著互聯網技術的進一步發展，惡意軟件從具有破壞性的僵尸、木馬、蠕蟲開始轉向有針對性的攻擊，并逐漸形成了黑客產業。企業和組織開始意識到，即使部署了防御性的安全技術，網絡入侵也不可避免會發生。基于此，企業和組織將安全運營的工作重點從入侵的檢測轉向信息泄露的檢測、防御與阻斷。然而，SIM和SEM產品仍然各自為政、缺乏聯動，難以形成有價值的、全面系統的安全態勢分析報告，也就難以應對復雜多變的安全威脅。一小部分中小型企業開始構建SIEM系統，用于監測網絡流量、安全設備日志、服務器日志與終端日志，同時建設應急處理流程，并利用大數據技術實現安全態勢感知。

2005年，全球IT研究與顧問咨詢機構Gartner首次將SIM和SEM整合到一起，明確提出了SIEM的概念，為安全運營揭開了新的篇章。Gartner對SIEM的定義是：“SIEM技術通過收集和分析安全事件以及各種其他事件和上下文數據源，支持威脅檢測、合規性和安全事件管理。核心功能是廣泛的日志收集和管理、跨不同來源分析日志和其他數據的能力，以及運營能力（例如事件管理、儀表板和報告）。”

成熟階段

第三代安全運營中心誕生于2020年前后，并且仍在不斷發展中。這個時期的網絡威脅呈指數級增長，典型的如APT攻擊，通常由特定組織對特定對象展開持續的攻擊，具有極強的隱蔽性和針對性。APT攻擊通常會綜合利用受感染的移動存儲設備、供應鏈攻擊和社會工程學等多種手段，復雜性更高，威脅更強。隨著大數據和人工智能等新技術的應用，網絡攻擊開始向智能化、自動化、服務化趨勢蔓延，并日趨復雜。

在這個背景下，網絡安全標準組織和合規性工作也在不斷推進安全產品和實踐的發展，各個企業和組織都在爭先恐后地尋找降低網絡安全風險和限制攻擊影響的最佳方法。安全運營開始從被動防御轉變為主動防御，更注重從防御、檢測、響應和預測四個維度構建網絡安全體系，安全運營“閉環”的概念也隨之形成。安全運營中心開始走向更加體系化的道路。

針對傳統SIEM所面臨的被動分析和響應、事件過載、網絡安全專業技能與人才匱乏等問題，SOAR的概念應運而生。第三代安全運營中心利用安全設備、SIEM和SOAR技術，并結合大數據分析技術和人工智能技術，尋找未知的攻擊向量以及長期未檢測出的攻擊跡象，更加注重通過主動式、智能化的方式實現合規性，而不是簡單地依照合規性法規來提供網絡安全。

技術架構

基于大數據基礎架構的集成式SIEM，對企業和組織所有IT資源產生的安全信息進行統一實時監控、審計分析、溯源取證、周期報告和應急處置，實現了IT資源合規性管理的目標。

一個典型的SIEM技術架構如下圖所示。

SIEM包含如下幾個關鍵技術組件：

1 數據接入：

SIEM強調數據源的多樣性。采集、監測和分析網絡流量、網絡設備日志、主機日志、安全設備日志、應用服務日志等多種數據，結合威脅信息、資產等數據，以支持全網威脅的及時檢測與分析。負責采集數據的組件包括流量探針和日志采集器。流量探針一般用于收集互聯網出口、辦公網出口、數據中心出口的流量信息，包括網絡監測功能的Netflow數據和流量協議解析后的Metadata數據。日志采集器一般用于收集各種日志，日志源一般包括資產掃描系統、漏洞掃描系統和安全設備（例如IDS、防火墻、EDR等）。流量信息和日志統一上送到數據處理組件。

2 預處理：

預處理組件對采集的網絡流量信息和日志進行清洗、轉換與存儲，完成數據的規范化。規范化過程包含對異構系統的日志字段、流量信息向SIEM系統進行映射，補齊用戶信息、資產信息和地理位置信息等。規范化統一了不同模塊的數據模型，提高了數據質量，便于上層組件的分析和檢測。

