歷來的網(wǎng)絡(luò)攻擊總是會或多或少的留下痕跡，這也讓網(wǎng)絡(luò)安全人員得以“順藤摸瓜”，分析安全線索，并追蹤溯源。

對網(wǎng)絡(luò)安全事件的分析最早是基于日志數(shù)據(jù)。傳統(tǒng)上對日志數(shù)據(jù)的分析方法在面對如今大數(shù)據(jù)時代下變得異常困難，如何從海量數(shù)據(jù)中有效識別和分析安全威脅成為重要的發(fā)展方向。

安全信息與事件管理(SIEM)通過收集安全日志數(shù)據(jù)，分析安全威脅，并形成安全報告。近年來SIEM通過不斷融合新技術(shù)，成為市場上較為成熟的安全產(chǎn)品，并受到用戶的追捧。

在卓豪華北二區(qū)銷售總監(jiān)吳兆勇看來，SIEM的發(fā)展經(jīng)歷了三次較大的飛躍，相對應(yīng)地，SIEM產(chǎn)品也形成了三種不同的階段，吳兆勇稱之為“三重境界”。

卓豪華北二區(qū)銷售總監(jiān) 吳兆勇

“第一重境界”如前所述，是基于日志數(shù)據(jù)的收集和分析，通過多數(shù)據(jù)源日志的收集、存儲在中央存儲庫中進行監(jiān)視，并形成報表。其多用于小型或中型企業(yè)。

“第二重境界”基于IT合規(guī)管理，依靠工程師、網(wǎng)絡(luò)專家的經(jīng)驗，提供直接可用的報表和告警，并形成合規(guī)報表、業(yè)務(wù)細分故障報表、用戶行為報表等。ManageEngine還包括了用戶會話監(jiān)控和實時AD審計等功能，還可對特權(quán)用戶的非正常行為的實時監(jiān)測及告警。其多用于中型的企業(yè)集團。

SIEM的“第三重境界”是要達到日志的智能分析，通過結(jié)合機器學(xué)習(xí)等新技術(shù)，形成基于機器學(xué)習(xí)的用戶行為分析、診斷恢復(fù)流程自動化等功能，檢測異常用戶行為。其適用于大型的跨國集團企業(yè)。ManageEngine還包括全球超6億個進入黑名單的IP地址，可以進行實時郵件或短信告警和流量錯誤檢測，幫助用戶減輕外部安全威脅；通過安全隱患數(shù)據(jù)分析，提供統(tǒng)一的安全數(shù)據(jù)視圖，幫助及時找到漏洞，主動減少安全攻擊。

SIEM對安全信息和事件的管理不僅可以應(yīng)用于傳統(tǒng)IT環(huán)境，同樣可用于工業(yè)、醫(yī)療等領(lǐng)域。例如，在醫(yī)院等應(yīng)用場景下，通過對員工登錄醫(yī)療系統(tǒng)的行為監(jiān)控，SIEM系統(tǒng)可判斷該員工的行為是否異常，并自動告警，走自動化診斷工作流處理。

在“2018中國工業(yè)信息安全高峰論壇”上，卓豪（北京）技術(shù)有限公司榮獲“2018年度中國工業(yè)信息安全十大用戶信賴品牌”獎。