管理数据中心需要大量协调工作。你每天都要花时间查看仪表板、性能趋势、功耗和系统访问情况。
而对于更高级的监控,安全信息和事件管理(SIEM)可为你的数据中心增加另一层安全保护。
为了创建高效的SIEM环境,企业需要进行规划以确定哪些事件需要手动干预以及每天、每周或每月需要哪些报告。
常见报告选项
为了快速确定SIEM范围,其中一种方法是查看整体报告。由于现在有非常多选择,所以在选择初始报告结构时应该关注重点因素。通常,你会想要跟踪用户、时间、地点以及用户使用的身份验证设备。
为了获取所有这些信息,常见SIEM报告包括:
- 用户活动报告;
- 配置变更报告;
- 访问报告;
- 事件跟踪报告;
- 按需运营报告;
- 月度总结报告。
这些详细信息可帮助你轻松地整理这些报告所需的频率、哪个管理员负责查看报告以及当数据中发现异常时应该采取的措施。
感兴趣的事件
SIEM工具可提醒你注意每个潜在事件,但你需要先设置基线警报。通过掌握这些基础警报后,你将能够快速启动和运行SIEM系统。然后,你可在熟悉该软件后添加更多特定警报。
目前有六类SIEM警报:用户身份验证、网络攻击、主机级活动、未知源攻击、Web服务器活动和日志源活动。这里主要涉及以下特定事件:
- 登陆源失败;
- 登陆目标失败;
- 一分钟内从单个IP重复登录
- 来自单个IP地址的多次入侵检测系统警报
这些系统警报可让你了解数据中心内活动的基本视图以及有关谁在访问所有内容的信息。
如果你希望获得细粒度的信息,则这里可以使用防病毒软件警报。防病毒相关的警报可提供攻击通知以及软件干预的更新信息。示例如下:
- 重复攻击主机;
- 检测到病毒;
- 间谍软件或病毒被移除;
- 检测到病毒,但未成功清除或删除。
除防病毒相关的攻击外,你还需要为特定攻击源和未知攻击设置SIEM报告和警报。这包括来自黑名单来源的流量、针对特定主机的IP地址、重复攻击、过多连接爆发和多个受感染主机。
自动化SIEM报告
即使部署所有这些措施,你仍然可能想知道哪些功能可简化SIEM报告、警报和工作流程。这里就需要自动化和编排功能,因为新算法可帮助识别性能和整体安全趋势。此外,通过这些附加设置,你将能够编写攻击响应以及有效对警报排序。
在你研究SIEM软件前,你需要考虑这几件事情:你如何将数据提供给SIEM系统、是否存在任何潜在的安装难点以及你将如何利用SIEM工具。
