数据观澜数据库
快捷导航
您的位置:首页>物联网>>实现以数据驱动的高级威胁检测和响应 >

实现以数据驱动的高级威胁检测和响应

  发布时间:2025-12-07 20:45:11   作者:玩站小弟   我要评论
SIEM技术现已应用了约20年的时间,其早期产品的用途主要是帮助用户更好地进行日志管理和满足法规遵从性要求,很少应用到威胁检测与响应中。然而,由于现代企业的威胁攻击面不断扩大和对未知攻击的担忧不断增加 。

SIEM技术现已应用了约20年的实现数据时间,其早期产品的驱动用途主要是帮助用户更好地进行日志管理和满足法规遵从性要求,很少应用到威胁检测与响应中。胁检响然而,测和由于现代企业的实现数据威胁攻击面不断扩大和对未知攻击的担忧不断增加 ,安全团队需要实现由数据驱动的驱动威胁检测和响应能力,新一代SIEM产品也随之产生。胁检响

新一代SIEM的测和能力演进

目前 ,行业对新一代SIEM还没有一种明确或普遍接受的实现数据概念 。高防服务器然而,驱动我们可以从Gartner给出的胁检响SIEM定义中来进行分析 :SIEM是一种技术,旨在通过收集和分析安全事件以及上下文数据源,测和来实现或支持威胁检测、实现数据合规和安全事件管理。驱动

这个定义可以套用到新一代SIEM的胁检响概念中:新一代SIEM比传统SIEM更先进,利用新一代大数据技术和数据建模技术 ,提供经过改进的数据汇集流程和用户界面/体验 ,并提供额外的威胁检测和处置功能,比如实体行为分析(UEBA)以及SOAR开放式集成 。

通过对传统SIEM系统进行更有力的免费模板升级,企业用户将可以获得更准确的分析结果 ,并且不受过时技术框架和流程的制约。新一代SIEM的新功能可能因厂商而异  ,但通常都会具备以下典型功能 。

云原生操作:新一代SIEM完全有必要直接在云端操作、与基于云的系统兼容。这使组织可以统一监控众多应用程序 、设备 、服务器和端点,并提高了跨不同数据源收集日志的效率 。香港云服务器高级威胁检测 :相比传统的SIEM,新一代SIEM能够识别并预测威胁和攻击,它可以发现可疑活动 、不寻常的行为以及与恶意活动相一致的模式。更有效的误报处理 :误报并非完全可以避免 。然而 ,传统的SIEM显然有太多的误报 。新一代SIEM系统可以通过采用人工智能和事件相关机制来提高检测精准度 。更快速的数据处理:传统SIEM常常与基于数据量的云计算数据评估相关 。因此,收集和分析的数据越多 ,SIEM的运作成本就越高。新一代SIEM则借助统一数据评估模型解决了这个问题 ,大大降低了获取数据的成本。加强集成 :新一代SIEM可以与更多的安全工具和系统协同工作 ,包括安全编排自动化和响应(SOAR) 、实时可视化工具 、行为分析以及连接公共数据源、自定义数据源及其他数据源的威胁情报 。服务器租用未来属于开放式XDR?

虽然新一代SIEM与上一代相比有了重大飞跃 ,但研究人员认为 ,改进后的SIEM系统仍然会存在一些缺点 :

首先 ,数据管理效率低下是SIEM框架固有的缺点 。尽管新一代SIEM平台在竭力解决这个问题 ,但目前还没有证明其效果  。另外  ,手动工作在SIEM中依然必不可少,需要依靠由人编写的规则来进行工作就是一个佐证。此外,即使下一代SIEM在集成方面有所改进,源码下载选择范围仍比较有限 ,难以确保它与组织常用的安全工具能够有效协同工作。

由于SIEM技术存在以上难以根本性解决的难题,一种开放式XDR技术开始出现,并被视为是完善SIEM技术应用不足的有效补充 ,甚至有观点认为 ,开放式XDR技术将成为SIEM的替代者。