3 數據總線：

數據總線定義了組件間數據交換的標準，使數據可以在各個組件之間高性能、低延遲地流轉。同時，數據總線還提供了數據訂閱與通知能力。

4 安全大數據平臺：

安全大數據平臺提供強大的計算與分析能力，并為上層應用提供分布式分析引擎，具有高可用、高性能、開放性和可持續演進等特點。通過智能引擎、關聯分析引擎，安全大數據平臺，為威脅檢測組件提供檢測算法和檢測規則的運行環境。

5 威脅檢測：

威脅檢測是SIEM的核心能力，通過網絡流量和日志數據構建檢測算法（例如NTA算法、日志關聯分析算法、用戶行為分析算法等），在關聯分析引擎和智能引擎等多種引擎支撐下，可檢測出內外部攻擊行為。各種檢測算法和分析規則是威脅檢測的關鍵，SIEM不僅支持豐富的在線算法、離線算法和分析規劃，還應該支持自定義分析規則。

6 安全應用：

安全應用是直接向運營人員提供的配置與可視化界面，通常包括安全態勢監控、風險監控、事件分析、響應閉環、資產管理等功能。

技術價值

SIEM可幫助安全運營團隊收集和分析安全數據，管理安全信息和安全事件，并根據預先設定的規則給出通知。SIEM還支持設置符合特定安全問題的規則、報告、告警和儀表板等策略。SIEM能夠幫助安全運營團隊獲得如下優勢：

數據收集：

根據企業安全訴求，收集、監測和分析數據中心、辦公網絡、互聯網出口等區域的網絡流量信息。根據縱深防御訴求，收集各種安全設備的日志。根據資產風險評估的訴求，收集資產管理系統的日志，用于繪制資產畫像。根據辦公安全訴求，收集環境感知系統日志，通過UEBA技術繪制用戶特征。

事件研判：

在收集網絡流量信息與日志后，通過在線/離線學習技術、關聯分析技術，生成安全事件、資產特征、用戶特征、用戶行為基線等，支撐安全分析與事件研判。

安全編排與自動化響應：

SIEM檢測到事件后，可以自動或手動觸發安全響應工作流，按照預先設定好的劇本（Playbook），快速完成調查取證和攻擊遏制。SIEM和SOAR的結合，可以幫助識別正在發生的攻擊活動，并及時采取消減措施，避免攻擊造成嚴重損失。在安全運營由被動防御向主動防御轉變的過程中，SOAR技術把數據感知、安全檢測、響應與處置有機結合在一起，提升了安全運營效率與能力。

指標和報告：

SIEM提供的威脅處置率、阻斷率、高風險資產排行和高風險事件指標，不僅提示安全運營團隊當前的網絡安全狀態，也體現了安全運營團隊工作價值。安全報告則可以快速呈現全局安全風險與脆弱性，更好的支撐運營團隊的工作。

華為實踐

華為安全持續聚焦五大根技術，基于流量、文件、事件、漏洞、威脅信息，構建安全關鍵競爭力。通過SIEM產品的相關技術，對網絡流量、資產、安全設備的日志進行收集、監測和分析，為零信任網絡提供安全分析與持續運營能力。

華為SIEM產品HiSec Insight的產品架構如下圖所示：

• 數據源：提供全面、高效采集日志和流量能力。

• 大數據平臺：基于華為商用Fusion Insight大數據平臺構建，穩定可靠，支持標準加密算法AES和國密算法SM4。

• 安全分析層：提供豐富的異常行為檢測、多維的關聯分析和智能檢測能力。

• 應用層：提供直觀的威脅可視化和快速響應處置能力。

華為安全態勢感知入選了2022年Gartner SIEM魔力象限，也是國內唯一入圍的廠商。至此，華為成為國內唯一連續兩年入圍Gartner SIEM魔力象限的廠商。Gartner分析師認為華為的優勢如下：

?威脅分析能力：威脅分析一直是華為重點投資的領域。其UEBA能力提供了基于對等組的動態檢測。其基于機器學習的實體風險排名反映了資產價值、漏洞風險、攻擊風險等因素。

?豐富的產品生態能力：華為提供網絡檢測與響應、沙箱、誘捕、UEBA、編排與響應、威脅信息等一系列產品集成能力。

?靈活的場景適配能力：華為產品提供多種形態，包括軟件、硬件和虛擬化部署，還可以通過華為公有云或私有云進行托管，可按需靈活選擇。