现代SIEM的演变与未来

重点内容

SIEM软件20年来为安全信息管理和事件管理提供实时解决方案，但随着数据量的快速增长，其性能受到限制。传统SIEM的实施过程缓慢且费用高昂，需要大量资源来维护和更新。新一代SIEM采用人工智能和自动化，提供更好的性能、更低的成本和更快的响应能力。

安全信息和事件管理SIEM软件在20年前首次亮相，其吸引人的提议是将安全信息管理与安全事件管理整合在一个实时解决方案中，帮助在攻击打断业务之前加以制止。组织可以终于获得全面的安全信息视图。然而，随着数据量的急剧上升，早期的SIEM由于处理能力有限，主要基于结构化的关系数据而难以扩展。要进行扩展，通常需要昂贵的硬件和存储升级，即便如此，随着数据量激增，查询性能受到了影响，承诺的速度优势也随之消失。为了索引新进数据所需的处理开销，搜索时间可能拉长到数分钟，而对手的动作却是在实时速度下进行。

攻击者们也并未坐以待毙。突破时间，即从发生漏洞到入侵者开始在网络中横向移动的间隔，已经缩短至七分钟。传统SIEM所需的人工分析和响应根本无法应对如此灵活的对手。

缓慢且昂贵

实施传统的SIEM系统历来是一个缓慢且昂贵的过程，安装、配置和集成的工作常常需要数月时间。初期投资可以高达几万美元，而这还不包括管理和监控SIEM人员的运营成本、威胁警报服务的订阅费用及年度支持费用。维护和更新SIEM系统需要相当多的资源，包括创造、修改规则和解析新日志源所需的昂贵专业技能。

许多较老的SIEM用户界面复杂，使得安全分析师很难有效监控和调查警报。此外，它们缺乏识别复杂威胁的高级分析和机器学习能力，反而依赖于特征和规则检测。这些措施在攻击模式明确时效果良好，但对于现在约占80成功数据泄露的全新零日漏洞而言，几乎无用。预定义的规则也常常会产生许多误报，浪费时间并导致团队忽视真正的威胁。

SIEM原本是为了减少安全警报的频率，然而与之相反的是，安全团队现在每天要处理成千上万的警报如此巨大的工作量导致了人员的疲惫和离职，而在网络安全技能短缺的情况下，更显得雪上加霜。

尽管存在诸多缺陷，许多组织仍然在老旧系统上勉强维持，因为升级需要消耗大量资源。他们继续在越来越无关紧要的产品上投入资金，实属资源浪费。

SIEM的新视野

现代SIEM与其传统的祖先几乎判若两样。它们从根本上构建，旨在通过人工智能(AI)和自动化提供更好、更快和更具性价比的结果。云原生部署显著降低了安装时间和成本。如今最先进的产品将SIEM、终端检测和响应EDR以及扩展检测和响应XDR整合在一个平台中。基于普通服务器和存储的横向扩展架构取代了传统SIEM所需的昂贵纵向扩展方法。

使用追踪终端、云工作负载、身份和数据保护平台的代理，下一代SIEM系统建立在灵活的架构上，能够轻松集成第三方扩展。依赖AI的上下文感知事件报告在单一视觉吸引的图表中串联所有相关警报和上下文，并由生成式AI提供概要。高级查询语言支持丰富的语法、聚合、统计函数以及数据操作来连接数据集。AI还提供了高级过滤和模式匹配功能。

检测、调查与响应工作流程被整合并自动编排。无索引搜索实现即时结果。数据湖技术承诺让团队以低成本存储大量数据，并具有灵活的访问权限，同时消除信息孤岛。关于对手及其手法的所有相关信息可以通过单一查询瞬间获取。即使

旋风加速官网入口2025