2022 年值得关注的 5 大 SIEM 趋势

前5名2022年SIEM趋势看 2022年前5 SIEM趋势看| Splunk2安全事件和事件管理（SIEM）技术已经存在多年，该平台的核心功能可以追溯到十多年前。从那时起，SIEM 解决方案已从日志管理工具发展成为信息平台，企业的需求推动了大部分 SIEM 市场。就在过去几年中，SIEM市场从20亿美元增长到惊人的41亿美元。领先市场分析师的研究还发现，到2024年，数据泄露的成本可能超过5万亿美元。这几乎是2019年报告的两倍，2019年报告的总金额为3万亿美元。但是，由于SIEM软件的新功能，组织可以减轻此类风险，并在造成任何严重损害之前阻止大多数（如果不是全部）威胁。Gartner 安全信息和事件管理魔力象限强调了这些趋势，因为供应商不断创新和迭代其 SIEM 软件。随着许多令人兴奋的功能即将到来，以下是 2022 年值得关注的五个 SIEM 趋势：1.云和应用程序安全将继续是重中之重。2.将更加关注基于风险的警报。3.威胁情报和产品内安全内容现在至关重要。4.自动化可提高效率、生产力和响应能力。5.内部威胁将更容易识别和响应。 2022年前5 SIEM趋势看| Splunk301云和应用程序安全将继续是重中之重随着云采用率的上升（主要是由于 COVID-19 和大规模迁移到远程员工），现代安全解决方案对大小公司都变得至关重要。企业已经开始以惊人的速度过渡到云，随着越来越多的组织转向云基础架构，升级和实施云战略的需求变得更加紧迫。迁移的技术复杂性只是组织在云诞生之旅中将面临的挑战之一。随着团队推进数字计划，他们将忽略一般的安全要求，以击败竞争对手并适应不断变化的优先级。这最终会导致风险增加，尤其是在组织没有最新的网络控制、访问管理系统或云配置选项的情况下。再加上不断扩大的攻击面和缺乏可见性，违规行为迫在眉睫。这正是强大的 SIEM 解决方案应具有开箱即用 （OOTB） 云安全监控内容的原因，从而更轻松地检测和响应混合、云和多云环境中的威胁。这还可能包括针对云攻击的复杂检测规则，以及用于持续测试和改进云检测的广阔云攻击范围。在远程工作时代，SIEM 解决方案需要能够捕获和分析所有云和端点数据，无论数据量、种类和速度如何。传统的监测已不再足够;安全团队需要跨所有类型的环境分析和摄取来自各种来源的数据，以检测安全事件的位置和原因。 2022年前5 SIEM趋势看| Splunk402将更加关注基于风险的警报警觉疲劳继续困扰着不知情的分析师。基于广泛定义的检测的警报可能会导致安全运营中心 （SOC） 内出现大量误报和大量额外噪音，从而迅速使前线人员不堪重负并使其负担过重。不出所料，SIEM 需要更好地有效检测和响应有针对性的攻击和违规行为。特别是基于风险的警报 （RBA） —用于识别威胁的新方法 — 将风险归因于用户和实体，一旦达到一定的行为和风险阈值，就会触发警报超过了。然后，安全团队可以减少警报的数量，同时增加真正的阳性，从而发现传统搜索经常遗漏的复杂攻击。SIEM 中的此类行为分析、威胁情报和分析可以腾出时间和资源来磨练复杂的高保真威胁，从而成倍地提高检测成功率。分析师还可以根据他们选择的行业标准网络安全框架（如MITRE ATT&CK，NIST框架等）将风险归因于各种实体。 2022年前5 SIEM趋势看| Splunk503威胁情报和产品内安全内容现在至关重要维护和改进安全计划的规则并不容易。由于有如此多的不同来源，以及需要筛选的各种数据结构和格式，利用必要的情报可能既乏味又耗时，尤其是当安全团队几乎没有带宽来创建所需的检测和 playbook 时。但如今，现代 SIEM 解决方案可以将威胁情报（即围绕现有和新兴威胁的精选产品内安全研究）集成到事件响应流程的每个阶段，以及团队、工具、同行和合作伙伴的生态系统中。提供的指南可帮助用户抢占攻击并创建复杂的管道，而无需在后端编写或维护脚本。最后，由于快速增长的情报市场（具有所有类型的开放、商业和社区情报来源），SIEM 解决方案能够更好地整合最新的技术指南和上下文感知（例如谁是攻击的幕后黑手以及他们的技术是什么），分析师可以逐步使用它们进行调查和响应。一个警告。 2022年前5 SIEM趋势看| Splunk604自动化可提高效率、生产力和响应速度某些安全任务太大且太繁琐，团队无法手动处理。更不用说，安全技能短缺使得很难找到（更不用说雇用）与组织工作量成比例的人才。不出所料，分析师经常会筋疲力尽，而更紧迫的威胁却被忽视。为了最大限度地提高生产力、效率和速度，并且不冒任何人理智的风险，唯一的出路就是自动化。输入安全操作、自动化和响应 （SOAR）。现在，大多数 SIEM 解决方案都有望集成 SOAR，以消除分析师的繁重工作，并在创纪录的时间内解决安全事件，从而将响应时间缩短到几分钟。（或小时）到几秒钟。SOAR 工具通过将来自多个工具的情报编织在一起、丰富警报数据并将其呈现到单个界面中来实现这一点。通过自动执行数据收集过程，分析师可以在警报浮出水面后立即查看与警报相关的有价值的详细信息。底线？编排和自动化可帮助安全团队更快地调查和响应安全警报，并通过将来自不同来源的情报编译到一个位置来丰富他们收集的数据。通过协调决策和操作以快速调查、会审和响应大量警报，安全团队可以快速确定风险级别并做出相应的响应。 2022年前5 SIEM趋势看| Splunk705内部威胁将更容易识别和响应由于内部威胁是最难捕获的，也可能是最具破坏性的，因此用户和实体行为分析 （UEBA） 长期以来一直是检测可能表明凭据盗窃、欺诈和其他恶意活动的可疑模式的重要工具。从本质上讲，UEBA 识别并跟踪威胁参与者在企业环境中的行为，通过一系列算法运行数据以检测偏离用户规范的操作。从历史上看，UEBA是作为分阶段方法的一部分采用的;组织将从核心SIEM开始，然后最终扩展到UEBA和/或SOAR（以及更多）。但是现在，UEBA被Gartner视为一项关键功能，并且应该与SIEM解决方案协同工作 - 理想情况下，尽可能无缝 - 以提供对网络内行为模式的见解。通过在一个平台中结合这两种技术的强大功能，组织可以获得检查人类和机器行为的威胁检测技术的好处。将 UEBA 作为 SIEM 的一部分意味着您可以更好地识别行为异常，并围绕已知和未知威胁获得额外的上下文。这可以消除误报，仅显示通常无法通过规则驱动的关联检测到的高保真威胁，从而节省分析师的时间并提高团队的效率。 得到报告有关 SIEM 趋势和安全领导者最佳实践的更多见解，请查看 2021 年 Gartner 魔力象限。Splunk、Splunk> 和 Turn Data Into Do 是 Splunk Inc. 在美国和其他国家/地区的商标和注册商标。所有其他品牌名称、产品名称或商标均属于其各自所有者。© 2022 斯普伦克公司保留所有权利。22-22392-Splunk-2022 年值得关注的 5 大 SIEM 趋势-LS-104