安全信息事件管理（SIEM）系统的应用已经超过20年，在很多企业组织，它都是安全管理人员日常处理威胁事件的优先选项。但是，在过去的五年中，网络攻击变得越来越隐秘、手段越来越复杂、影响越来越大，因此，基于传统特征码的检测技术也需要不断向机器学习技术演进，并从单一的威胁检测转变为检测加响应的联合解决方案。

在此背景下，传统SIEM系统由于存在难以实现精准告警、漏报较为严重等问题，已不是企业安全运营管理的理想选择，但这并不意味着需要淘汰它。作为企业内部安全日志的汇聚器，SIEM的基本功能或许永远不会过时，因为本地安全日志始终是最具价值的威胁情报来源。但安全团队需要尽快升级优化SIEM，配合更多的威胁检测/响应、调查/查询、威胁情报分析以及流程自动化/编排等先进安全能力，以实现更加高效、准确的发现、检测和响应安全威胁。

安全专家总结整理了目前SIEM系统的5大应用挑战与解决方法，以帮助企业更好地开展安全运营感知工作。

挑战一：原始数据量多，噪音太大

解决方案：数据自动化处理，消除“误报”

从理论上讲，更多的数据应该可以提供更好的洞察力，但这也容易淹没有价值的信号。问题不在于我们没有足够的数据，而在于我们有太多的非重要报警和误报数据！

当今，SIEM技术已跟不上安全团队收集和生成的海量数据。它不仅会错过大量的安全威胁，而且还会产生较多误报。重要报警与非重要报警或者误报同时大量出现时，会导致重要报警数据淹没在海量的误报及非重要报警中，无法立即响应真实报警。

想象一下，当安全分析师查看200个警报，却发现只有4、5个警报是重要报警，那会有多崩溃！“检测”和“响应”之间，最重要的环节就是分类和处理报警数据。人工智能可以比任何分析师更快地处理数据——并且可以7X24小时全天候工作。可以将15分钟的检测过程缩短到几秒钟，并生成一份完整的事件分析报告，以便企业的团队可以在人工响应时查看。

挑战二：过时的、基于规则的识别技术

解决方案：智能化自动检测技术

SIEM落后的另一个原因是因为它们是基于特征码规则检测。尽管业界对它已经进行了改进和升级，但还是无法跟上大数据问题。

试图使用简单的、基于规则的技术来有效地进行威胁检测肯定会失败。当然，如果系统识别出它之前遇到的威胁，并且完全相同的威胁以同样的方式“杀回”，你确实会收到警报。但是，现实世界的大多数威胁并非如此。许多团队甚至发现，与SIEM相比，经验丰富的安全分析师或技术工程师能够检测到更多的未知威胁。

在过去几年里，先进的机器学习已经成为一种可替代方案，但是SIEM在人工智能技术应用上目前尚处于起步阶段。

挑战三：弱检测，无响应

解决方案：将检测和响应由一个平台自动化实现

SIEM一直存在“弱检测，无响应”的问题，它们甚至从未打算做响应功能。但有效的警报分类需要两者（检测和响应）之间相互作用。企业可以通过两种方式解决该问题：

• 通过添加另一种技术来对抗产生许多误报的嘈杂系统；

• 查询和分析为什么检测技术会产生如此多的警报和误报。

通过智能自动化，分析人员可以将他们的分类过程编码到检测引擎中，然后让机器来执行，将检测和响应视为两个孤立部分是不正确的。我们应该将检测和响应视为同一过程的两个阶段。

挑战四：SIEM系统不会“学习”

解决方案：机器学习可以通过不断学习变得更好

在大多数情况下，SIEM不会机器学习或很少使用机器学习算法，这不利于高效安全运营工作的开展。现在，想象一下，你可以为每一位安全分析师和工程师雇佣10名“助手”，并且这些“助手”可以不断学习、完全可定制、自动执行任务，而且速度比人类快10倍、100倍甚至1000倍，并且7X24全天候运行，这是一种怎样的场景？

实践已经证明，企业安全运营中心（SOC）可以在机器学习技术的帮助下，更有效地检测、分析和响应海量数据，更关键的是，速度要比任何人都快约1000倍。这就意味着安全团队可以腾出时间专注于只有他们能胜任的高级工作，例如一些难以或不可能自动化处理的任务，或者需要对行业和企业具有深刻且人性化理解的事情。

挑战五：SIEM系统应用成本太高

解决方案：经济实惠、灵活的自动化选项

有调查显示，有32%的安全专家表示SIEM运营需要大量的人员培训和经验，而21%的人认为SIEM需要不断调优并消耗大量运营资源才能发挥作用。这就是为什么许多企业的安全团队必须做出艰难的决定，决定他们可以将多少（以及哪些类型的）数据提取到SIEM中进行分析。其余的数据只能存储在没有处理能力的系统中，无法处理、分析和提取有关威胁的宝贵见解，即便是明显的攻击迹象（类似Log4j事件）有时也会被忽略。这会带来巨大的安全风险。

鉴于SIEM的应用成本差异，企业组织可以根据自身的需求，选用更好、更具成本效益的技术解决方案。智能自动化可以实现高度检测和响应，价格合理、透明，可以针对每个组织的业务需求进行定制。这对于很多中小企业、初创公司和非营利组织来说，会更加适合一些。

原文链接：

https://www.logichub.com/blog/goodbye-lonely-siem-hello-mdr

https://www.logichub.com/hubfs/2022%20ebook_%20Five%20Easy%20Steps%20to%20Replace%20Your%20SIEM.pdf