2022年04月08日
现在IT安全软件产品比任何时候都更加多样化,安全信息和事件管理产品也面临来自新的安全编排自动化与响应产品的竞争。
不过,随着这两种产品不断发展,它们已经变得越来越具有互补性,而不是竞争性。 SIEM提供广泛的日志支持,但需要进行精心的调试和手动修复。而SOAR则提供强大的自动化和自治能力,但要依靠连接器和剧本才能发挥作用。
这两种产品都具有相似的功能,它们之间的互补性使得这两种技术可以协同工作,并扩展和改善改进企业的安全状况。当管理员在评估SIEM与SOAR时,应该考虑以下因素:
什么是SI
2022年04月08日
SIEM(安全信息和事件管理)堪称企业安全运营的发动机,它不但从IT基础架构中的海量信息资源中收集和分析各种活动,同时也是安全自动化、DevSecOps、下一代SOC等安全管理和运营的基础。
SANS 2019年的报告(下图)显示,超过70%的大型企业仍然依赖安全信息和事件管理(SIEM)系统来进行数据关联、安全分析和运营。此外,很多企业的安全运营中心(SOC)团队还围绕SIEM配备了用于威胁检测/响应、调查/查询、威胁情报分析以及流程自动化/编排的其他工具。
没有人怀疑SIEM的重要性,
2022年04月08日
组织机构部署的安全信息和事件管理系统,以确保网络安全,减少攻击者入侵的可能性(SIEM)实时收集、分析和预警进出网络的行为,SIEM该系统将涉及大量的日志收集设备。但也有另一种可能性,攻击者可以对抗SIEM系统中的日志收集设备形成虚假日志,干扰SIEM安全行为监测的目的。本文将探讨内网攻击者如何对日志收集设备发起虚假日志攻击。本文仅分享思路,不代表实战观点。1. 理论思路要对SIEM系统日志收集设备形成虚假日志有两个主要步骤: