23 | SIEM:一个人管理好几个安全工具,如何高效运营?
该思维导图由 AI 生成,仅供参考
SIEM 有哪些功能?
- 深入了解
- 翻译
- 解释
- 总结
如何高效运营多个安全工具 本文重点介绍了如何高效运营多个安全工具,特别是SIEM(Security Information and Event Management)在安全体系运营中的重要性和功能。SIEM通过收集、分析和管理各类日志,帮助安全运营人员快速发现并处理安全事件,提高运营效率和质量。文章强调了SIEM的运营导向,指出SIEM的落地需要长期计划和运营能力。SIEM的落地计划通常包括设计、建设和运营三个阶段,需要公司投入大量时间、人力和成本。在设计阶段,需要明确公司对SIEM的需求,并总结出详细的需求列表。建设阶段需要建立短期预期,并快速迭代,以建立正确的预期和增强公司对SIEM项目的信心。运营阶段需要不断满足安全运营需求为导向,持续完善SIEM功能,提升安全运营人员的工作效率。此外,文章还强调了SIEM落地中常见的问题,包括垃圾数据过多、数据维度缺失和人员投入不足。最后,文章总结指出SIEM的落地和生效是一个长期发展的过程,需要做好长期规划、明确需求,一步一个脚印去迭代发展,才能最终将SIEM长期稳定地运营和使用起来。
《安全攻防技能 30 讲》,新⼈⾸单¥59
全部留言(10)
- 最新
- 精选
- leslie个人觉得SIEM的问题与现状和现在对于DBA的需求非常类似:项目的开始和高速发展/后期需要。 和一些企业聊过:数据库上云了就可以不用DBA了,可是过了个2-3年后发现没有还是不行,团队大了数据库又不止一种了没有就更加不行;造成了一个很鸡肋的现状。开始设计阶段需要-能大幅控制和保证效率,中间阶段不需要-数据量不大只能纯监工,高速发展阶段需要-性能优化。 上述是跟着老师学到现在的最现实的感受:互联网安全的事情现阶段确实和数据系统的现状非常类似。 感谢老师的分享:期待后续的更新。
作者回复: 大部分非业务的团队都是这样的现状。开始打个基础,中期就没啥事做了,到后期又需要大规模优化。目前也只能不断去调整团队的方向和规模,来适应公司的发展。
2020-02-103 - 半兽人正好之前看过Google出的书:SRE,运营确实是个比较大的话题,强调开发与运维人员要一起配合。Google干脆直接定义出一个SRE的岗位
作者回复: 运维很重要,但事情又非常的琐碎,想要做好运维还是很不容易的。
2020-03-231 - 小老鼠1,如何评估SIME的ROI来评估是否使用或不使用SIME,若使用是自己开发还是买商用的?2,SIME只有大公司才有可能使用吧?中小型公司没几个安全工貝,没有必要用SIME吧?3,可以使用splunk来建设SIME吗?听说splunk很贵但很好,在SIME用到splunk的企业多吗?
作者回复: 1、安全工作中的ROI都不是很好评估,我们目前主要还是通过拦截和发现的风险等来衡量工作成果。缺点就是,一旦没人攻击你,就没有工作成果了。 2、安全工具足够多了才使用,因为SIEM对数据要求很高。 3、Splunk没接触过,基于ELK自己开发的倒是不少。最终都是自己按需求,累加界面和功能。
2020-03-032 - 爱学习的超人张老师好,我看您提到了很多次“安全运营”,请问安全运营的含义是什么呢?都包含了哪些操作呢?2021-09-181
- 大王叫我来巡山没有一劳永逸,只能不断战斗2020-03-021
- DolphinSIEM和SOC的区别是?2022-05-22
- 亚林大数据工程师上线2021-07-10
- Geek_b8316f老师你好,请问下SIEM与日志审计,态势感知的区别2021-01-161
- 小晏子课后思考:想像一下,如果公司使用了很多安全产品,那么首先需要有个面板能够看到所有安全产品的状态,方便管理; 另外需要SIEM要收集安全产品的用户登录日志,行为日志,查看是否有异常用户,是否有非法操作;还有需要将所有安全产品本身的监控日志关联起来,就像文中说的要能够根据这些数据进行发现追踪;需要SIEM能将所有安全产品的日志按照某一个标准相关关联,方便分析,也要求遇到异常事件报警给相应人员及时排查;2020-02-10
- hasWhere安全之路任重道远2020-02-10