國內(nèi)網(wǎng)絡(luò)安全信息與事件管理類產(chǎn)品研究與測試報告（2021年）

國內(nèi)網(wǎng)絡(luò)安全信息與事件管理類產(chǎn)品研究與測試報告（2021年）前言安全運營是企業(yè)對于網(wǎng)絡(luò)安全工作的有效管理和高效輸出。隨

著企業(yè)規(guī)模變大、面臨的威脅環(huán)境更為復(fù)雜，如何通過有限的人員

對數(shù)量龐大的安全事件進行管理與快速響應(yīng)，如何更精確的度量當(dāng)

前的關(guān)鍵安全指標(biāo)，如何將安全工作與業(yè)務(wù)有效結(jié)合更好地賦能業(yè)

務(wù)，這是安全運營不斷發(fā)展、優(yōu)化的意義所在。隨著業(yè)界對安全運營活動的認知逐漸改變，用戶行為分析、安

全編排自動化與響應(yīng)、威脅情報等等，都被列入安全運營的核心需

求?？傮w來看，安全運營的發(fā)展過程是一個技術(shù)不斷融合、內(nèi)涵不

斷豐富的過程，當(dāng)下以及未來一段時期內(nèi)的安全運營將會是以

SIEM1/SOCF2為核心，結(jié)合大數(shù)據(jù)分析、機器學(xué)習(xí)、人工智能技術(shù)，融

合更多運營功能，形成新一代安全運營服務(wù)。如果將安全產(chǎn)品與技術(shù)作為企業(yè)安全工作的輸入，那么良好的

安全事件運營則是企業(yè)安全能力的穩(wěn)定輸出。而現(xiàn)在，日益復(fù)雜的

安全事件與落后的安全運營能力成為了現(xiàn)階段安全建設(shè)中的主要矛

盾。安全建設(shè)的輸入和輸出處于非常不對等的情況。對企業(yè)而言，安全管理及運營涉及方方面面，不僅僅從單點去

考慮，還需要從企業(yè)整體安全運維的角度，根據(jù)不同的安全側(cè)重點，

體系化分類管理安全事件，做到事件管理標(biāo)準(zhǔn)化、關(guān)聯(lián)信息詳實化、

人員/工具定位精準(zhǔn)化，這樣才可以做到高效安全響應(yīng)。為了更好地滿足基礎(chǔ)電信和互聯(lián)網(wǎng)、金融、能源和醫(yī)療等行業(yè)

用戶在

5G網(wǎng)絡(luò)、云計算、物聯(lián)網(wǎng)等新型業(yè)務(wù)場景下的實際需要，為

其在網(wǎng)絡(luò)安全產(chǎn)品能力選型中提供技術(shù)參考，中國信息通信研究院

（以下簡稱“中國信通院”）安全研究所聯(lián)合

FreeBuf咨詢共同完

成了此次

SIEM/SOC類產(chǎn)品調(diào)研和測試工作。本次測試主要是針對當(dāng)前行業(yè)內(nèi)主流企業(yè)的產(chǎn)品進行技術(shù)能力

測試，測試內(nèi)容和角度覆蓋全面且廣泛，測試內(nèi)容包括產(chǎn)品功能、

性能以及自身安全測試，覆蓋數(shù)十種技術(shù)能力指標(biāo)測試項。本次測

試是對各企業(yè)的

SIEM/SOC類產(chǎn)品的“能力拔高測試”，以體現(xiàn)該產(chǎn)

品在某一個技術(shù)能力領(lǐng)域的硬核實力。測試方案內(nèi)容不僅基于現(xiàn)有

相關(guān)標(biāo)準(zhǔn)，并且依據(jù)

Gartner對

SIEM/SOC的能力定義以及綜合國內(nèi)

各安全企業(yè)最佳實踐。到報名截止日期

2020

年

10

月

23

日為止，共

有

20

款產(chǎn)品報名，符合測試要求的

14

款產(chǎn)品參與此次驗證評估。本報告由中國信通院安全研究所對國內(nèi)主流

SIEM/SOC類產(chǎn)品

進行基本面測試評估，并輸出整體測試、分析結(jié)果與整體報告。由

FreeBuf咨詢通過現(xiàn)場走訪、資料整合及問卷調(diào)查的形式，對國內(nèi)

外近百家企業(yè)的使用情況進行對比分析，并深入總結(jié)國內(nèi)

SIEM/SOC類產(chǎn)品的基本現(xiàn)狀，并嘗試對其發(fā)展趨勢進行評估和預(yù)測，為企業(yè)

安全建設(shè)提供有效參考，提升安全運營與響應(yīng)能力。安全運營的演變與發(fā)展（一）安全運營的定義根據(jù)

2014

年美國

NISTF3發(fā)布的

CybersecurityFramework，安

全運營可以拆解為

5

個版塊：風(fēng)險識別（Identify）、安全防御

（Protect）、安全檢測（Detect）、安全響應(yīng)（Response）和安全

恢復(fù)（Recovery）。而安全運營的核心即解決問題，通過提出安全

解決構(gòu)想、驗證效果、分析問題、診斷問題、協(xié)調(diào)資源解決問題并

持續(xù)迭代優(yōu)化，推動整體安全目標(biāo)的實現(xiàn)。隨著企業(yè)規(guī)模變大、面臨的威脅環(huán)境更為復(fù)雜，如何通過有限

的人員對數(shù)量龐大的安全事件進行管理與響應(yīng)，如何將安全工作與

業(yè)務(wù)有效結(jié)合更好地賦能業(yè)務(wù)，是安全運營不斷發(fā)展、優(yōu)化的目的

所在。（二）安全運營的發(fā)展經(jīng)過近

30

年的發(fā)展，國內(nèi)的安全運營從粗放型逐漸轉(zhuǎn)向業(yè)務(wù)與

技術(shù)雙驅(qū)動的精細化運營。

（1）基礎(chǔ)架構(gòu)階段八九十年代末，計算機應(yīng)用迅速拓展，第一批計算機安全相關(guān)

政策、舉措開始實施，重點行業(yè)、大型企業(yè)的安全需求開始顯現(xiàn)。

這一時期，頭部行業(yè)的企事業(yè)單位正視網(wǎng)絡(luò)安全，將其作為系統(tǒng)建

設(shè)中的重要內(nèi)容之一，并且建立專門的安全部門以開展信息安全工

作。網(wǎng)絡(luò)安全廠商迎來初步發(fā)展期，將其主要研發(fā)精力投入于防火

墻、IDS、殺毒軟件三大件上，奠定了傳統(tǒng)的安全運營基礎(chǔ)架構(gòu)。（2）快速發(fā)展階段九十年代末至

2010

年，國內(nèi)網(wǎng)絡(luò)安全行業(yè)基本結(jié)束野蠻生長階

段。等級保護相關(guān)標(biāo)準(zhǔn)規(guī)范體系相繼密集出臺，中小型企業(yè)、傳統(tǒng)

企業(yè)將補全安全能力作為主要安全建設(shè)工作，而安全運營的主要手

段依然以防火墻、IDS、防病毒為主，呈現(xiàn)快速發(fā)展、被動防御的特

點。（3）體系化階段2010

年后，隨著國內(nèi)大部分企業(yè)完成信息安全建設(shè)進程，國家

和企業(yè)對于合規(guī)需求進一步升級，安全運營迎來體系化發(fā)展階段。

安全管理中心、態(tài)勢感知等安全運營理念在信息系統(tǒng)建設(shè)中同

步運用。企業(yè)將安全運營作為體系化工作開展，以基礎(chǔ)安全設(shè)備為邊界防護，內(nèi)部建立完整的安全運營中心/體系，進行整體安全規(guī)劃、

