记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

【RSA2018】大数据技术如何颠覆传统SIEM(安全信息与事件管理)

阅读: 29历年来RSA大会SIEM 都是非常热门的话题,本次大会也不例外,许多安全公司都推出了自己的下一代SIEM的解决方案。如Empow,一家来自于以色列的公司,致力于打破传统SIEM的观念,通过与现有的网络基础设施整合并将安全工具分解为各自的组件,彻底颠覆传统方法,我们称之为Security Particles。Empow同时创建了一个反映高级攻击链模型的安全功能分类,并能够建模执行针对性的防御策略,随后在整个网络中执行这些防御策略,并根据每个防御策略协调最佳检测、调查和响应。文章目录SIEM是什么?下一代SIEM一、基于场景化的安全模块能力二、自适应安全平台能力三、过程分析能力绿盟态势感知解决方案SIEM是什么?SIEM软件能给企业安全人员提供其IT环境中所发生活动的洞见和轨迹记录。SIEM技术已存在了
发布时间:2018-04-20 20:20 | 阅读:43159 | 评论:0 | 标签:技术前沿 rsa2018 siem 安全信息与事件管理

SIEM是什么?它是怎么运作的?又该如何选择正确的工具?

安全信息与事件管理(SIEM)源于日志管理,但早已演变得比事件管理强大许多,今天的SIEM软件提供商还引入了机器学习、高级统计分析和其他分析方法。SIEM软件是什么?SIEM软件能给企业安全人员提供其IT环境中所发生活动的洞见和轨迹记录。SIEM技术已存在了十年以上,最早是从日志管理发展起来的。它将安全事件管理(SEM)——实时分析日志和事件数据以提供威胁监视、事件关联和事件响应,与安全信息管理(SIM)——收集、分析并报告日志数据,结合了起来。SIEM的运作机制是什么SIEM软件收集并聚合公司所有技术基础设施所产生的日志数据,数据来源从主机系统及应用,到防火墙及杀软过滤器之类网络和安全设备都有。收集到数据后,SIEM软件就开始识别并分类事件,对事件进行分析。该软件的主要目标有两个:1. 产出安全相关事件的报告
发布时间:2017-12-10 04:50 | 阅读:64992 | 评论:0 | 标签:术有专攻 Gartner IBM SIEM 安全信息与事件管理 安全分析

安全3.0时代已至,大数据安全分析成行业新宠

3月28日,2017大数据产业峰会于北京国际会议中心拉开帷幕。大会由工业和信息化部指导,中国信息通信研究院和中国通信标准化协会主办,为期两天。大会发布了大数据产业地图(2017),HanSight瀚思凭借大数据安全分析平台HanSight Enterprise被收录其中,同时,HanSight瀚思联合创始人兼COO董昕作为受邀嘉宾参加会议,并在《大数据投融资》分论坛中发表演讲。 HanSight瀚思入选大会发布的大数据产业地图(2017) 董昕先生在其《安全3.0——当安全遇到大数据》演讲中,为在场的大数据行业投资专家和大数据资深从业者剖析了国内外信息安全行业现状和发展趋势,并依据多家权威机构的最新调研数据指出:大数据技术与安全的结合将成为信息安全发展的风向标。此外,董昕还分享了瀚思在大数据安全分析领域的实践
发布时间:2017-03-31 23:55 | 阅读:71138 | 评论:0 | 标签:厂商供稿 HanSight瀚思 SIEM

企业选购或厂商优化SIEM产品时应考虑哪些因素?

引言 SIEM(安全信息与事件管理)在SOC操作中心中扮演着十分重要的角色,可以说它是SOC的心脏,能够收集事件并按照配置好的规则进行事件分析,同时向安全分析师发出系统入侵等异常行为的告警,并执行SOC程序。 本文旨在帮助企业评估并采购合适的SIEM产品,搭建他们自己的SOC操作中心。以下整理的内容会对SIEM的POC(概念证明,可理解为产品测试,证实产品的各项优异性能)产生一定帮助。 文章主要介绍购买SIEM产品的基本思路,帮助客户获得最符合企业安全需求的SIEM技术。当然提供SIEM服务(SaaS)的安全公司也能从中获益,根据所列要点提高产品的客户满意度,扩大市场占有率。 摘要 一些客户和新兴公司往往会忽视进行SIEM概念证明(POC)时的很多细节,一些安全厂商便利用这一点在服务和部署环节中收取高额费用。
发布时间:2017-01-24 12:45 | 阅读:86350 | 评论:0 | 标签:企业安全 安全管理 观点 SIEM soc

