Entry № 1156
SIEM
SIEM 是什么?
SIEM聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
安全信息与事件管理(SIEM)是 SOC 的核心日志分析平台。它从防火墙、终端、身份提供方、云 API、应用和网络传感器中接入日志与遥测,归一存储后,通过关联规则、统计基线和机器学习模型生成具备优先级的告警。现代 SIEM(如 Splunk、Microsoft Sentinel、Elastic、Chronicle、QRadar)还支持检测即代码、UEBA、威胁情报富化以及与 SOAR 集成实现自动化响应。SIEM 是事件调查、合规审计和长期取证留存的系统记录。
● 示例
- 01
Microsoft Sentinel 将 Azure AD 登录失败与 EDR 告警关联,以检测密码喷洒攻击。
- 02
Splunk 关联搜索在服务账号从异常国家登录时触发告警。
● 常见问题
SIEM 是什么?
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。 它属于网络安全的 防御与运营 分类。
SIEM 是什么意思?
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
如何防御 SIEM?
针对 SIEM 的防御通常结合技术控制与运营实践,详见上方完整定义。