逐步開展自研并引入國內(nèi)外多種安全運營理念。（4）技術(shù)驅(qū)動階段2018

年后，AI、大數(shù)據(jù)、云計算飛速發(fā)展，新技術(shù)催生了新的

業(yè)務(wù)場景，也讓企業(yè)面臨傳統(tǒng)安全邊界消失、攻擊面無處不在、業(yè)

務(wù)增長帶來的數(shù)據(jù)量暴增等問題。為了實現(xiàn)快速、持續(xù)的響應(yīng)，安

全人員不得不與復(fù)雜的操作流程以及匱乏的資源、技能和預(yù)算做斗

爭。然而此起彼伏的安全事件讓安全運營人員即便依托安全運營平

臺，仍然疲于應(yīng)付。企業(yè)開始尋求更高效、自動化的安全運營方式，

安全運營從被動式轉(zhuǎn)變?yōu)橹鲃邮?，注重從防御、檢測、響應(yīng)和預(yù)測

四個維度構(gòu)建縱深的網(wǎng)絡(luò)安全運營體系。（三）安全運營的技術(shù)實踐本質(zhì)上，安全運營是一個安全理念和運營體系，而在國內(nèi)外落

地過程中，安全運營逐漸衍生出多種形態(tài)，如常見的

SIEM、SOC、態(tài)

勢感知平臺等。一般來說，不同國家、不同廠商對于某一安全運營

產(chǎn)品/解決方案的名稱可能存在差異，通過目前市面上已有的安全運

營產(chǎn)品/服務(wù)/架構(gòu)的了解，能夠幫助企業(yè)更好地理解安全運營是如

何把技術(shù)、流程和人結(jié)合起來服務(wù)于安全的。在以上多個安全運營形態(tài)中，技術(shù)、流程和人都必不可缺，且

安全運營能力重點體現(xiàn)在數(shù)據(jù)收集、事件分析及響應(yīng)等方面。近幾年，安全運營的各種形態(tài)在不斷集成、融合其他安全技術(shù)、

工具和策略，在優(yōu)化發(fā)展過程中，不同的安全運營平臺/產(chǎn)品相互之

間存在一定的功能交叉甚至重合。比如，SIEM作為重要的檢測響應(yīng)

技術(shù)，被

SOC、SOAPA等多個安全運營形態(tài)采用與融合，并且在安全

運營中扮演重要角色。因此，盡管

SIEM、SOC等在能力側(cè)重點、技

術(shù)等細節(jié)上存在差異，但在安全運營能力的整體提升方面的目標(biāo)仍

然是一致的。二、安全信息實踐管理技術(shù)發(fā)展現(xiàn)狀（一）技術(shù)早期發(fā)展在

SIEM萌芽階段，收集

IT網(wǎng)絡(luò)資源產(chǎn)生的各種日志，進行存

儲和查詢的日志管理是行業(yè)主流。而建立在日志管理之上的

SIM4和

SEM5就在這一時期出現(xiàn)。初代

SIEM的定義也由此開啟，2005

年，

Gartner首次將

SIM和

SEM整合到一起，并提出了

SIEM的概念，為

安全運營和管理揭開了新的篇章。此后，隨著安全合規(guī)政策的出現(xiàn)，又衍生出了新一代日志管理

技術(shù)

LM6。LM與前者的區(qū)別在于，更加強調(diào)日志的廣泛收集、海量存

儲、原始日志保留及安全合規(guī)，并借鑒搜索引擎技術(shù)實現(xiàn)快速檢索

分析能力?，F(xiàn)代

SIEM的定義實質(zhì)上融合了

SIM、SEM、LM三者，盡管各個

廠商產(chǎn)品間的重點技術(shù)能力略有區(qū)分，但以此為基礎(chǔ)的大方向是一

致的：即基于大數(shù)據(jù)基礎(chǔ)架構(gòu)的集成式

SIEM，為來自企業(yè)和組織中

所有

IT資源產(chǎn)生的安全信息（日志、告警等）進行統(tǒng)一實時監(jiān)控、

歷史分析，對來自外部的入侵和內(nèi)部的違規(guī)、誤操作行為進行監(jiān)控、

審計分析、調(diào)查取證、出具報表報告，實現(xiàn)

IT資源合規(guī)性管理的目

標(biāo)。2010

年后，伴隨著安全運營的熱度

SIEM同樣迎來蓬勃發(fā)展期，在市場占領(lǐng)和技術(shù)成熟度上都有了突破。2013

年，SIEM全球市場規(guī)

模達到

15

億美元，相比

2012

年度增長

16%，預(yù)示著

SIEM市場完全

成熟且競爭激烈。同時，在合規(guī)要求下，SIEM的目標(biāo)群體轉(zhuǎn)向中小

型企業(yè)，為了解決小型企業(yè)無力購買整體

SIEM解決方案/服務(wù)、缺

乏管理

SIEM的專業(yè)員工等問題，SIEM開始在產(chǎn)品形態(tài)、功能，還有

商業(yè)模式上進行創(chuàng)新，推出

SaaS軟件即服務(wù)，進一步推動

SIEM的

廣泛部署。（二）基礎(chǔ)核心能力SIEM/SOC的核心功能包括了日志收集、跨源關(guān)聯(lián)和分析事件能

力等，常見

SIEM工作流程可參考下圖：SIEM在數(shù)據(jù)流水線的每個階段都需要進行精細的管理、數(shù)據(jù)提

取、策略、查看警報和分析異常。其中，SIEM的核心技術(shù)點包括：日志采集及處理SIEM需要從企業(yè)相關(guān)組織系統(tǒng)中廣泛收集日志和事件，每個設(shè)

備每次發(fā)生某事時都會生成一個事件，并將事件收集到平面日志文

件或數(shù)據(jù)庫中。SIEM的任務(wù)是從設(shè)備收集數(shù)據(jù)，對其進行標(biāo)準(zhǔn)化并

將其保存為能夠進行分析的格式。在日志采集后，SIEM還需要進行日志處理，即從多個來源獲取

原始系統(tǒng)日志后，識別其結(jié)構(gòu)或架構(gòu)并將其轉(zhuǎn)變?yōu)橐恢碌臉?biāo)準(zhǔn)化數(shù)

據(jù)源的技術(shù)。日志關(guān)聯(lián)分析SIEM需要匯總所有歷史日志數(shù)據(jù)并進行實時分析警報，通常通

過分析數(shù)據(jù)建立關(guān)系，以幫助識別異常、漏洞和事件，這也是

SIEM最關(guān)鍵的一項能力。傳統(tǒng)

