SIEM简介

SIEM(安全信息和事件管理)是软件和服务的组合,是SIM(安全信息管理)和SEM(安全事件管理)的融合体,两者的区别在于SEM侧重于实时监控和事件处理方面,SIM侧重历史日志分析和取证方面,SIEM为来自企业和组织中所有IT资源(包括网络、系统和应用)产生的安全信息(包括日志、告警等)进行统一的实时监控、历史分析,对来自外部的入侵和内部的违规、误操作行为进行监控、审计分析、调查取证、出具各种报表报告、实现IT资源合规性管理的目标,同时提升企业和组织的安全运营、威胁管理和应急响应能力

MSS简介

基于云化或远程技术,有机整合专家化运营能力、标准化操作流程、智能化运营平台、场景化运营数据等资源,为企业用户提供一系列超便利、高效率、低成本的网络安全服务,覆盖资产管理、风险检测、威胁监测、事件处置等,与用户协同构建持续、主动、闭环的网络安全运营体系。

SOC简介

SOC(安全运营中心)来源于NOC(网络运营中心)

随着信息安全问题的日益突出,安全管理理论与技术的不断发展,需要从安全的角度去管理整个网络和系统,而传统的NOC在这方面缺少技术支撑,于是,出现了SOC的概念。
目前所说的SOC是SOC 1.0阶段,只是在SOC的核心部件SIEM的买卖,国外所说的SOC是一个复杂的系统,它使用SIEM产品进行运维又以此向客户提供服务,也就是我们所说的SOC 2.0/MSS。

SOC(安全运营中心)是以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件及风险分析,预警管理,应急响应的集中安全管理系统。

SOC是一个复杂的系统,它既有产品,又有服务,还有运维,SOC是技术、流程和人的有机结合

SIEM侧重于日志的集中式管理和审计,SOC则用于安全日志的分析和安全风险的监控与定位。两者的侧重点不同决定了,SIEM可以用产品来交附而SOC则必需加入MSS服务的人工干预来完善。

对于两者之间的区别,SIEM只做到了传统的安全日志数量统计,SOC+MSS则是对安全日志重定义并生成新的安全事件,实现对安全日志的归并、过滤与威胁定级,将安全警报量化。例如,A公司受到的DDoS,15分钟内收到了20W条相关的安全日志。SIEM报给客户的报警为20W条,而SOC报给客户的报警为1条,显然在安全风险管理的角度上来看,SIEM的计数方式是不科学的。

MSS服务结合SOC则能做到智能化监控、分析、预警服务,改变过往自行维护繁复的安全信息与事件管理平台的习惯,摒弃安全信息与事件管理平台的复杂化,从管理的简易性、事件呈现、事件处理等角度提供解决方案,可以通过门户网站的模式获得所关心的内容,同时也可以在指定时间内通过电话等多种形式得到安全响应和相应的安全解决方案,在门户网站上也能得到更加详细的解决方案内容