SIEM工具不足
在市场上10年之后,产品在报告、可用性和高级相关特性方面应该会更好
但是还有另一个关键的安装角度:让SIEM平台接受并正确解析来自您环境中的设备的输出。在我们的测试中,我们使用了将近30台设备(看看我们是怎么做到的).虽然这个数字听起来可能不是很大(对于大型企业来说当然不是),但如果您必须配置SIEM产品中的每个设备条目,相信我们,它比您希望的要大。
Q1 Labs和High Tower的产品在设备配置方面非常出色,因为它们的平台支持自动识别机制,可以自动检测来自新设备的事件,根据解析入站数据对设备类型进行有根据的猜测,然后,只有当他们有时间时才提示管理员确认发现。虽然我们不得不不时地做一些修改,但我们发现产品的猜测大多数时候都是正确的。相比之下,在NetIQ的安全管理器中,我们必须设置每一个设备。在我们的小环境中,这对我们来说是痛苦的,但对于任何更大的环境来说,这将是极其残酷的,并且对于许多企业级环境来说可能是不可接受的。
在SIEM世界中,对特定设备的支持显然是一件大事。如果希望接收、存储和智能地监控来自各种设备和商业软件包的安全事件,则SIEM平台必须理解所有发送设备的输出。例如,如果您部署了一个远程访问产品,而SIEM不理解日志格式,那么您将无法轻松地关联或报告用户身份验证尝试。幸运的是,在2008年,大多数SIEM平台都支持大多数防火墙、IDS、IPS和一般网络设备。更糟糕的是对操作系统和更专业的应用程序的全面支持。
例如,Q1 Labs和NetIQ在Windows方面做得比大多数公司都好,但不幸的是,我们测试的所有产品都在某个时候被一系列令人讨厌的Active Directory身份验证事件弄糊涂了。Linux支持稍好一些,但仍远远不够全面。覆盖面的缺乏并不是一个令人厌烦的问题,但它确实表明了SIEM领域的普遍不成熟。
当涉及到设备支持时,另一个需要考虑的问题是监视来自自定义应用程序的事件的能力。推动SIEM系统与不太依赖it安全的应用程序(以国产银行应用程序为例)交互的呼声只会继续高涨。如果这个预测是正确的,那么两个元素就变得更加重要:第一,灵活的代理,它可以执行从本地日志和数据库中抓取事件等任务,第二,可以为专有应用程序定制的可扩展解析机制。幸运的是,我们测试的大多数产品都朝着这个方向发展,如NetIQ、CheckPoint和High Tower,它们都提供了解析开发工具包。与两年前相比,这是一个巨大的变化,当时人们甚至看不到解析逻辑,更不用说使用工具包来编辑它了。
当我们修改一个NetIQ Cisco ASA解析器以解决最近Cisco软件更新引起的日志解析问题时,我们在NetIQ的帮助下对测试进行了解析修改。这个过程是可行的,但是如果您正在定制任何SIEM产品,那么保持您的正则表达式技能是非常明智的;我们测试的每个产品都依赖于正则表达式的解析逻辑。
当谈到传输数据时,历史上许多安全从业者在代理与无代理的辩论中都采取非黑即白的立场。争论的一方是,没有人希望在他们的计算环境中部署和维护另一个代理。在争论的另一方,代理可以提供诸如带宽节流、批量传输和改进的可笑的不安全的传输方法的syslog UDP。
这不再是一个非此即彼的问题(即使一些供应商文档表明黑白视图还没有死);在某些情况下,您可能不需要代理,而在其他情况下,您可能需要。例如,在我们的部署中,我们在印度有一个办公室,我们想把它与我们的伐木基础设施联系起来。我们并没有大量的日志数据需要返回到北美,但如果是这样的话,我们就会希望在当地下班时间内节流或批量转移日志。Q1 Labs、NetIQ和TriGeo都是货运代理,High Tower也有一家,但我们认为它们都没有发挥应有的功能。如果在下一年内购买SIEM,选择正在扩展该领域功能的供应商将是明智的举动。
SIEM的智慧
SIEM平台的三个最关键的子系统是报告引擎、取证和调查系统以及实时分析或“监控”组件。经常看到的驱动大多数SIEM产品选择的用例通常至少涉及这些子系统中的一个,这就是为什么它们是我们测试工作的中心。
在分析和监控方面,我们关注的两个领域是事件减少的方法和数据过滤的用户界面可用性。事件减少是大多数SIEM供应商所兜售的初始价值主张。任何一个集中注意力并试图查看他们的事件日志的人都会告诉你,如果没有某种技术将小麦从谷壳中分离出来,是不可能完成任务的。
即使以每秒5到10个事件的速度——这在企业标准中是相当低的——你看到的是每天超过400,000个事件的数量,这样的负载甚至会摧毁最坚强的安全极客。SIEM的核心功能最终是监视所有这些数据,并为最简单的问题提供答案:需要在事件日志中进行深入研究的少数重要内容是什么?
