标签： SIEM

近两年来，众多国内外安全厂商都在大力推广自己的SOC产品，面对这些各类繁多的安全产品，企业用户应该如何选择？目前SOC安全管理平台在企业内的应用状况如何？接下来跟随我们的介绍一起来深入了解！

一直在纠结要不要写这篇稿子，这也许会在信息安全行业掀起一片波澜和争议，但是不说，却始终无法摆脱对这个阳光行业的迷惑并心生退意。本文不针对任何 一家具体的机构和个人，如有雷同纯属巧合，切勿对号入座。 从05年至今，总有甲方、代理商、集成商要求我推荐安全产品，但是这个要求对于我而言总是难以启齿，刚开始属于无知者的时候还敢推荐一二，但是时间越久 发现自己越没有推荐的勇气，很多出道比我晚很多的朋友开着属于...

在当今的安全时代，处处充满了新变化与新风险。统计显示，现在每天都会出现12万个新的恶意软件攻击，每月恶意软件和恶意URL的攻击量达到460万，与此同时恶意网站的数量也在快速上升。 复杂多变的恶意威胁 迈克菲副总裁兼亚太区首席技术官Michael Sentonas先生认为“这是一个充满复杂变数的时代”，现在恶意攻击出现了新的变化：恶意攻击在更多针对存储等设备，针对计算机MBR（主引导扇区）的攻击增长...

企业数据软件公司 Splunk今天以每股 17 美元的价格在纳斯达克进行 IPO，融资 2.3 亿美元，市值达到惊人的 15.7 亿美元。 Splunk 是商业智能软件提供商，其软件可用于监控、分析实时的机器数据以及 TB 级的历史数据，且数据来源不限，可以是本地也可以来自云。比方说，Splunk 可以实时对任何 app、服务器或网络设备的的数据进行索引并提供搜索，这些数据可以是日志、配置文件、消...

一直以来，NetIQ跨物理、虚拟和云计算环境安全地提供和管理计算服务，帮助客户以高性价比的方式来应对复杂的信息保护挑战。在2013年到来之际，NetIQ公司关注全球信息安全市场，对业界的发展与趋势提出了自己的看法。 2012： 怎样的一年 在信息安全领域，2012年毋庸置疑是黑客行动年、自带设备办公（BYOD）年和云之年。许多机构已经在2011年开始部署云，而今年则是延续的一年。黑客行动占据了公众...

随着企业网络设备的增多，来自各个设备的日志也像洪水一样每天不断的冲击着IT部门的管理人员，因此，企业开始通过安全信息和事件管理(SIEM)方案来帮助管理如此大量的日志信息，同时通过这个方案来分析每一份日志，发现其中指示的安全问题。但是要成功的实施一套SIEM方案并不是简单的事情。接下来我们就来看看该如何考察一个SIEM产品并对方案实施给出一些建议。 什么是SIEM? SIEM实际上是两类产品的集合...

基于合规方面的要求，很多公司都会选择搜集和保存日志信息;但实际上，这些信息的真正价值远远超过了简单通过审核的需求。大部分IT专业人员和系统管理员习惯于对日志文件提供的信息进行分析，找出导致问题出现的原因。实际上，很多可用性监测工具的原理就是基于导致问题出现的根本原因经常会在事件流里找到这一前提的。 在过去十年里，事件监控工具中出现了一种新类型，可以对安全进行关注。与传统的可用性和性能监控工具相比，...

2012年5月初，SANS发布了2012年度的第八次日志与事件管理调查报告。本次调查的受访对象超过了600名专业人士，涵盖了各行各业，超过一半来自大中型企业。 调查问题1：收集日志的原因是什么？ 结果分析：82%的人认为最关键的原因是“检测/追踪来自内部/外部的可疑行为”；65%的人认为最关键的原因是“取证与关联分析”；58%的人认为最关键的原因是“阻止突发事件”。以上三种原因分列前三位。而201...

网路游侠：现在公司做日志管理综合审计系统，于是有些朋友会问我：产品有什么功能？……于是游侠还是跑到百度文库，找到了这个文档——日志管理综合审计产品的功能基本都在这了： 日志管理综合审计系统·系统要求 求为一个完整的软硬件一体化的日志审计系统；无需用户另行提供服务器、操作系统、数据库、防火墙软件及用户手动升级系统补丁; 系统基于嵌入式linux系统内核开发。 设备部署：提供旁路接入模式，设备部署不影...

网路游侠：最近身边有一些朋友在找日志审计、日志管理产品的需求，其实需求也就是常见产品的功能清单，也基本是用户在采购中需要注意的一些事项。不大想自己写了，就从百度文库找了一篇现成的文档。当然，功能描述的比较中性，很多厂家的都可以满足。在这里贴给大家看： 一、总体要求 支持对主流操作系统、数据库系统、应用软件系统、网络设备、安全设备进行自动采集。 支持SYSLOG和OPSEC LEA标准日志协议，能通...

鉴于正确实施、 管理和利用安全信息和事件管理 (SIEM) 系统对组织的安全基础结构环境的重要性，很明显破坏SIEM系统可能是攻击者用来避免检测或破坏环境安全管理的一种成功方法。 有哪些潜在影响会使SIEM系统受损，又有哪些防御措施可供企业找来保护其SIEM系统呢？这些都是我们会设法在此回答的问题。 将SIEM系统视为可用性高的企业资源 从安全操作的角度分析，我们应该认识到SIEM系统是安全基础结...

游侠点评：由于APT的增多，而此类攻击多数针对数据库，因此数据库成了防护重点，包括数据库扫描评估、数据库加固、数据库审计、数据库权限分配、数据库加密等，开始日益盛行；同样的，针对APT攻击，普通的单设备防护很难及时发现。因此SIEM的“联动”方案，成为发现APT攻击的首选解决方案。还好，游侠公司就做这个，是不是以后会更忙？哈。 迈克菲最新发布的《2012年风险与合规展望》报告 (Risk and ...

游侠点评：此前SIEM在国外应用比较多，如今国内一些信息化建设较好的单位（如电力、运营商、银行等）也开始加大了SIEM类产品的建设力度。当然有的选择了SOC、MSS，不过还是属于SIEM的大范畴。而针对众多企业，显然SIEM更加合适，因为更轻量级、部署更快捷。 迈克菲推出一套独创的具备出色状态感知和准确性的创新安全信息与事件管理 (Security Information and Event Ma...

　　因为公司业务的关系（思福迪，LogBase），最近走访用户几乎关注点都是日志管理、数据库审计、运维审计（堡垒机）。

　　在和客户沟通的过程中，发现运维审计一般都用的非常好，数据库审计用的一般，日志管理审计（包括SOC）用的非常差！下面针对用的最差的产品简单说几句吧：

　　美国时间2011年5月12日，Gartner发布了最新的《Magic Quadrant for Security Information and Event Management》报告。报告指出：在安全与合规需求的双重驱动下，SIEM技术获得了更广泛的应用。发现被攻击目标需要更有效的用户行为监控、数据访问监控和应用行为监控。厂商们正在寻求满足更广泛客户需求的解决方案。报告调查显示，2010年S