SIEM的三重境界
——ManageEngine安全管理

歷來的網絡攻擊總是會或多或少的留下痕跡，這也讓網絡安全人員得以“順藤摸瓜”，分析安全線索，并追蹤溯源。

對網絡安全事件的分析最早是基于日志數據。傳統上對日志數據的分析方法在面對如今大數據時代下變得異常困難，如何從海量數據中有效識別和分析安全威脅成為重要的發展方向。

安全信息與事件管理(SIEM)通過收集安全日志數據，分析安全威脅，并形成安全報告。近年來SIEM通過不斷融合新技術，成為市場上較為成熟的安全產品，并受到用戶的追捧。

在卓豪華北二區銷售總監吳兆勇看來，SIEM的發展經歷了三次較大的飛躍，相對應地，SIEM產品也形成了三種不同的階段，吳兆勇稱之為“三重境界”。

卓豪華北二區銷售總監 吳兆勇

“第一重境界”如前所述，是基于日志數據的收集和分析，通過多數據源日志的收集、存儲在中央存儲庫中進行監視，并形成報表。其多用于小型或中型企業。

“第二重境界”基于IT合規管理，依靠工程師、網絡專家的經驗，提供直接可用的報表和告警，并形成合規報表、業務細分故障報表、用戶行為報表等。ManageEngine還包括了用戶會話監控和實時AD審計等功能，還可對特權用戶的非正常行為的實時監測及告警。其多用于中型的企業集團。

SIEM的“第三重境界”是要達到日志的智能分析，通過結合機器學習等新技術，形成基于機器學習的用戶行為分析、診斷恢復流程自動化等功能，檢測異常用戶行為。其適用于大型的跨國集團企業。ManageEngine還包括全球超6億個進入黑名單的IP地址，可以進行實時郵件或短信告警和流量錯誤檢測，幫助用戶減輕外部安全威脅；通過安全隱患數據分析，提供統一的安全數據視圖，幫助及時找到漏洞，主動減少安全攻擊。

SIEM對安全信息和事件的管理不僅可以應用于傳統IT環境，同樣可用于工業、醫療等領域。例如，在醫院等應用場景下，通過對員工登錄醫療系統的行為監控，SIEM系統可判斷該員工的行為是否異常，并自動告警，走自動化診斷工作流處理。

在“2018中國工業信息安全高峰論壇”上，卓豪（北京）技術有限公司榮獲“2018年度中國工業信息安全十大用戶信賴品牌”獎。