安全信息管理(SIM)是用于从日志文件和其他来源收集安全信息以检测和响应安全事件的技术，SIM的应用正变得越来越广泛。现在的服务器、网络设备和应用产生海量日志数据和各种类型的信息，这些海量数据可以被分析、关联和过滤，从而推动与安全、合规和应用性能相关的各种决策。虽然有很多可能的用途，但SIM解决方案必须专注，否则会被信息过载、性能问题“淹没”，变得一无是处。

 

为SIM设定有限目标

SIM的功能是在大量安全事件中寻找特定安全事件的“蛛丝马迹”。简单地说，SIM是在针堆里找针。这是一项艰巨的任务，然而，很多公司试图使用SIM做太多工作，使“针堆”越来越大，“找针”的工作也越来越困难。

部署SIM第一项也是最重要的部分是专注于一个目标或者一组有限的目标。SIM是用来检测入侵？用来寻找违规行为？还是专注于内部或外部攻击？对于这么多可能的用途，企业很容易失去焦点，并试图完成上述所有任务。你试图通过SIM解决的问题越多，SIM解决这些问题中的任何一个问题的效率就越低。

你应该收集哪些日志？如果你为SIM设定了特定的目标，你就可以很容易确定需要收集的数据。例如，如果你决定关注支付卡行业数据安全标准(PCI-DSS)的合规性，那么，防火墙日志将是你必须收集和分析的首要数据。PCI是为数不多的规范性法规之一，因此，有很多关于日志收集的具体指导。但其他法规并没有那么容易：例如，HIPAA要求你保护个人健康信息(PHI)，但对此你应该收集什么日志呢？

日志收集的常见错误是，安全专家在这个过程中过早地使用过滤。例如，在医疗机构，SIM被配置为仅收集失败登录尝试的日志信息。其理由是，这种日志信息可能表明有人试图入侵系统。然而，当发生数据泄露事故时，该公司发现攻击者已经成功盗用了用户密码。攻击者并没有产生失败登录日志信息，他们使用合法用户账户成功登录了系统。但这些成功登录信息并没有被收集，负责分析该泄露事故的安全专家将无法看到攻击者做了什么。

这是一个艰难的权衡：如果你不收集一些具体的细节数据，当你在数据泄漏事故后需要查看历史数据时，你将无法看到这些数据。但如果你收集所有数据，你将会面临性能和存储增长问题。看似不重要的小细节可能是事故后需要的关键数据。

在数据泄露事故后，SIM不仅可用于对历史数据进行取证分析。很多企业还将SIM解决方案作为安全运营中心(SOC)实时事件响应的基础。实时事件响应和事件后历史分析的区别很关键，因为这两者的目标往往不一致--如果说不是直接矛盾的话。针对实时分析的SIM解决方案被调整为高性能相关性和过滤，尽量减少收集的信息。然而，为了提高SIM用于事故后历史分析的可操作性，你必须以完全相反的方式对它进行调整，以最大化收集和存储的信息。

可操作的结果是指可用于业务流程的结果。如果你的目标是合规性，那么，流程应该产生年度审计报告。如果你的目标是数据泄露检测，那么，这种结果应该能够允许分析师通过事件响应流程对安全警报进行调查。如果你试图提高安全操作，那么，SIM结果应该支持变更和配置管理流程。如果没有明确的目标以及你想实现的流程，SIM无法产生可操作的结果。

(责任编辑：安博涛)