安全检测与运营是企业网络安全建设中的重要支柱。Gartner于今日发布了针对SIEM的一份最新分析报告《Critical Capabilities forSecurity Information and Event Management》,其中提出了两个重要的企业网络安全战略假设:
1. 到2025年,90%的SIEM部署模式均为 SaaS(云)模式;
2. 到2025年,75%的SIEM解决方案中会自带完整的TDIR(威胁检测、调查和响应)能力,例如包含EDR\NDR\CASB等功能。
这再次说明了以下两个大趋势:
1、 云是安全的未来;
2、 融合统一集成是安全能力的未来。
其中微软的SIEM/SOC解决方案MicrosoftSentinel 名列SIEM核心能力榜单的两个榜首,如下所示:
这是继上个月 Gartner 把MicrosoftSentinel列入到SIEM魔力象限领导者象限的又一肯定:
以下是Gartner对微软的相关评价:
微软的SIEM产品是Microsoft Sentinel,该平台仅在SaaS版本中可用,并包括大量用于Microsoft功能和合作伙伴技术的开箱即用连接器。包含的 SOAR 功能基于 Azure 逻辑应用构建,对Jupyter 笔记本案例管理与报告的支持都是标准包的一部分。
Microsoft Sentinel 通过区域数据中心在全球范围内提供,作为标准配置。它提供 90 天的数据保留期,可选择延长至两年,并包括长达 7 年的冷存储。该产品提供了许多附加功能,包括Microsoft Defender for Endpoint和Microsoft Defenderfor IoT。
最近添加和值得注意的功能包括:
- 增加的MITRE ATT&CK覆盖映射和专用仪表板支持跟踪和了解组织与框架标准的一致性。
- 直接内置于 Microsoft 平台中的无代码连接器和数据规范化功能简化了载入新数据源的过程。
- 通过“基本日志”进行的低成本日志管理扩展了现有的“分析日志”功能,无需持续监控和高级分析即可提供搜索功能。
微软拥有强大的TDIR功能,还提供许多SIEM额外收费的内置组件,例如SOAR。
这个分析报告中的其他关键内容:
对于SIEM相关产品而言,
- 扩展功能通常随SIEM 一起提供,以增强安全运营团队集中执行更多职责的能力。这些扩展功能正在创建新的功能,而不是简单地重新定义SIEM。
- 处理日志数据以及创建逻辑驱动的关联规则和分析的需求仍将是 SIEM 的核心功能。 但是,通常包含附加组件以及从整个市场中选择和集成与 SIEM 配合使用或集成的最佳技术的灵活性是一个单独的主张。
- 安全运营团队需要一个平台来一致地检测、调查和响应威胁,执行威胁搜寻流程,自动执行扩充活动并远程激活缓解步骤。尽管SIEM是解决方案的一部分,但买家最终将需要TDIR功能。SIEM将与其他安全解决方案一起使用,例如安全编排、自动化和响应(SOAR),用户实体和行为分析(UEBA),威胁情报平台(TIP)和事件管理等等。
主要发现
- Gartner 客户通常更喜欢软件即服务安全信息和事件管理部署。由于许多 IT 职能将大部分 IT 功能作为SaaS 外包给单一供应商,他们需要为云优先业务提供互补且紧密集成的解决方案。
- SIEM 功能正在偏离安全运营中心的核心角色,许多人意识到他们需要更广泛的集成威胁检测、调查和响应功能,这些功能超越传统的日志驱动解决方案。
- 许多 SIEM 解决方案正在简化其运营能力,并专注于更不成熟的买家,提供更多开箱即用的内容、自动化和向导来帮助设置日志摄取。这种简化有时是以定制解决方案的能力为代价的,并且可能对成熟的买家没有吸引力。
- SIEM 解决方案的打包和许可选项开始与其他 SaaS 解决方案的购买方式保持一致。计算和存储模型通常被弃用,以便更好地调整每个用户/每个资产模型。然而,将数据发送到平台的成本仍然存在,大多数云提供商都需要支付跨境数据费用。
负责安全运营的安全和风险管理主管必须:
- 使用关键安全风险创建用例要求,并确定 SIEM 支持威胁检测用例所需的必要数据源和集成。“所有你可以吃”的SIEM数据通常非常昂贵或对大多数买家来说不可用。
- 通过评估合规性/法规要求、关键需求驱动数据源的位置及其组织的体系结构策略,确定 SIEM 的部署模型(例如 SaaS、本地、混合)。
- 实施 SIEM 作为更广泛战略的一部分,为安全运营 中心员工和/或托管服务提供商创建威胁检测、调查和响应功能,以执行安全运营职责。考虑业务流程、自动化、高级检测功能,例如用户实体和行为分析以及响应管理的案例管理要求。
完整的分析报告,请访问:
https://www.gartner.com/doc/reprints?id=1-2AHCXAHL&ct=220701&st=sb
热门跟贴