“相关性”一直是围绕事件减少使用的流行词,我们测试的所有产品都包含某种类型的相关性引擎。引擎的复杂性各不相同,但它们都允许进行基本比较:如果引擎看到了A,也看到了B或C,那么它就会执行x。否则,就把事件归档,然后继续下一个事件。我们希望看到有人用一些创造性的东西,如贝叶斯过滤,来解决事件减少的挑战,但目前基于相关性的事件减少似乎是事实上的标准。
但即使在相关性方面,也不是所有引擎都是一样的。Q1 Labs的产品拥有最强大的关联语言,使用起来仍然很直观。Q1 Labs采用了“构建块”模型,允许您将本质上是用英语编写的逻辑块分层,并将它们组装到警报规则中。例如,我们处理的一个用例是监视来自国外的登录尝试。我们希望密切关注那些我们通常没有员工的国家的成功登录。要做到这一点,有几件事情必须到位:我们必须从接收外部登录的大多数系统(IPsec和SSL VPN集中器、Web站点、任何外部暴露的*NIX系统)获得身份验证日志;我们必须能够从这些日志中提取用户名和IP地址;我们必须有能力将IP地址映射到国家代码。没有SIEM不是火箭科学,但也不是完全微不足道的。
Q1实验室的QRadar具备了所有的功能,我们能够构建一个多阶段规则,本质上说,“如果你看到任何设备的成功登录事件,其IP地址不是来自以下国家之一,生成一个警报”。由于事件流进入SIEM时发生了规范化和分类,因此可以指定“成功登录事件”,而不涉及Linux、Windows、IIS、VPN集中器的细微差别。这就是SIEM能够提供的便利。
大多数现代SIEM产品还附带至少一组绑定的相关规则。例如,当我们将一个新的Snort IDS框上线时,出现了大量警报,其中大多数都被认为是假阳性。因为有用的减少逻辑,在我们测试的所有产品中,6000个警告中只有一个出现在我们的控制台上。该警报基于一个预定义的相关规则,该规则查找“攻击”活动和一组在一段时间内成功登录的组合。
我们的Q1 Labs仪表盘声称数据减少比例为50万:1,这对我们来说似乎是正确的,但在我们的测试中,由于所有平台支持的设备存在差异,无法进行苹果对苹果的数据减少比较。无论采用何种关联方法,“警报vs.事件”方法对所有产品都是必不可少的,因为它允许我们查找siemen生成的警报(小麦),只在需要时挖掘原始事件数据(箔条)。
如果你是一个苹果如果你喜欢或欣赏好的用户界面设计,你将会对我们测试的每一个产品感到失望。高塔的产品——到目前为止,最简单、最容易使用:用户界面布局相对清晰和直观的导航栏允许你跳之间的逻辑功能分组:事件,情况下,资产,规则、报告和管理,界面反应您期望的方式。一个用户界面,一个工具,设计师坚持基本的用户界面设计原则,如预期和一致性(等等)。
不幸的是,从那以后它就走下坡路了:CheckPoint和NetIQ迫使你使用多个应用程序,Q1 Labs的界面只有在你熟悉之后才能使用,TriGeo的界面还可以接受,但并不出色,eIQ违反了基本设计原则的健康部分。
在使用这些产品几个月后,我们发现一开始有些恼人的地方,随着时间的推移,只会变得更加恼人。例如,如果在对用户名和IP地址等进行基本搜索时,您必须浏览至少6个菜单(NetIQ),在几十次重复无意义的步骤之后,很难不感到沮丧。
相比之下,如果您正在创建事件票据,并且只需单击鼠标右键(High Tower)就可以添加事件数据,那么您将非常欣赏这种便利。底线是,如果您打算在任何合理的时间内使用产品中的组件,您将需要一个直观的,易于使用的用户界面,不让您感到沮丧。
在报告方面,我们看到的两种最常见的报告场景通常涉及相对静态的计划报告和通常事件驱动或用于法医情况的特别查询。静态报告通常包括前十名列表、事件摘要、超出正常环境阈值的项目、一般用户访问报告和遵从性检查列表等。特别查询通常是由调查操作驱动的:查找用户X从哪里登录的,我们在多少地方看到过IP地址X,或者查看在某一段时间内某一地区的所有登录活动。
在静态报表方面,NetIQ和TriGeo提供了最完善的报表,这很可能是因为报表技术(分别是Microsoft SQL reporting Services和QlikView和Splunk)的明智选择。Q1 Labs拥有最容易使用的报告设计器(尽管报告看起来不太好),CheckPoint就足够了,High Tower和eIQ排在后面。所有的产品都附带了示例报告,并为用户提供了设计定制报告的能力,所有的产品都能够安排报告并通过电子邮件交付报告。
我们使用临时查询机制主要是为了调查由相关警报触发的可疑活动,尽管我们肯定可以看到它对从全面调查到基本故障排除的其他工作是多么有用。在大多数情况下,特别的报告机制就足够了,有一种情况高于平均水平:TriGeo(通过上面提到的Splunk技术)使事件搜索变得容易,而且还提供了一些良好的报告功能。Q1 Labs紧随其后。
一看前面
在展望SIEM产品的未来时,要考虑企业安全管理面临的主要变化。
首先,考虑到这些系统所提供的价值(或缺乏价值),有些定价模型令人讨厌。在经济紧缩的情况下,很少有企业能够消化大规模部署所需的大量资金。
比较合理的定价是High Tower和Q1 Labs,它们走的是简单的路线,销售的设备仅仅基于SIEM平台将会经历的大约每秒事件(eps)负载;如果你考虑的是大约X每股收益,你会购买A型设备,如果你考虑的是Y每股收益,你应该购买b型设备。价格分别为18,000美元和19,000美元。