SIEM產(chǎn)品使用關(guān)聯(lián)規(guī)則和脆弱性和風(fēng)險評

估技術(shù)從日志數(shù)據(jù)生成警報，但是這兩種技術(shù)存在誤報及新型威脅

難以抵御地風(fēng)險，因此部分頭部

SIEM廠商積極應(yīng)用實時關(guān)聯(lián)分析引

擎，分析數(shù)據(jù)包括對安全事件、漏洞信息、監(jiān)控列表、資產(chǎn)信息、

網(wǎng)絡(luò)信息等信息，同時應(yīng)用機器學(xué)習(xí)、用戶行為分析等高級分析技

術(shù)，著力提高

SIEM的智能分析能力。安全產(chǎn)出SIEM處于安全運營的關(guān)鍵環(huán)節(jié)，其應(yīng)用目的之一便是幫助安全

運營人員高效處理安全事件。因此清晰完善的安全產(chǎn)出尤為重要。

例如根據(jù)安全事件產(chǎn)出相關(guān)報告，如人員異常登錄報告、惡意軟件

活動報等，同時根據(jù)事件分析產(chǎn)生安全警報。SIEM安全產(chǎn)出主要提

供警報和通知、儀表盤、數(shù)據(jù)探索及

API和

WEB服務(wù)等能力。盡管

SIEM在事件分析和響應(yīng)上已有成熟的體系，但近幾年趨向

復(fù)雜化、高級化的網(wǎng)絡(luò)攻擊依然對于以

SIEM為主要解決方案的安全

運營提出了挑戰(zhàn)。一是

SIEM采用關(guān)系數(shù)據(jù)庫技術(shù)構(gòu)建，但隨著日志

數(shù)據(jù)源的數(shù)量增加，數(shù)據(jù)庫的負載不斷加重，限制了實時響應(yīng)能力；

二是

SIEM在運行中會產(chǎn)生大量告警事件，“告警過載”等于無告警；

三是

SIEM采用模式匹配引擎技術(shù)（簽名技術(shù)）進行上下文的匹配，容易產(chǎn)生大量誤報；四是

SIEM簡單地將事件的嚴(yán)重程度劃分為高、

中、低，缺乏細致的決策參考，對企業(yè)網(wǎng)絡(luò)安全專業(yè)人才的技能提

出更高的要求。根據(jù)

CMSDistribution公司對企業(yè)安全運營的技術(shù)調(diào)研發(fā)現(xiàn)，

傳統(tǒng)的SIEM解決方案產(chǎn)生大量告警事件使得安全運營人員分身乏術(shù)，

同時專業(yè)安全技能人才的缺失，使得傳統(tǒng)

SIEM解決方案的平均壽命

已經(jīng)縮短到

18-24

個月，無法有效應(yīng)對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、

人工智能新時代的網(wǎng)絡(luò)安全挑戰(zhàn)。當(dāng)

SIEM的不足開始凸顯，企業(yè)的

安全水位線難以被滿足，也亟須

SIEM有新的突破以應(yīng)對更高級的威

脅。三、國內(nèi)

SIEM/SOC類產(chǎn)品應(yīng)用現(xiàn)狀（一）國內(nèi)企業(yè)安全運營態(tài)勢畫像1.安全檢測類產(chǎn)品部署現(xiàn)狀大多數(shù)企業(yè)都依靠部署安全產(chǎn)品和解決方案管理安全和合規(guī)建

設(shè)。根據(jù)調(diào)研結(jié)果，有

33.5%的受訪企業(yè)部署了

11

個以上的網(wǎng)絡(luò)安

全檢測類產(chǎn)品，部署數(shù)量在

6-10

之間的企業(yè)占比為

16.7%。直觀地看，通過眾多安全檢測類產(chǎn)品的部署，企業(yè)具備相對成

熟的單點安全防護能力，安全團隊能夠解決大部分基礎(chǔ)安全問題。

此外，企業(yè)對安全建設(shè)的投入和重視程度也可見一斑。2.安全警報數(shù)量現(xiàn)狀隨著安全檢測產(chǎn)品部署數(shù)量的增加，勢必會產(chǎn)生更多的安全警

報。對此，報告分別針對企業(yè)安全警報數(shù)量、安全警報變化狀態(tài)和

產(chǎn)生原因進行了調(diào)研，詳細調(diào)研結(jié)果如下：過去

1

年中，企業(yè)安全事件警報的數(shù)量如何變化？調(diào)研結(jié)果顯示，38.5%的受訪企業(yè)在過去一年間的安全事件警報

數(shù)量顯著增加（增加

1

倍-2

倍），19.2%的企業(yè)在過去一年間的安全

警報數(shù)量呈現(xiàn)大幅增加（超過

2

倍

以上），僅有

7.7%的企業(yè)表示過

去一年的安全警報數(shù)量幾乎沒有變化。企業(yè)過去一年間大約處置了多少有效安全警報事件？調(diào)研結(jié)果顯示，23.1%的受訪企業(yè)在過去一年間處置了

100000+

的安全警報，僅有

9.1%的企業(yè)在過去一年間處置了少于

100

的安全

警報。是什么問題導(dǎo)致安全警報事件增加？根據(jù)調(diào)研結(jié)果，共有

63.7%的受訪企業(yè)認為【威脅數(shù)量日益增

加】、【部署的安全產(chǎn)品逐漸增多】、【內(nèi)部用戶及資產(chǎn)數(shù)量增加】

是企業(yè)安全警報數(shù)量激增的核心原因。3.企業(yè)安全運營&威脅發(fā)現(xiàn)能力現(xiàn)狀針對企業(yè)安全運營&威脅發(fā)現(xiàn)能力現(xiàn)狀，報告分別從企業(yè)威脅發(fā)

現(xiàn)能力自評、企業(yè)安全運營能力自評、企業(yè)安全運營問題三個方面

進行了調(diào)研。詳細調(diào)研結(jié)果如下：企業(yè)目前威脅發(fā)現(xiàn)能力的評價為：根據(jù)調(diào)研結(jié)果，四成的受訪企業(yè)認為自己【有完善的邊界防御

體系，可及時發(fā)現(xiàn)入侵行為，但仍存在改進空間】，僅有

14.8%的受

訪用戶具備自信并表示自己【建立了全面和縱深防御體系，可快速

發(fā)現(xiàn)入侵者】。企業(yè)目前的安全運營能力評價為：根據(jù)調(diào)研結(jié)果，半數(shù)受訪企業(yè)認為安全運營能力處于【有專職

的安全運營人員，可以實現(xiàn)高風(fēng)險安全事件的響應(yīng)，但人力資源會

擱置一般性風(fēng)險事件】的階段。值得關(guān)注的是，安全運營能力成熟

度最高級和最低級的企業(yè)比例相當(dāng)，這也意味著目前國內(nèi)企業(yè)安全

運營能力仍處于兩極分化階段，不乏已經(jīng)在安全建設(shè)及運營階段走

在前列的國內(nèi)企業(yè)，但同時仍舊有部分企業(yè)處于初級救火隊的階段。企業(yè)面臨著哪些安全運營問題？根據(jù)調(diào)研結(jié)果，【缺乏有效的自動化工具】、【安全運營可視

化能力弱】、【缺乏有效的威脅跟蹤和管理平臺】、【安全運營人

員經(jīng)驗不足】是大多數(shù)企業(yè)面臨的運營問題。（二）國內(nèi)安全信息和事件管理類產(chǎn)品應(yīng)用現(xiàn)狀1.安全信息和事件管理類產(chǎn)品國內(nèi)部署現(xiàn)狀企業(yè)是否選擇部署安全信息和事件管理類產(chǎn)品？從調(diào)研結(jié)果來看，針對安全信息和事件管理類產(chǎn)品的部署選擇，

有

46.9%的企業(yè)已經(jīng)部署

SIEM/SOC產(chǎn)品。同時報告也觀察到，近九

成企業(yè)不會選擇單獨部署

SIEM/SOC產(chǎn)品，同時還會配合

UEBA、SOAR、

漏洞管理等產(chǎn)品進行綜合應(yīng)用。企業(yè)部署商用安全信息和事件管理類產(chǎn)品的品牌選擇：商用安全信息和事件管理類產(chǎn)品的廠商品牌較多，競爭也非常