Geoip可视化攻击图谱:打造专属的炫酷风

Geoip可视化攻击图谱可以用于实时显示您正在遭受的网络攻击,它会跟踪系统日志文件,解析出日志里的源IP、目的IP、源端口和目的端口。 介绍 该工具的可视化机制会根据常见端口进行细分,通过不同的协议类型进行颜色区别。Geoip可视化攻击图谱项目的诞生,需要特别感谢Sam Cappella。这位大牛在2015的Palmetto网络防御比赛中制作了一个可视化流量工具。笔者参考了他一部分代码,在构建展示服务器和web视觉界面时,也借用了部分函数。同时,笔者还得感谢Dylan Madisetti给了某些具体实现方面的建议。 Github下载地址在这里。 该项目对系统日志非常依赖,然而大家都知道,不同的应用会有不同的日志格式,所以你需要自行定制日志解析函数。但是,如果您的公司正在使用SIEM(记录安全信息和事件管理的)
发布时间:2016-11-28 15:00 | 阅读:86912 | 评论:0 | 标签:工具 Geoip SIEM syslog 可视化

使用IMA扩展Linux可执行日志记录

作者:Alek Rollyson(FireEye 威胁研究,漏洞专家) 翻译:小王子/棱安全团队 审校:lycxk/棱安全团队 深入了解系统上的可执行文件是提高终端可见性的第一步,进一步来说,集中存储文件执行数据的日志,能够为在网络中检测和捕获病毒提供了一个良好的机会。 Security information and event management(SIEM)安全信息和事件管理及其他安全监控程序,在某种程度上取决于能否良好的采集数据。进程执行数据对于启用多种检测和捕获场景是非常宝贵的,这就意味着应当考虑将数据收集和存储,使其在未来能够进一步分析。FireEye的Threat Analytics Platform(TAP)威胁分析平台基于云的SIEM解决方案,使用该平台的客户经常向FireEye询问可以帮助
发布时间:2016-11-11 03:35 | 阅读:125034 | 评论:0 | 标签:网络安全 auditd IMA Kaiten IoT bot Linux日志记录,审计 SIEM 完整性测量架构 恶意软

Gartner发布2016 SIEM魔力象限报告,IBM、Splunk持续领跑

Gartner最近公布了针对SIEM的魔力象限——所谓的SIEM也就是安全信息和事件管理(Security Information and Event Management)平台。这套系统的主要逻辑在于通过对各种事件数据(比如说日志)的分析,达到早期就能针对目标攻击做出检测和响应的目的。 许多客户有实时分析事件数据的需求,主要就是期望能够做到针对目标工具和数据窃取的早期检测:为做到事件响应、取证和合规,进行日志数据的收集、存储和分析。一般来说,SIEM技术会对安全设备、网络基础设施、系统和应用的事件数据进行聚合,主要的数据源就是日志数据——不过SIEM技术也能够处理其它类型的数据,比如说NetFlow和网络包。 这里所说的事件数据包含了有关用户、资产、威胁、漏洞的各种上下文信息。数据本身当然都是标准化过后的,这
发布时间:2016-11-01 16:00 | 阅读:78705 | 评论:0 | 标签:安全报告 安全管理 Gartner魔力象限 SIEM

IBM安全产品线全解读 联动一切的QRadar

2011年10月,网络安全公司Q1 Labs被IBM以3440万美元的价格收购,Q1 Labs旗下的“明星”SIEM产品QRadar(2008至2012年处在Gartner魔力象限的SIEM领导者地位)也自然被IBM收入囊中,并纳入其安全产品线之列。 很多人仍有这样一个误区:不像IBM Watson那样“高大上”,QRadar仍旧只是一个进行日志分析和事件管理的工具。其实则不然。 不只是SIEM 在IBM安全对其安全产品线进行梳理,进而提出的安全免疫系统中,QRadar处于安全智能,也是中心的位置。其本身包含SIEM、日志管理、漏洞管理和风险管理等功能模块。以及,例如,针对QRadar的用户行为分析(UBA)功能扩展,在Security App Exchange由合作伙伴或IBM为QRadar开发的61个功能
发布时间:2016-09-27 19:45 | 阅读:108309 | 评论:0 | 标签:技术产品 IBM Security QRadar SIEM

安全课堂直播:看“蓝色巨人”如何做数据库安全

近两年,随着网络攻击的日趋复杂,网络边界也在不断后移,纵深防御体系的建立,对企业安全至关重要。而在发生数据泄露前的最后一道“城墙”,便是由数据库安全产品组成。此次安全牛在线技术讲座第十期,我们邀请到了IBM安全系统部门专注数据安全领域的高爽老师,为我们带来“看‘蓝色巨人’如何做数据库安全”的主题分享。讲座内容脉络数据库活动监控如何捕获到访问活动数据如何处理和分析数据如何实现和SIEM的联动预警对大数据平台和文件系统的支持除此以外,本次在线技术讲座和第九期一样设置答疑环节,来听直播的同学可以在听课的同时在文尾附上的”数据库安全”技术交流群中提问,为不打断老师分享思路,我们有专门的工作人员将问题汇总,高爽老师会在讲座内容结束后的答疑环节统一作答。高爽 个人简介2005年加入IBM
发布时间:2016-07-05 18:30 | 阅读:56614 | 评论:0 | 标签:活动集中营 IBM安全系统 SIEM 安全牛客服 联动预警 蓝色巨人

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云