一定规模的安全公司几乎都会有套昂贵的SIEM系统。出于各种原因，SIEM曾经一度处于安全运营和事件响应的中心位置。但随着时间流逝，安全运营工作流越来越复杂，公司企业能从SIEM中获得的价值已大不如前。但这并不是说公司企业应马上完全摒弃SIEM。

事实上，正好相反，公司企业应敦促SIEM提供商满足2018的安全运营需求，而不是二十年前的。而一旦这些遗留系统真的达不到当今的要求，可能也就到了该换个选项的时候了。

基于此，特给出和传统SIEM说再见的10个理由：

　　1、攻击不是线性的

大多数SIEM按行呈现其摄入的数据。换句话说，线性输入线性出。然而不幸的是，攻击者和攻击本身却并不总是线性的。瞪着一张事件列表并不能帮你找出可疑或恶意行为。

　　2、关注数据价值而非其数量

人们总想把所有能接入的数据源上的数据都收集起来。但你有没有想过这些源对安全运营有没有价值呢？如果没有，还有必要收集了存起来吗？收集来的每份数据都会缩短现有存储空间的寿命，降低调查分析的效率。数据收集应更聪明些，而不是更努力些。

　　3、太多工具

大多数安全公司持有的安全工具数量都十分惊人。有这么多工具可用的同时，需要每种工具满足多种不同操作需求的时代也来临了。随着安全运营行业的成熟，对SIEM的要求已超出了大部分传统供应商的能力范围。

　　4、内部流量

包括SIEM在内的很多安全解决方案，都重度依赖边界流量来提供可见性。但很不幸，边界内部也是有很多很重要的东西的。横向移动、内部应用误用和凭证窃取之类的事通常都发生在公司内部。然而，公司内部恰恰是很多公司企业都难以获得足够可见性的地方。视而不见或不闻不问要不得。

　　5、数据切分

大多数安全分析员通常都有才、聪明、有创造性。他们需要能够构建复杂查询的工具来切分数据，以便能够调查可疑行为，并发现其他需要注意的活动。另外，速度和效率也很关键。不应该耗费数小时才可以知道给定类型的行为是否曾经出现过。

　　6、关联

安全团队需要工具将相关事件关联起来。至少安全工具应该是辅助而不是阻碍分析师做这些关联。除此之外，现代工具还应能在分析师着手之前就自动关联某些相关数据。

　　7、上下文

描述清楚事件可以让安全团队做出及时准确的决策。这涉及到从不同数据源收集各种支持性证据揉合成重要的上下文，而不是直接抛出缺乏上下文的事件。不支持这种程度的调查自由度，或者没办法自动化其中一部分工作的工具，在2018年是没有市场的。

　　8、更智能的内容构建

无论公司企业的检测技术多么紧跟潮流常换常新，总有改进的空间。如果你已经有了精英安全团队，他们很可能会对传统SIEM系统那有限的分析和查询能力感到绝望。他们脑中有关新检测技术的构想，需要现代工具帮助他们挖掘出来并加以实现。

　　9、更平滑的调查

只要用过传统SIEM调查事件，就会很快发现这调查过程磕磕绊绊一点都不平滑。今天的调查要求工具拥有足够的灵活性和功能性，要能对各式各样的大量数据做深入查询。

　　10、新方法

人工发展警报逻辑是非常重要的活动，但也有可能是效率极低的做法。自动化分析方法已经成熟到了可以产出价值附加警报的程度，为安全运营工作流带来效率。当然也有工具并不具备足够的分析严谨性，会产生大量误报和噪音。不过，有一部分精选工具可以产生人类可能没识别出的高保真可靠警报。虽然步伐缓慢，但这一功能必然会成为现代安全团队必备品。

(责任编辑：安博涛)