激烈。根據(jù)調(diào)研結(jié)果，國內(nèi)企業(yè)對安全信息和事件管理類產(chǎn)品的品

牌選擇上，國外廠商并不占據(jù)壓倒性優(yōu)勢地位，有

51.1%的企業(yè)選擇

部署國內(nèi)廠商的產(chǎn)品。國內(nèi)廠商布局安全信息和事件管理類產(chǎn)品也是近幾年開始的動

作，在

Gartner歷年發(fā)布的

SIEM產(chǎn)品魔力象限中，無論在市場還是

技術(shù)領(lǐng)域，無一例外都是國外廠商占據(jù)領(lǐng)導(dǎo)者地位。但隨著近幾年

國內(nèi)安全信息和事件管理類產(chǎn)品市場的猛烈需求和發(fā)展，國內(nèi)廠商

也在紛紛投入精力切入該市場，根據(jù)該調(diào)研結(jié)果也能看到國產(chǎn)廠商

在國內(nèi)安全信息和事件管理類產(chǎn)品市場發(fā)展中所做的努力與成果。2.安全信息和事件管理類產(chǎn)品使用效果評價針對已部署

SIEM地調(diào)研對象，54.8%的企業(yè)認為部署

SIEM對企

業(yè)安全運營效率提升的效果一般，32.7%的企業(yè)認為部署

SIEM可以

顯著提升企業(yè)安全運營效率。根據(jù)調(diào)研，企業(yè)用戶對現(xiàn)階段

SIEM產(chǎn)品不滿意的問題主要集中

在以下六個方面：【價格高昂】、【產(chǎn)品操作復(fù)雜，對安全運營人

員的技術(shù)要求較高】、【日志關(guān)聯(lián)分析能力弱】、【誤報率過高】、

【占據(jù)大量安全資源，需要巨大的安全運營投入】、【與第三方安

全工具的集成性較差】。3.企業(yè)對

SIEM集成安全能力的期望隨著“SmartSIEM”理念的發(fā)展，企業(yè)對

SIEM的期望不僅僅局

限于傳統(tǒng)

SIEM提供的安全事信息和事件管理能力。新一代

SIEM解

決方案更加趨向于融合多項安全能力，將安全需求打通，并基于用

戶的選擇進行按需擴展，從而幫助企業(yè)更加高效統(tǒng)一地完成安全運

營工作。針對企業(yè)對

SIEM集成安全能力的期望，報告進行了定向調(diào)研，

調(diào)研結(jié)果顯示：威脅情報、端點安全（EDR）、漏洞管理、SOAR、UEBA、

NTA是大部分企業(yè)期望集成至

SIEM平臺的安全能力。4.企業(yè)對

SIEM產(chǎn)品期望改進的能力根據(jù)調(diào)研結(jié)果，54.7%的企業(yè)認為

SIEM產(chǎn)品需要提升【威脅情

報能力】、【用戶行為分析能力（UEBA）】、【安全編排及自動化

響應(yīng)能力】這三項能力。四、SIEM/SOC類產(chǎn)品測試情況綜述（一）測試基本情況本次SIEM/SOC類先進網(wǎng)絡(luò)安全能力驗證評估工作在信通院安全

所網(wǎng)絡(luò)安全實驗室進行，開始于

2020

年

11

月

2

日，結(jié)束于

2020

年

12

月

8

日。各參測企業(yè)根據(jù)測試方案分別組合自身的產(chǎn)品模塊和技

術(shù)能力，完成了

SIEM/SOC能力驗證評估。各參測企業(yè)受測的產(chǎn)品數(shù)量不同，如表

3

所示，每個參測企業(yè)

產(chǎn)品數(shù)量從一臺至五臺數(shù)量不等，但普遍為兩臺至三臺，通常一臺

設(shè)備作為采集探針，另外一臺設(shè)備作為安全分析和展示系統(tǒng)，對于

采用兩臺以上設(shè)備的企業(yè)通常是將安全分析模塊進行了能力拆分，

例如態(tài)勢感知模塊、威脅感知模塊、運維審計類探針模塊以及總體

分析和展示模塊幾個部分。參與測試的產(chǎn)品均采用了標(biāo)準(zhǔn)

1U或

2U服務(wù)器。（二）測試環(huán)境介紹本次測試主要采用IXIAPerfectStormONE流量發(fā)生器（IP地址：

11）模擬網(wǎng)絡(luò)流量、攻擊以及惡意程序等，采用

IXIAVisionE40

分流設(shè)備（IP地址：12）進行多路模擬流量

生成。如圖

16

所示測試環(huán)境網(wǎng)絡(luò)拓撲情況，流量發(fā)生器與分流設(shè)備

相連接，并配置流量策略，分流設(shè)備將模擬的測試流量同時下發(fā)多份，受測產(chǎn)品的采集口（或通過交換機轉(zhuǎn)發(fā)）與分流設(shè)備相連。管

理口交換機連接所有產(chǎn)品管理口進行統(tǒng)一管理。受測產(chǎn)品需配置

網(wǎng)段

IP作為管理

IP，并接入到受

測網(wǎng)絡(luò)中。為了保障整個測試過程的真實性與客觀性，管理口

IP以

及其他相關(guān)采集分析設(shè)備被分配的

IP不可以私自改變，在測試結(jié)果

截圖中應(yīng)包含頁面全屏，顯示出管理

IP，以明確該測試截圖內(nèi)容是

通過現(xiàn)場測試得到的結(jié)果截圖。（三）測試方法說明本次測試包括產(chǎn)品功能測試、性能測試和系統(tǒng)自身安全測試。

在功能測試方面，由

IXIAPerfectStormONE流量發(fā)生器生成相關(guān)流

量，隨后在產(chǎn)品找到采集或分析結(jié)果相應(yīng)界面，對滿足測試內(nèi)容的

部分進行截圖和說明，證明該產(chǎn)品對該測試項的滿足程度。對于不

需要專門利用流量發(fā)生器的測試項，直接在產(chǎn)品界面截圖中進行描

述說明。在性能測試方面，根據(jù)產(chǎn)品型號（千兆或萬兆），由

IXIAPerfectStormONE流量發(fā)生器生成最大混合流量，受測產(chǎn)品記錄流量

采集峰值以及峰值期間

CPU或內(nèi)存資源的消耗情況。在自身安全測

試方面，由專業(yè)白帽子滲透測試工程師利用各類

Web檢測工具，結(jié)

合手工驗證對設(shè)備系統(tǒng)和應(yīng)用層面進行全面滲透測試。（四）測試對象范圍一般情況下，SIEM/SOC類產(chǎn)品從基礎(chǔ)架構(gòu)上主要分為采集層、分析層、展現(xiàn)層。采集層通過對網(wǎng)絡(luò)內(nèi)的流量、日志進行基礎(chǔ)性收

集并進行標(biāo)準(zhǔn)化處理；分析層是一個

SIEM/SOC類產(chǎn)品的核心技術(shù)體

現(xiàn)，它通過多系統(tǒng)之間的關(guān)聯(lián)、多數(shù)據(jù)/情報標(biāo)準(zhǔn)化之后的分析，進

而形成威脅預(yù)警信息、態(tài)勢感知信息、數(shù)據(jù)治理手段等。

本次測試對象范圍主要包含安全信息和事件管理系統(tǒng)（SIEM）、

SOC安全運營中心、NGSOC態(tài)勢感知與安全運營平臺、SRC安全應(yīng)急

響應(yīng)中心等產(chǎn)品形態(tài)和類別。其中包含的功能模塊包含但不限于日

志管理、威脅情報、漏洞掃描、態(tài)勢感知、威脅預(yù)警、安全治理等

子系統(tǒng)。本次測試對象范圍主要包含安全信息和事件管理系統(tǒng)（SIEM）、

SOC安全運營中心、NGSOC態(tài)勢感知與安全運營平臺、SRC安全應(yīng)急

響應(yīng)中心等產(chǎn)品形態(tài)和類別。其中包含的功能模塊包含但不限于日

志管理、威脅情報、漏洞掃描、態(tài)勢感知、威脅預(yù)警、安全治理等

子系統(tǒng)。（五）測試內(nèi)容簡介本次測試內(nèi)容范圍覆蓋從原始網(wǎng)絡(luò)流量采集、還原，并進行網(wǎng)