从产品的应用目标上 ,开放式XDR技术与新一代SIEM技术有很多相似之处,主要是通过数据聚合和分析,帮助企业提升对威胁的检测和响应能力  。但开放式XDR采用了和新一代SIEM完全不同的技术框架,更易于实现多种安全数据和能力的集成 。开放式XDR框架要求所有的安全数据必须先经过统一的规范和提炼 ,然后才能存储到数据湖或大数据处理系统,这与传统SIEM的做法形成了鲜明对比 。由于对收集和存储的安全数据进行了高质量的处理 ,这使开放式XDR得以最大限度地发挥人工智能的优势 。

此外 ,开放式 XDR可以借助不同的安全控制措施来应对各位威胁风险 ,并使用的统一控制界面来保障用户的安全运营体验,让安全运营人员在一个平台上轻松应用UEBA 、SOAR 、NDR 、EDR及其他各种工具和技术。

不过 ,尽管开放式XDR从理论上看更先进 ,但是目前在产品化落地中却还不够成熟  ,因为目前尚缺乏统一的XDR技术行业标准  ,因此在不同厂商能力的标准化整合过程中 ,其实现效果还需要进一步观察和验证。

结语

网络安全威胁形势在持续地变化 ,实现数据驱动的安全能力建设是企业用户的必然选择。目前  ,下一代SIEM和开放式XDR都是企业组织在加强网络防御时可以考虑的方法 ,不过它们也都存在了一些不足与挑战。

企业组织需要积极采用更先进的技术方法来扩展威胁检测和响应能力。然而,这并不意味着组织应该盲目地采用新技术和新产品。充分了解自己的应用需求  ,然后选择合适的技术产品 ,这对威胁检测和响应能力的提升非常重要。有时候,尝试选择多种不同的方法可能必不可少,因此  ,部署替代或补充型的解决方案也是企业应该考虑的建设方法。

  • Tag:

相关文章

  • Fortinet确认泄露440GB数据

    据CyberDaily、CRN等多家报道,一名黑客自称通过攻破Fortinet的Microsoft SharePoint服务器,窃取了440GB的数据。这名黑客随后在黑客论坛上公布了存储这些数据的S3
    2025-12-07

  • 康宁线缆(解析康宁线缆的卓越性能和广泛应用领域)

    康宁线缆作为一种高品质的通信电缆产品,以其卓越的质量和稳定的性能,广泛应用于各个领域,为我们的生活和工作提供了可靠的通信保障。本文将从不同角度详细介绍康宁线缆的特点、优势以及应用领域。1.康宁线缆的概
    2025-12-07

  • 华为火花(华为火花助力企业加速数字化转型,引领智能未来)

    随着数字化时代的来临,企业面临着前所未有的竞争压力和市场变革。在这个信息化高速发展的时代,华为火花作为一款全新的智能创新引擎,正成为各行各业加速数字化转型的利器。本文将从不同方面介绍华为火花的创新特点
    2025-12-07

  • NVIDIA构建数字孪生骨干网格,赋能多场景下的数字孪生应用

    在数字时代的今天,人工智能、高性能计算、网络等技术的高速发展持续推动着互联网虚拟世界的不断进步。为了创建和模拟与现实世界相同的虚拟世界平台,NVIDIA 推出了Omniverse平台,并广泛应用于机器
    2025-12-07

  • 美国NSA发布:保留PowerShell使用和接受的安全措施

    来自美国,新西兰和英国的网络安全当局建议正确配置和监控PowerShell,而不是完全删除或禁用PowerShell。这将从PowerShell可以启用的安全功能中受益,同时降低恶意行为者在访问受害者
    2025-12-07

  • Nginx配置中Root和Alias分不清?本文3分钟帮你解惑

    Nginx在配置映射路径的时候,有时候看到的是root,有时候看到的是alias,这两个有什么区别?本文笔者将带大家详细了解一下。什么是NginxNGINX 是全球最受欢迎的 Web 服务器之一,用于
    2025-12-07

最新评论