配置良好的SIEM将提醒安全管理员应该注意的事件和趋势，以便能够有效地处理对其网络可能的安全威胁。否则，他们将在迷失于事件日志的噪声之中。

      运行SIEM所需的关键组件之一是良好且合理的SIEM关联规则。让我们来了解一下SIEM关联规则的工作原理吧！它实际上非常简单易懂。

       网络中的各种设备不断生成输入SIEM系统的事件日志。SIEM关联规则告诉您的SIEM系统哪些事件序列可以指示可能暗示安全漏洞或网络攻击的异常。当“x”，“y”或“y”或“y”加“z”发生时，应该通知您的管理员。

       以下是SIEM关联规则的一些示例，帮助我们进一步了解这个概念。

• 在您的网络中检测新的DHCP服务器规则：使用UDP数据包的内外部链接（“x”）、将端口67作为目标（“y”）、并且目标IP地址不在已经注册的IP列表上（ “Z”）。

•  警告管理员的规则：在15分钟内尝试使用不同用户名从同一个IP在同一台计算机上进行五次失败的登陆尝试（“x”）、如果该事件之后是从同一IP地址成功登录到网络内的任何计算机（“Y”）。

      第一个示例可能表示网络攻击者建立DHCP服务器以获取对您网络的恶意访问。任何授权的DHCP服务器都将可以使用一个您已经注册的IP地址！

      第二个示例可能表明网络攻击者暴力破解身份验证向量，然后成功获取对您网络的身份验证。这可能是一种特权升级攻击。

      SIEM关联规则可能由真正的错误和简单的用户错误或技术故障触发。但它们也是发现网络攻击的关键指标，安全管理员应该立即检查它们！

      SIEM会分析大量的事件日志，无休止地记录那些看似平凡的活动。如果他们只是不断阅读成千上万的事件列表，那么他们看起来就很普通。

      比如…某个IP地址、某个TCP / IP端口到另一个IP地址和TCP / IP端口建立连接！有些用户周二更改了用户名，周四更改了密码！有些客户端机器下载了500MB并且上传了200MB的网络流量，然后下载了3.5GB并在第二天上传了750MB的网络流量！

      正确设计的SIEM关联规则可以排除网络事件日志的所有错误和噪音，以检测哪些事件序列可能是网络攻击的指征。因此，必须非常谨慎地开发SIEM关联规则。SIEM由计算机驱动，计算机只会执行人给出的任何指令。作为一个有着有机大脑的聪明人，你应该提出实用的SIEM关联规则，这样你的SIEM系统可以在发现那些你应该注意到的、有可能发生的网络攻击时提醒你。

      各种不同的软件、硬件和网络组件供应商使用他们自己的事件日志格式。事件日志将包含不同的信息字段。SIEM系统将尽最大努力阅读各种事件日志格式，以便理解它们。

      打个比方，如果你制作Excel电子表格，想象一下所有可以用于决定字段、组织相同数据的不同方式。IP地址应记录在A列还是D列？IP地址列是否应标记为“IP”，“IP地址”，“IP地址”，“网关IP”或“公共IP？”UDP端口是否应该获得一列，TCP端口是否应该使用不同的列，或者应该是所有UDP和TCP端口在同一列？

      事件日志规范化是为了更改来自不同供应商和网络组件的事件日志格式，以便它们在您的网络中尽可能通用。显然，防病毒事件日志与防火墙事件日志看起来很不一样。但是，如果您的网络具有来自多个供应商的防火墙，则可以使其事件日志具有相同的格式。

      事件日志规范化可以使您的SIEM及其SIEM关联规则更有效地执行。如果您可以改进事件日志规范化，那么您的SIEM将不太可能出错或错过安全管理员应该关注的事件。

      像其他类型的事件监控算法一样，SIEM关联规则也会产生误报。太多误报可能会浪费安全管理员的努力，而这些努力可以应用于响应实际的威胁和攻击。正常工作的SIEM中，不可能存在零误报。在配置SIEM关联规则时，您需要在减少误报警告和不丢失任何可能揭示网络攻击的异常之间取得平衡。

      某些开箱即用的SIEM关联规则可能不适用于您的特定网络。决定禁用哪些预配置规则以及应从头开始编写哪些规则是另一项挑战。

      过滤SIEM规则不当可能会使SIEM系统的执行速度变慢。管理员需要过滤适用规则的应用程序，以确定哪些数据是相关的，哪些数据与事件管道无关。

      另一个因素是并非所有的SIEM都是相似的。有些人在开箱即用的关联规则中内置了威胁情报，使其更具价值。