网络安全建设中的安全检测与运营,是保障企业信息安全的重要支柱。近日,Gartner发布了针对SIEM的最新分析报告《Critical Capabilities for Security Information and Event Management》,这份报告提出了两大关键的网络安全战略假设。
根据Gartner的预测,到2025年,约有90%的SIEM部署模式将采用SaaS(云)模式。预计到2025年,75%的SIEM解决方案将具备完整的TDIR(威胁检测、调查和响应)能力,其中包括EDR\NDR\CA等功能。
这两个预测进一步强调了以下两大趋势:
1. 云是安全的未来;
2. 统一集成是安全能力的未来。
特别值得一提的是,微软的SIEM/SOC解决方案Microsoft Sentinel在SIEM核心能力榜单中独占鳌头。这一成果再次肯定了微软在该领域的领导地位。
微软的SIEM产品Microsoft Sentinel是一款SaaS版本的平台,它提供了大量用于Microsoft功能和合作伙伴技术的开箱即用连接器。其SOAR功能基于Azure逻辑应用构建,对Jupyter笔记本案例管理与报告的支持都包含在标准包内。
Microsoft Sentinel通过区域数据中心在全球范围内提供服务,并提供了90天的数据保留期,可选择性延长至两年,并包括长达7年的冷存储。除了这些基本功能外,Microsoft Sentinel还提供了许多附加功能,如Microsoft Defender for Endpoint和Microsoft Defender for IoT。
最近该产品新增了以下功能和亮点:
- 增加了MITRE ATT&CK覆盖映射和专用仪表板,以便和理解与框架标准的一致性。
- 直接内置在Microsoft平台中的无代码连接器和数据规范化功能简化了新数据源的载入过程。
- 通过“基本日志”进行的低成本日志管理扩展了现有的“分析日志”功能,无需持续监控和高级分析即可提供搜索功能。
- 微软的TDIR功能强大且全面,同时提供了许多SIEM额外收费的内置组件。
报告还提到了一些关于SIEM相关的其他关键内容:
对于SIEM产品而言,扩展功能旨在增强安全运营团队执行更多职责的能力,而非仅仅重新定义SIEM的功能。这些扩展功能正在创造新的可能性。
处理日志数据以及创建逻辑驱动的关联规则和分析仍然是SIEM的核心功能。选择具有灵活性、附加组件以及与整个市场中的技术集成配合使用的SIEM解决方案是一个独立的考量。
安全运营团队需要一个平台来一致地检测、调查和响应威胁。尽管SIEM是解决方案的一部分,但买家最终需要TDIR功能。SIEM将与其他安全解决方案(如SOAR、UEBA、TIP和事件管理等)一起使用。
主要发现包括:
- Gartner的客户倾向于选择软件即服务的安全信息和事件管理部署。随着越来越多的IT功能作为SaaS外包给单一供应商,他们需要为云优先业务提供互补且紧密集成的解决方案。
- SIEM功能正在超越安全运营中心的核心角色,人们意识到需要更广泛的集成威胁检测、调查和响应功能。
- 一些SIEM解决方案正在简化其运营能力,以适应更广泛的用户,提供更多开箱即用的内容、自动化和向导来帮助设置日志摄取。
- SIEM解决方案的打包和许可选项正在与其他SaaS解决方案的购买方式保持一致。将数据发送到平台的成本仍然存在,特别是对于跨国界的数据传输。
对于负责安全运营的安全和风险管理主管来说,他们需要:
- 根据关键安全风险创建用例要求,确定SIEM所需的数据源和集成来支持威胁检测用例。
- <