什么是 SIEM

SIEM（Security Information and Event Management，安全信息和事件管理）是一个从组织内多种系统和网络设备集中收集日志，并通过关联分析实时检测安全威胁的平台。

SIEM 诞生于两项技术的融合。SIM（Security Information Management）负责日志的长期存储和分析，SEM（Security Event Management）负责实时事件监控和告警。SIEM 将两者整合为一体。

现代组织拥有大量日志源，包括防火墙、IDS/IPS、服务器、应用程序、云服务、终端等。仅单独监控各个日志无法检测跨多个系统的高级攻击。SIEM 将不同来源的日志标准化和整合，通过关联规则浮现单独无法发现的威胁模式。

SIEM 作为事件响应、威胁情报和合规的基础，是组织安全运营的核心。

SIEM 的主要功能与关联分析

日志收集与标准化：通过 Syslog、Windows Event Log、API、代理等多种方式收集日志，将不同格式的日志标准化为统一模式。由此可以跨厂商进行日志搜索和分析。

关联分析 (Correlation)：SIEM 的核心功能。单个事件看似正常的日志，通过将多个事件按时间序列关联，就能发现攻击模式。例如，「短时间内多次认证失败 → 一次认证成功 → 在异常时间段访问数据」这一系列事件暗示可能存在暴力破解的未授权访问。

告警与仪表板：当检测到匹配关联规则的事件时，根据严重程度生成告警。仪表板实时可视化安全态势，使 SOC（安全运营中心）运营人员能够快速掌握情况。

日志长期存储与搜索：满足合规要求（PCI DSS、GDPR 等）的日志保存期限，同时提供对历史日志的高速搜索功能。在数字取证调查时也可以回溯分析过去的日志。

SIEM 导入的成败不仅取决于工具选型，还取决于日志收集策略和运营体制的设计。

日志源的优先排序：试图收集所有日志会导致成本和噪音膨胀。首先从与攻击检测直接相关的日志源开始，如认证日志（Active Directory、IAM）、防火墙日志、DNS 日志、Web 代理日志，然后逐步扩展。

关联规则的调优：仅靠默认关联规则会产生大量误报 (False Positive)。根据本组织环境调优规则是运营的关键。最初的 3-6 个月应视为调优期。

存储与成本：SIEM 的成本与日志摄入量 (EPS: Events Per Second) 成正比。通过排除不必要的日志、压缩日志、区分热存储和冷存储来优化成本。

与 CSIRT 的协作：构建将 SIEM 检测到的告警自动关联到 CSIRT 事件响应工作流的机制。与 SOAR（Security Orchestration, Automation and Response）集成还可以实现初始响应的自动化。

传统 SIEM 以基于规则的检测为主，而下一代 SIEM 集成了机器学习和 UEBA（User and Entity Behavior Analytics），具备检测未知威胁和难以用规则定义的异常行为的能力。

UEBA：将用户和实体（服务器、应用程序）的正常行为模式作为基线进行学习，将偏离行为检测为异常。对检测内部威胁和劫持合法账户的攻击者行为非常有效。

云原生 SIEM：增强了直接摄入 AWS、Azure、GCP 云日志的能力，以及检测云环境特有威胁（IAM 配置错误、S3 存储桶公开设置等）的功能。

SOAR 集成：通过自动告警分诊、与威胁情报的自动关联、初始响应的自动执行（IP 地址封锁、账户禁用等），大幅减轻 SOC 的运营负担。

将漏洞管理信息与 SIEM 告警整合，可以实现优先响应针对具有可利用漏洞的资产的攻击的基于风险的方法。

部署了 SIEM 就能自动化安全监控: SIEM 自动化了日志收集和关联分析，但告警审查、误报判别、事件调查和响应仍需人类判断。SIEM 是增强 SOC 运营人员能力的工具，而非使人员变得不必要的工具。
把所有日志都导入 SIEM 就不会遗漏威胁: 大量摄入日志会增加噪音，真正重要的告警会被淹没。成本也会随日志量成比例增加。优先摄入重要日志源并适当调优关联规则，是兼顾检测精度和成本效率的关键。