絡(luò)攻擊、惡意程序、APT等威脅識別，到安全分析和態(tài)勢感知，到安

全運營和安全治理，并對風(fēng)險進行處置和溯源等網(wǎng)絡(luò)流量全生命周

期分析能力測試。如表

4

所示，測試內(nèi)容包括產(chǎn)品功能測試、產(chǎn)品

性能測試和產(chǎn)品自身安全測試三個方向。其中產(chǎn)品功能測試包括網(wǎng)

絡(luò)流量識別能力、安全分析能力、安全事件處置能力、安全事件溯

源能力、自身管理能力、自身日志審計能力六大產(chǎn)品能力，其中網(wǎng)

絡(luò)流量識別能力和安全分析能力是本次測試的重點方向。產(chǎn)品性能

測試包括網(wǎng)絡(luò)流量吞吐能力和系統(tǒng)資源使用情況測試。自身安全測

試包括針對系統(tǒng)的

Web應(yīng)用安全和業(yè)務(wù)邏輯安全測試。五、SIEM/SOC類產(chǎn)品測試結(jié)果總體分析（一）日志采集告警與基礎(chǔ)分析支持較好通過測試結(jié)果發(fā)現(xiàn)，絕大部分受測產(chǎn)品的日志采集與告警、威

脅情報采集與安全分析能力均表現(xiàn)良好。如圖

20

所示，全部受測產(chǎn)

品的兩個大項指標(biāo)的符合率高達近

90%，側(cè)面表明國內(nèi)大部分

SIEM/SOC類產(chǎn)品在日志與事件的收集、標(biāo)準(zhǔn)化和實時監(jiān)控告警方面

的技術(shù)能力已經(jīng)相當(dāng)成熟。一方面，本次測試中主要驗證受測產(chǎn)品對于收集各信息系統(tǒng)及

網(wǎng)絡(luò)的流量、日志、運行狀態(tài)、告警信息，包括

Syslog、SNMP、SNMPTrap、SSH、TELNET和文件系統(tǒng)等方式接入日志類型數(shù)據(jù)；另一方面，

本次測試對于威脅情報的采集、利用、溯源和驗證方面進行了相關(guān)的測試，根據(jù)測試結(jié)果綜合情況來看，受測產(chǎn)品普遍在威脅情報的

采集和利用方面表現(xiàn)優(yōu)異，但威脅情報的溯源和驗證功能仍具有一

定的優(yōu)化空間。如圖

22

所示，相對于受測產(chǎn)品的基礎(chǔ)能力外，多數(shù)產(chǎn)品也普遍

存在一定的功能短板，主要在自動編排能力和安全治理能力等方面。（二）自動化編排能力有待深化現(xiàn)在的安全運營場景中，往往需要整合大量的系統(tǒng)信息和事件，

運維工作的復(fù)雜度大大增加，因此必然需要產(chǎn)品提供豐富的事件響

應(yīng)與處理編排能力，能夠基于一系列預(yù)定義的預(yù)處理策略、關(guān)聯(lián)分

析策略和合并策略自動化對告警嚴(yán)重性和處置優(yōu)先級進行劃分、自

動化地執(zhí)行匹配的劇本和應(yīng)用動作，同時應(yīng)能夠?qū)ν馓峁?/p>

API調(diào)用

接口，供外部第三方應(yīng)用系統(tǒng)調(diào)用，為它們提供編排、自動化與響

應(yīng)服務(wù)。通過測試結(jié)果發(fā)現(xiàn)，大多數(shù)產(chǎn)品具備基本的告警功能，但自動化

編排響應(yīng)能力有待完善。在所有受測產(chǎn)品中，僅有三家完全支持自

動化編排相應(yīng)（SOAR），此項功能支持較好及以上的僅占全部受測

產(chǎn)品的

42%，完全不支持此項功能的占全部受測產(chǎn)品的

36%。根據(jù)測試用例要求，受測產(chǎn)品應(yīng)具備自動化告警分診、自動化

安全響應(yīng)、自動化劇本執(zhí)行、自動化案件處置以及自動化服務(wù)調(diào)用

等功能。不僅應(yīng)實現(xiàn)實時有效告警，并且告警信息在系統(tǒng)中有詳細

記錄。具備供第三方應(yīng)用調(diào)用的接口的配置，并且可以與企業(yè)其他

產(chǎn)品和其他企業(yè)或開源組件實現(xiàn)數(shù)據(jù)聯(lián)動，以滿足風(fēng)險通知等其他

擴展功能。就本次測試情況綜合評估，在安全編排自動化與響應(yīng)能

力方面，多數(shù)受測產(chǎn)品未體現(xiàn)出相關(guān)能力優(yōu)勢，需要在實踐中不斷

完善和改進。（三）安全合規(guī)審計能力亟需加強本次測試在安全治理功能的測試方面，基于當(dāng)前網(wǎng)絡(luò)安全市場

的運營趨勢提出了兩點測試項：等級保護

2.0

合規(guī)審計以及安全治

理數(shù)據(jù)。等級保護

2.0

合規(guī)審計。網(wǎng)絡(luò)安全等級保護

2.0

制度，是中國

網(wǎng)絡(luò)空間安全領(lǐng)域的基本國策和基本制度。在等級保護

1.0

時代的

基礎(chǔ)上，更加注重主動防御，建立全流程的安全可信、動態(tài)感知和

全面審計。SIEM/SOC類產(chǎn)品作為企業(yè)安全運營的核心，承載著收集、

分析和情報處理的關(guān)鍵功能，如果能通過等級保護

2.0

進行賦能與

合規(guī)管理，將大大提高

SIEM/SOC類產(chǎn)品應(yīng)用的深度和廣度。根據(jù)測試結(jié)果，有

10

款產(chǎn)品完全不支持等級保護

2.0

的合規(guī)審

計功能，占全部受測產(chǎn)品的

72%。沒有一款受測產(chǎn)品能夠完全支持本

次的測試用例。但值得期待的是，其中

1

款產(chǎn)品在后續(xù)版本將加入

等保審計功能，而另外部分產(chǎn)品可通過接入本次測試外的定制模塊、

探針等方式進行等保合規(guī)審計和安全信息事件地集中管理。從總體

上看，本次受測產(chǎn)品在等級保護

2.0

合規(guī)審計功能上亟需加強。安全治理數(shù)據(jù)。本次測試中，增加了安全治理數(shù)據(jù)的功能檢測，

旨在展示安全治理整體數(shù)據(jù)、態(tài)勢和成效。通過受測產(chǎn)品內(nèi)置安全

風(fēng)險

KPI指標(biāo)，包括安全狀況指標(biāo)、運行能力指標(biāo)、安全態(tài)勢指標(biāo)

以及合規(guī)指標(biāo)。查看總體安全治理情況。

通過測試結(jié)果發(fā)現(xiàn)，雖距安全治理的要求還有一定距離，但多

數(shù)產(chǎn)品已經(jīng)基本具備功能。大部分受測產(chǎn)品在功能上基本能夠?qū)崿F(xiàn)

