SIEM（Security Information and Event Management，安全信息与事件管理）系统被认为是行业的黄金标准。虽然有效，但是知道如何使用SIEM解决方案来获取有价值的见解可能会很棘手。因此，许多人对使用SIEM感到沮丧或失望。由此，我们以OSSIM为例，为大家做一些简单的分享，希望能够让大家对SIEM有一些初步的了解。

        SIEM（Security Information and Event Management，安全信息与事件管理）系统是指对企业所有资源（包含网络，系统和应用）产生的安全信息（包括日志，报警等）进行统一、实时的监控，并进行历史分析，对外部的入侵、内部的违规、误操作等进行监控、审计分析、调查取证，出具各种报告。

        SIEM实现了资源合规性管理的目标，同时也提高了企业的安全运营、威胁管理和应急响应能力。

        SIEM技术能够对系统中的安全设施实现统一化管理，同时能从其产生的大量安全信息与事件中找出安全威胁，方便安全管理人员能够更快速地对安全状况进行全方面的把握。

        而OSSIM （OPEN Source Sevurity Informatiion System）是开源安全信息管理系统，由美国的Alien Vault公司开发，是一个目前非常流行和完整的开源安全架构体系。OSSIM将开源产品进行集成，从而提供一种能够实现安全监控功能的基础平台，能够实现收集分类日志，识别并解决重大安全事件（优先级、标识出有问题的日志），满足在安全监控和日志存储方面的审计和合规需求。

      对于SIEM来说，可以大致分为三个阶段:信息采集、事件处理、安全评估，如下图所示：

SIEM处理流程

      SIEM收集的数据主要包括安全信息和安全事件，具体包括当前目标网络中受控主机信息和网络信息，以及部署在目标网络上的安全设备的日志和报警信息。

        通过主动资产扫描来添加资产并进行监听或者对设备通过部署AGENT进行主动监听，是SIEM获取数据的方式之一。SIEM也可以接收其它安全运营产品的日志进行分析。这里，我们使用的是SIEM工具中为较为代表性的OSSIM。

      在OSSIM中，我们可以很清晰地找到如上图中所示的SIEM标签，点击进入就可以查看自己想要查看的日志信息。

        当然，我们也可以根据如下图红色区域所示的区域，选择日志源或者在Search中写入自己的需求进行日志搜索。

      除了主动扫描监听的资产，SIEM也可以通过部署AGENT的方式对设备进行主动监听，下图就是对设备进行部署后的画面，可以在STATUS清晰地看到资产的当前状态，红色方框标记出了当前主动监听设备的所有日志源。

      当然我们也可以直接去查看日志，下图向我们展示了关于监听资产的日志信息。

      安全人员可以根据需要使用这些数据。SIEM获取日志的方式有很多，常用的NXLOG，windows sysmon都是可以接收并分析的。包括一些常用的安全运营产品和设备，也都是可以接入SIEM进行数据分析的。

        如上图所示，用户可以通过红色标记的图标进行定制操作，让想要迅速了解情况的信息更直接方便的得到展现。

      综上，针对SIEM中OSSIM这一标志性平台，我们已经掌握了日志处理可视化，解决了大部分SIEM使用过程中的疑难杂症。希望大家会喜欢我们的分享，也希望大家可以在后台和我们多多沟通交流呀~❤️

        云纷科技自成立以来，将“安全运营中心（SOC）”分层分解，以更灵活的模块化方式交付“下一代安全运营服务”，高效整合人、技术和流程，为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时，以十年安全管理经验为依托，我们的安全托管服务（MSS）可以为企业提供7*24小时全天候安全保障，全面提高企业安全抵御能力，为抵抗威胁建立可靠屏障。

        云纷希望在为客户建立运营体系的同时，结合自身对于安全的理解和知识，协同利用开发能力、开发并调用各类自动以及半自动化工具，为客户提供最切合实际的安全运营服务，最终帮助用户清晰定位威胁、降低风险，提高整体安全水平。