据专家介绍，部署着老旧的安全信息和事件管理(Security Information Event Management,以下简称SIEM)系统的企业正重新审视他们的硬件，有时候他们在想到底是用额外的工具来完善SIEM系统，还是完全替换成新的系统。

　　通信服务提供商MetroPCS Wireless公司的Gregg Woodcock发现，日志相关性分析是运营高效安全业务必不可少的一部分。

　　实际上，这位来自达拉斯的软件工程师发现了日志相关性分析的巨大价值。他成立并维护了一个位于达拉斯的用户群组，致力于完善免费、开源的搜索工具Splunk.这款工具可以接收客户交易、网络活动、通话数据等多种类型的数据，并对它们作关联性分析，以发现有价值的情报。据Woodcock表示，这款工具非常受欢迎，虽然Splunk用户群组内的很多成员所在的企业都安装了安全信息和事件管理(SIEM)系统，但他们也希望把Splunk当作类似Google的搜索框来加强SIEM.

　　MetroPCS使用Splunk来监控违反免费国际电话呼叫计划服务条款的用户。Woodcock表示，用户立即就能知道通话去向和费用。人们违反服务条款--将免费国际呼叫用于商业的行为很快就能从呼叫记录数据中被检测出来，并在费用失控之前切断通话。

　　"它的速度和提供信息的深度令人惊奇，"Woodcock说。"它本质上是Google你的日志;它实时接受日志并标出时间戳，然后你可以使用类似Unix的搜索命令集做任何事情。"

　　Splunk在2010年增加了对安全监控的支持。它也可以产生实时警报。Woodcock说，它正被成千上万的人用来增强已有 SIEM系统，这一事实表明，很多早期部署的SIEM系统要么很难正确配置，要么很难给出有价值的情报。"有了Splunk,你可以输入所有数据，在上面采用只对你有用的特定模式进行排序和搜索，这就是一个巨变，"他说。"而其他很多产品，你必须作二次开发才能得到可用的数据模式。"

　　Bill Sielein是CISO Executive Network公司的CEO,他说，目前大部分SIEM系统只是用来满足合规和提供报告功能，而且很多系统还继续被部署来满足这最小用例。Sieglein最近参加了财富1000强企业CISO圆桌会议，内容包括日志管理和SIEM.他说很多CISO正在考虑是否要用更新的SIEM技术淘汰老旧的 SIEM系统，以建立一个情报平台。

　　"几乎在每一个案例中，安装启用新系统所花的时间和经费都超过预想，"Sieglein说。"他们正努力更新继续许可证，以在风险管理和情境认识方面发掘更大价值。"

　　Sieglein说，早期的SIEM系统非常难于部署，在某些情况下要花费两到三年时间，还要耗费四分之三的经费用于协助部署的专业服务。今天，人们更多地考虑轻量级系统--来自McAfee(NitroSecurity)、IBM(Q1 Labs)以及LogRhythm的SIEM平台，这些系统承诺了更快的实现和更多易用的自动化功能。

　　他说，实际投入过SIEM的企业都体验过历程的艰辛。企业一旦希望审阅好日志，就不仅要雇佣大量员工从事事件监控，还要雇人管理系统以防止被数据淹没。系统必须要完全打好补丁，还需要一些明白如何编写专业报告的人，以实现系统的价值。

　　"很多人抱怨，从系统的角度看，SIEM 1.0需要太多管理人员，"Sieglein说。"它使资源不能集中于实时观察事件。"现在SIEM 2.0承诺了更快的实现、少得多的系统管理，使资源和时间能被集中用于分析警报类型并采取实际行动。"

　　Chris Petersen是LogRhythm公司的联合创始人和CTO,他也同意部署和维护早期的SIEM系统是一个恶梦，而且这些系统经常为了满足特定的合规要求而运行在一个糟糕的配置状态。

　　Petersen说，SIEM最初被设计用来处理入侵检测系统生成的大批量数据，将IDS数据裁减到可行的、更容易管理的规模。SIEM厂商不断增加来自网络层、设备层、应用层和数据库层的日志数据，使它越来越复杂。现在的焦点是更好地管理数据来源和自动化分析。"今天的目标是检测更广泛的来自内部威胁的事件类型、复杂的入侵、和深嵌型泄露，以更好地取证。SIEM厂商已经认识到寄望于企业手动分析日志是不可能的。

(责任编辑：)