查看全網(wǎng)安全威脅指數(shù)、查看安全域

KPI的態(tài)勢、不同安全域的指

標(biāo)變化以及設(shè)置

KPI的標(biāo)準(zhǔn)等。通過測試結(jié)果發(fā)現(xiàn)，雖距安全治理的要求還有一定距離，但多

數(shù)產(chǎn)品已經(jīng)基本具備功能。大部分受測產(chǎn)品在功能上基本能夠?qū)崿F(xiàn)

查看全網(wǎng)安全威脅指數(shù)、查看安全域

KPI的態(tài)勢、不同安全域的指

標(biāo)變化以及設(shè)置

KPI的標(biāo)準(zhǔn)等。（四）系統(tǒng)自身安全管理功能完善通過測試結(jié)果發(fā)現(xiàn)，幾乎全部受測產(chǎn)品在自身安全配置方面，

均具備包括不限于用戶標(biāo)識、數(shù)據(jù)安全、身份鑒別、安全審計等安

全配置功能。用戶標(biāo)識方面，具備管理角色標(biāo)識、鑒別信息、隸屬

組、權(quán)限等自定義用戶安全屬性，并具備用戶屬性初始化功能和用

戶唯一性設(shè)置。數(shù)據(jù)安全方面，具備數(shù)據(jù)安全管控機制，涵蓋數(shù)據(jù)

的創(chuàng)建、存儲、使用、共享、歸檔、銷毀數(shù)據(jù)全生命周期環(huán)節(jié)，涉

及通過網(wǎng)絡(luò)協(xié)議、接口、維護終端等多種途徑進行數(shù)據(jù)訪問、傳輸，

保證在這些途徑上的數(shù)據(jù)保密性、安全性和完整性。身份鑒別方面，

具備提供授權(quán)管理員鑒別數(shù)據(jù)的初始化、鑒別失敗處理、鑒別授權(quán)

保護等功能。安全審計方面，具備對不同的安全行為進行審計記錄

的生成，并能夠限制審計記錄的訪問。如圖

31

所示，絕大部分產(chǎn)品具有完善的自身安全管理能力。其

中

86%受測產(chǎn)品具備完善的自身管理能力，滿足測試功能要求，14%

受測產(chǎn)品在本次測試用例中存在微弱的差距。（五）Web和業(yè)務(wù)安全漏洞均有存在通過測試結(jié)果發(fā)現(xiàn)，全部受測產(chǎn)品均存在應(yīng)用安全漏洞。本次

測試過程中，通過系統(tǒng)漏洞測試、應(yīng)用安全測試、口令破解、數(shù)據(jù)

包分析等不同工具和方法，對受測產(chǎn)品的

Web應(yīng)用和業(yè)務(wù)安全進行

了測試，測試內(nèi)容包括不限于對

Web應(yīng)用進行安全掃描監(jiān)控，查看

Web應(yīng)用是否存在安全漏洞、利用業(yè)界知名安全掃描工具/開源掃描

工具掃描和人工滲透測試嘗試發(fā)現(xiàn)

Web應(yīng)用是否存在的安全風(fēng)險、

對系統(tǒng)業(yè)務(wù)邏輯進行分析和測試，查看業(yè)務(wù)邏輯是否存在漏洞（越

權(quán)、數(shù)據(jù)泄漏等）。在本次全部受測產(chǎn)品中，均存在

Web和業(yè)務(wù)安

全漏洞。所有產(chǎn)品的高危漏洞占總漏洞數(shù)的

33%，中危漏洞占

55%，

低危漏洞占

12%。其中，有

8

款產(chǎn)品均存在不同危害程度的高危漏洞。

如圖

32

所示各產(chǎn)品漏洞數(shù)量。六、SIEM/SOC類產(chǎn)品威脅識別能力分析（一）各類網(wǎng)絡(luò)攻擊發(fā)現(xiàn)和分析的能力在本測試中，利用流量發(fā)生器構(gòu)造了近

5000

條漏洞利用攻擊，

包括但不限于遠程代碼執(zhí)行、破殼漏洞利用、SQL注入、HTTPPUT方法任意寫文件、暴力破解、端口掃描、非法權(quán)限獲取、挖礦、木

馬后門通信、中間件漏洞等，用于驗證受測產(chǎn)品的網(wǎng)絡(luò)攻擊識別和

分析能力。通過測試結(jié)果發(fā)現(xiàn)，絕大部分受測產(chǎn)品可實現(xiàn)對網(wǎng)絡(luò)攻擊的基

本識別，需加強機器學(xué)習(xí)、數(shù)據(jù)圖譜等高級關(guān)聯(lián)分析和溯源展示能

力。在網(wǎng)絡(luò)攻擊識別方面，多數(shù)受測產(chǎn)品能識別出

Web應(yīng)用攻擊、

弱口令、暴力破解、掃描與爬蟲、數(shù)據(jù)庫攻擊、敏感信息泄露、惡

意通信流量、內(nèi)網(wǎng)滲透、通用應(yīng)用漏洞攻擊、惡意軟件、后門識別、異常協(xié)議等攻擊行為。（二）多步驟攻擊發(fā)現(xiàn)和關(guān)聯(lián)分析的能力通過測試結(jié)果發(fā)現(xiàn)，絕大部分產(chǎn)品可以實現(xiàn)分析流量中的多步

驟攻擊鏈條，包括基于攻擊鏈模型的分析、攻擊源追溯等功能。但

是在風(fēng)險告警與攻擊鏈構(gòu)成防御策略方面仍需不斷完善。隨著各企

業(yè)在國家

APT網(wǎng)絡(luò)攻擊對抗領(lǐng)域的不斷深入研究與實踐，應(yīng)持續(xù)完

善產(chǎn)品能力，以在網(wǎng)絡(luò)安全防御與應(yīng)急響應(yīng)工作中起到實際效果。ATT&CK28F7技術(shù)落地仍需完善。在本測試用例中，利用流量發(fā)生器

構(gòu)造具有完整攻擊鏈的

APT攻擊，查看受測產(chǎn)品是否具備提供攻擊

鏈模型的安全事件監(jiān)測的方法，是否能夠直觀呈現(xiàn)攻擊者的抽象行

為并提供攻擊路徑追溯等功能。如圖

36

所示，雖然絕大部門受測產(chǎn)品都可以識別出多步攻擊鏈

條，但是其中仍有

3

款產(chǎn)品不支持通過以

ATT&CK為例的全過程告警

功能，占全部測試產(chǎn)品的

22%。七、SIEM/SOC類產(chǎn)品態(tài)勢感知能力分析態(tài)勢感知能力，不僅是SIEM/SOC類產(chǎn)品對于數(shù)據(jù)分析的展示層，

更代表一個系統(tǒng)對于網(wǎng)絡(luò)中的資產(chǎn)、用戶以及環(huán)境等各方面信息的

深度理解和分析，從而形成全局視角，以用于決策支撐、應(yīng)急響應(yīng)

和安全處置等。本次測試過程中分別對

SIEM/SOC類產(chǎn)品的攻擊和威

脅態(tài)勢感知能力、資產(chǎn)和運行態(tài)勢感知能力、用戶實體和

UEBA能力

等方面進行逐一測試，用來分析受測產(chǎn)品在態(tài)勢感知方面的功能支

持情況。（一）攻擊和威脅態(tài)勢感知能力分析根據(jù)測試結(jié)果，大部分受測產(chǎn)品均具備一定的攻擊和威脅態(tài)勢

分析能力。其中，攻擊態(tài)勢感知能力主要能夠?qū)崿F(xiàn)顯示攻擊源國家

TOPn、顯示不同時間段的攻擊事件量、顯示情報命中數(shù)、顯示當(dāng)前

攻擊狀態(tài)值、顯示當(dāng)前攻擊趨勢值等內(nèi)容。威脅態(tài)勢感知能力能夠

實現(xiàn)潛伏威脅感知、外部威脅感知、威脅情報態(tài)勢感知等方面的內(nèi)

