20200920 -
昨天看到了与SIEM相关的内容,但是除了一篇文章给我讲解了他们部分的SOC架构与方案(这个算是SIEM的升级版吧),其他的文章都没有给我非常好的反馈。这里来记录一下。
这篇文章简单介绍了SIEM的发展进程,但是很多内容我没弄明白,特别是他最后的一些结论。不过,这倒是启发了我,应该去关注关注这个东西,也就是说,在SIEM的发展过程中都以怎样的技术为主导。
(1)Top Free Security Information and Event Management(SIEM) Software’s
(2)WHAT IS SIEM? WHAT DOES SIEM DO? WHAT DO WE KNOW ABOUT SIEM? #1
文章(1)介绍了免费(开源)的一些SIEM解决方案,文章(2)同时涵盖了一些商业的解决方案。
这两篇文章中都说到了ELK,这套可视化解决方案,我也一直在用,本质上我感觉他的灵活度非常高,虽然受到Kibana自身可支持的展示方案限制,但是我觉得,大致上是足够的;同时现在ELK自身也提供了与安全相关的组件。所以ELK可以作为后续重点学习的对象。
本篇文章开始首先介绍了传统解决方案的不足,然后提到了将SOC作为一种服务的概念。但其实,我觉得,他后面内容,除了利用漏洞扫描工具来进行汇总,本质上是跟SIEM没有什么区别的。先来贴一张图来看看整体的结构。
图片中,有数据流,有组件,非常清晰。基本上就是利用开源组件把所有的东西都给部署了。这套解决方案,可能单独一个拉出来都值得学习,这个可以在后续过程中了解,并进行部署。
不过我个人理解图中可能有点错误,就是这个nessus好像也应该在左边的监控机器上出现一下。
