防御与运营
SIEM
定义
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
安全信息与事件管理(SIEM)是 SOC 的核心日志分析平台。它从防火墙、终端、身份提供方、云 API、应用和网络传感器中接入日志与遥测,归一存储后,通过关联规则、统计基线和机器学习模型生成具备优先级的告警。现代 SIEM(如 Splunk、Microsoft Sentinel、Elastic、Chronicle、QRadar)还支持检测即代码、UEBA、威胁情报富化以及与 SOAR 集成实现自动化响应。SIEM 是事件调查、合规审计和长期取证留存的系统记录。
示例
- Microsoft Sentinel 将 Azure AD 登录失败与 EDR 告警关联,以检测密码喷洒攻击。
- Splunk 关联搜索在服务账号从异常国家登录时触发告警。
相关术语
安全运营中心(SOC)
集中化的团队与设施,持续监控、检测、调查并响应组织 IT 环境中的网络安全事件。
SOAR
通过将检测、富化与响应动作串联为剧本并在各类安全工具中执行,实现 SOC 工作流自动化与编排的平台。
UEBA(用户与实体行为分析)
一种安全分析方法,先对用户与实体的正常行为建立基线,再标记出可能预示账号失陷或内部滥用的统计性偏差。
Log Analysis
Log Analysis — definition coming soon.
威胁情报
关于威胁与威胁行为者的、基于证据的知识——包含指标、TTP 和背景——用于指导安全决策与检测。
Indicator of Compromise (IoC)
Indicator of Compromise (IoC) — definition coming soon.