容。如圖

39

所示，本次受測產(chǎn)品中，有

4

款產(chǎn)品在攻擊和威脅態(tài)勢

感知的功能上完全滿足測試要求，占全部受測產(chǎn)品的

29%；有

1

款產(chǎn)

品完全支持攻擊態(tài)勢感知能力但威脅感知能力還需加強。其他產(chǎn)品

均為基本支持或者較好的支持本次的測試用例，測試中未發(fā)現(xiàn)不支

持此功能的產(chǎn)品。（二）資產(chǎn)和運行態(tài)勢感知能力分析根據(jù)測試結(jié)果，大部分受測產(chǎn)品均具備一定的資產(chǎn)和運行態(tài)勢

分析能力。其中，資產(chǎn)態(tài)勢感知能力主要能夠展示資產(chǎn)安全概覽、

展示業(yè)務(wù)系統(tǒng)和安全域

TOPn、資產(chǎn)價值分布、資產(chǎn)發(fā)現(xiàn)示意圖、展

示互聯(lián)網(wǎng)資產(chǎn)暴露、展示操作系統(tǒng)版本、展示資產(chǎn)端口類型、展示

資產(chǎn)來源、正常展示網(wǎng)段分布、展示資產(chǎn)分類統(tǒng)計信息和資產(chǎn)發(fā)現(xiàn)

的來源等。運行態(tài)勢感知能力主要能夠顯示全網(wǎng)安全狀況及風(fēng)險分

布地圖、安全域風(fēng)險等級

TOPn、不同時間維度脆弱性、威脅和風(fēng)險

TOPn、安全域價值等級分布、攻擊關(guān)系圖、威脅分布狀況等等。根據(jù)測試結(jié)果，本次受測產(chǎn)品中，有

6

款產(chǎn)品在攻擊和威脅態(tài)

勢感知的功能上完全滿足測試要求，占全部受測產(chǎn)品的

43%；有

2

款產(chǎn)品完全支持其中一項態(tài)勢感知功能。僅有

1

款產(chǎn)品不支持此項

態(tài)勢感知功能。其他產(chǎn)品均為基本支持或者較好的支持本次的測試

用例。（三）用戶實體畫像和

UEBA能力分析UEBA是

SIEM/SOC的關(guān)鍵功能，Gartner曾預(yù)測，到

2020

年，80%的

SIEM產(chǎn)品都將具備

UEBA功能。根據(jù)本次測試結(jié)果，大部分受

測產(chǎn)品均具備用戶實體畫像分析能力和

UEBA分析能力，但在機器學(xué)

習(xí)和深度分析上仍存在很大空間。其中，用戶實體畫像分析能力主

要能夠添加設(shè)備的詳細畫像、能夠在場景畫像查看由于

UEBA場景所

觸發(fā)的實體畫像、能夠在獵物畫像看到威脅狩獵所觸發(fā)的實體畫像

等。UEBA分析能力主要是圍繞用戶和資產(chǎn)提供細粒度的行為分析場

景，找出潛在的內(nèi)部威脅與安全風(fēng)險，并且可以查看異常行為場景

的詳細信息，進行深度分析操作，例如生成畫像，進行威脅狩獵，

產(chǎn)生告警，誤報忽略等操作，同時對場景進行配置管理，包括場景

的開啟和關(guān)閉以及特征配置的調(diào)整。根據(jù)測試結(jié)果，本次受測產(chǎn)品中，有

3

款產(chǎn)品在用戶實體畫像

分析功能和

UEBA分析功能上完全滿足測試要求，占全部受測產(chǎn)品的

21%；有

3

款產(chǎn)品完全支持其中一項功能。有

2

款產(chǎn)品不支持此項功能。支持較好及以上的受測產(chǎn)品在用戶實體畫像分析功能和

UEBA分

析功能占比分別為

58%和

72%。八、SIEM/SOC類產(chǎn)品趨勢展望根據(jù)

Gartner的定義，安全信息和事件管理（SIEM）技術(shù)通過

對來自各種事件和上下文數(shù)據(jù)源的安全事件的實時收集和歷史分析

來支持威脅檢測和安全事件響應(yīng)。在安全運營的發(fā)展歷程中，SIEM作為一種非常有效的技術(shù)解決方案，一直以來都是安全運營的關(guān)鍵

輸入，尤其是在安全響應(yīng)（Response）版塊發(fā)揮關(guān)鍵作用。而隨著安全數(shù)據(jù)、應(yīng)用、場景量的激增，SIEM的技術(shù)能力也在不斷優(yōu)化。回顧

SIEM/SOC發(fā)展演變的歷程，我們可以看到其發(fā)展與安全運

營的變化相契合，并不斷優(yōu)化以滿足安全運營的需求?；仡?/p>

SIEM/SOC發(fā)展演變的歷程，我們可以看到其發(fā)展與安全運

營的變化相契合，并不斷優(yōu)化以滿足安全運營的需求。（一）“智能

SIEM”將引領(lǐng)新一代

SIEM能力發(fā)展新一代

SIEM從解決傳統(tǒng)

SIEM的告警爆炸、企業(yè)網(wǎng)絡(luò)安全專業(yè)

技能人才的匱乏等問題出發(fā)，能力集中在日志和事件融合分析、人

工智能技術(shù)集成、關(guān)聯(lián)分析、用戶行為分析、安全編排自動化與響

應(yīng)、威脅狩獵等方面。我們將新一代

SIEM定義為“智能

SIEM（SmartSIEM）”。對比傳統(tǒng)

SIEM產(chǎn)品的技術(shù)能力，SmartSIEM的能力發(fā)展趨勢

更多集中在智能化、主動化、集成化。1.智能化：AI+自動化驅(qū)動隨著事件數(shù)量的增加，使用舊

SIEM解決方案的企業(yè)能夠擁有大

量的日志和事件數(shù)據(jù)，但無法智能地了解數(shù)據(jù)背后的原因。企業(yè)需

要更智能的

SIEM，通過機器學(xué)習(xí)技術(shù)或自動化手段消除一些普通重

復(fù)的任務(wù)，以確保有限的企業(yè)資源不會因警報疲勞而陷入困境。在

此過程中，SmartSIEM更強調(diào)應(yīng)用用戶行為分析（UEBA）和安全編

排自動化和響應(yīng)（SOAR）等能力?；跈C器學(xué)習(xí)的

UEBA技術(shù)。用戶和實體行為分析（UEBA）這項

技術(shù)通常利用數(shù)百種機器學(xué)習(xí)模型來分析大量事件，并為每個實體（用戶/機器/打印機/IP地址等）識別“正?！毙袨?。對于每個實體，

通過將其基線與新行為及其對等實體的基線進行比較，并將數(shù)百條

線索之間的點連接起來，以評估是否產(chǎn)生風(fēng)險分數(shù)異常行為預(yù)示著

真正的安全風(fēng)險。這樣，數(shù)十億個數(shù)據(jù)點就變成了少數(shù)優(yōu)先的威脅

線索，從而減少了警報，并使安全運營人員可以專注于調(diào)查對企業(yè)

構(gòu)成真正風(fēng)險的威脅。UEBA的機器學(xué)習(xí)類型通常分為兩類：監(jiān)督機

器學(xué)習(xí)和無監(jiān)督機器學(xué)習(xí)。監(jiān)督機器學(xué)習(xí)依賴于大型標(biāo)簽數(shù)據(jù)集來訓(xùn)練模型，它非常適合

識別具有已知攻擊模式或危害指標(biāo)（IOC）的已知網(wǎng)絡(luò)安全威脅。例

如，惡意軟件檢測是此類機器學(xué)習(xí)的用例之一，因為該行業(yè)具備數(shù)

十年的惡意軟件數(shù)據(jù)，可以提供用作訓(xùn)練模型的數(shù)據(jù)依據(jù)。無監(jiān)督機器學(xué)習(xí)通過查找數(shù)據(jù)集中的模式進行學(xué)習(xí)，因此非常適合異常檢測，在異常檢測中它可以自動比較并查明異常行為，適

應(yīng)企業(yè)的數(shù)據(jù)并發(fā)現(xiàn)新的模式，無須人工指導(dǎo)機器尋找。將

UEBA與

SIEM有效結(jié)合使用，可以提供一種分層的安全分析

方法，快速、有效地找到已知威脅，

并幫助運營人員提高檢測與響

應(yīng)效率。安全編排自動化和響應(yīng)（SOAR）技術(shù)SOAR的概念最早由

Gartner在

2015

年提出，SOAR的三大核

心技術(shù)能力分別安全編排與自動化

（SOA，SecurityOrchestrationandAutomation）、安全事件響應(yīng)平臺

（SIRP,

SecurityIncidentResponsePlatform）

和威脅情報平臺

（TIP,

ThreatIntelligencePlatform）。SOAR可以根據(jù)事先的預(yù)案（Playbook）進行編排和自動化，能

國內(nèi)網(wǎng)絡(luò)安全信息與事件管理類產(chǎn)品研究與測試報告（2021

年）

53

夠有效地簡化安全運營人員的手工作業(yè)，減少了單調(diào)繁重的威脅分

析過程。一是

SOAR幫助安全分析人員更快地響應(yīng)和調(diào)查攻擊，使他

們能夠更快地開始緩解。自動化功能使他們能夠采取措施將攻擊風(fēng)

險降到最低，而無須人工干預(yù)。二是SOAR自動化技術(shù)與機器學(xué)習(xí)（ML）

和人工智能（AI）相結(jié)合，它們提供了更快的方法來識別新的攻擊，

并使預(yù)測分析能夠得出統(tǒng)計推斷，從而以更少的資源緩解威脅。三

是利用

SOAR的編排和自動化技術(shù)，安全運營人員可以在多個安全工

具之間快速進行協(xié)調(diào)、從多個來源快速獲取威脅源，并使工作流自

動化以主動掃描整個環(huán)境中的潛在漏洞。四是安全運營人員通常需

要花費大量時間來管理案例，創(chuàng)建報告并記錄事件響應(yīng)程序。SOAR通過自動化操作手冊、創(chuàng)建知識庫沉淀，幫助企業(yè)保留安全運營經(jīng)

驗并持續(xù)迭代學(xué)習(xí)。將

SIEM和

SOAR結(jié)合后，能夠大大縮短

MTTD（平均檢測時間）

和

MTTR（平均修復(fù)時間），解決安全運營人員短缺的問題，并降低

SIEM/SOC中常見的告警爆炸問題，并通過自動化實現(xiàn)運營成本有效

降低。2.主動化：威脅感知與主動防御企業(yè)需要尋找通過預(yù)測和預(yù)期對手的下一步行動來具備主動競

爭的能力，在此過程中，新一代

SIEM/SOC需要具備威脅感知和主動

防御的能力。將

SIEM/SOC與威脅情報匹配，企業(yè)能夠以敏捷和快速

反應(yīng)的方式應(yīng)對不斷發(fā)展的、大批量、高優(yōu)先級的威脅。通過威脅情報平臺，企業(yè)可以匯總和合理化威脅數(shù)據(jù)，自動篩

選出攻陷指標(biāo)（IOC）作為可機讀威脅情報（MRTI），并且使用現(xiàn)存

的日志對比匹配以便輕松發(fā)現(xiàn)不常見的趨勢或線索，并對其有效執(zhí)

行操作。通過將團隊、流程和工具結(jié)合在一起，威脅情報平臺指導(dǎo)

安全響應(yīng)并進行阻斷，節(jié)省了追蹤傳統(tǒng)

SIEM/SOC產(chǎn)生誤報所花的大

量時間。如果將

SIEM/SOC與威脅情報平臺相結(jié)合，企業(yè)可以將所有人、

過程和技術(shù)統(tǒng)一在智能驅(qū)動的防御背后，獲得強大的安全運營增益

效果。一是日志、事件和數(shù)據(jù)的進一步分析。將來自威脅情報平臺

的攻陷指標(biāo)將自動發(fā)送到

SIEM/SOC中進行警報，并將來自

SIEM/SOC的特定事件發(fā)送回威脅情報平臺來進行關(guān)聯(lián)分析、數(shù)據(jù)挖掘和優(yōu)先

性排序，分析人員可以鎖定惡意行為的所在位置。二是建立企業(yè)自

身威脅知識庫。綜合性威脅情報平臺可以作為企業(yè)的中央威脅信息庫。幫助企業(yè)了解網(wǎng)絡(luò)犯罪分子的工具、流程、受害者和預(yù)期目標(biāo)。

三是根據(jù)企業(yè)網(wǎng)絡(luò)環(huán)境生成和優(yōu)化情報。威脅情報平臺增加了上下

文信息和關(guān)系豐富的指標(biāo)，從而使企業(yè)能夠更好地了解威脅的性質(zhì)、

對企業(yè)風(fēng)險更有效地做出全面的反應(yīng)。四是主動防御。威脅情報平

臺支持安全響應(yīng)團隊尋找線索和聯(lián)系，這可以顯示攻擊企業(yè)的威脅

與可能存在的威脅之間的關(guān)系，并發(fā)現(xiàn)新的相關(guān)的情報。使用這些

信息，幫助安全團隊變被動防御轉(zhuǎn)為主動防御。3.集成化：多元安全能力高效聯(lián)動隨著

SIEM/SOC的發(fā)展，SmartSIEM的定義中逐漸集合了多種

安全能力，例如前文提到的用戶和實體行為分析（UEBA）、安全編

排自動化和響應(yīng)（SOAR）、威脅情報等多種能力。這些能力可以是

單獨的產(chǎn)品，但是對企業(yè)而言，集成化將是更好的選擇。事實上，在原有的企業(yè)安全建設(shè)中，常常面臨的問題就是不同

品牌、不同功能的產(chǎn)品并行在企業(yè)網(wǎng)絡(luò)中。數(shù)量眾多、品牌各異、

功能不同的安全產(chǎn)品大大提高了安全運營工作的復(fù)雜度，對安全運

營人員的要求也將更高。同時，不同安全產(chǎn)品產(chǎn)生的各類數(shù)據(jù)及事

件繁雜且細密，致使安全運營人員深陷于事件風(fēng)暴中，無法有效尋

找梳理有效信息和及時處理安全警報。在此背景下，新一代

SIEM/SOC的需求逐漸被引導(dǎo)為各類安全能

力的遷移和集成。例如，用于定義劇本和流程的編排和自動化工具

或充當(dāng)中央存儲庫的威脅情報平臺、可以使用上下文的外部全局威脅情報來聚合和豐富大量內(nèi)部威脅和事件數(shù)據(jù)，方便企業(yè)可以了解

并確定優(yōu)先級采取行動。此外，集成化的體現(xiàn)還包括

SIEM/SOC對各安全品牌產(chǎn)品的兼容

與多元化。企業(yè)戰(zhàn)