SIEM 是什么 --- 一句话定义
SIEM = Security Information and Event Management,安全信息和事件管理。把它想象成企业网络的 "110 指挥中心":所有的摄像头(日志源)画面汇集到一个大屏幕上,有专人(分析师)盯着,系统还会自动识别可疑行为并报警。
SIEM 的核心功能(记忆口诀)
用 "收、存、关、警、查、报" 六个字记:
收(Collect)--- 从防火墙、服务器、终端、应用、云平台等几十上百个数据源收集日志。通过 Agent(装在终端上的采集软件)和 Forwarder(转发器)把数据送到 SIEM 平台。
存(Store/Index)--- 把收来的海量日志标准化后存储索引。比如 Splunk 的 Indexer 会给每条日志打上时间戳、来源、类型等元数据,方便后续搜索。
关(Correlate) --- 这是 SIEM 最核心的能力------关联分析。单独看一条"登录失败"日志没什么大不了,但如果 5 分钟内同一账号从 3 个不同国家尝试登录 50 次,SIEM 把这些事件关联起来就能判断这是暴力破解攻击。
警(Alert)--- 当关联规则触发时,自动生成告警并通知 SOC 分析师。告警会按严重等级分类:Critical / High / Medium / Low。
查(Investigate)--- 分析师收到告警后,在 SIEM 里用查询语言(比如 Splunk 的 SPL)深入调查,追溯攻击链路、确认影响范围。
报(Report)--- 生成合规报告(给审计用的)、仪表盘(给管理层看的)、事件时间线(给应急响应团队用的)。
企业实际应用案例
案例 1:银行检测内部威胁。 澳洲某银行的 SIEM 设了一条规则:如果一个员工在非工作时间访问了超过 100 条客户记录,立即触发高优先级告警。某天凌晨 2 点,一个客服账号查询了 500 条高净值客户信息。SIEM 关联了 VPN 登录日志发现这个账号从一个从未使用过的 IP 登录,自动升级为 Critical 事件。SOC 团队 15 分钟内锁定账号,后来调查发现是离职员工窃取了同事凭证准备倒卖客户数据。
案例 2:医院勒索软件早期检测。 昆士兰一家医院的 SIEM 检测到三个异常同时发生:一台终端短时间内连接了已知的恶意 C2 域名、该终端开始大量读取网络共享文件夹、同一时间段防火墙日志出现异常 DNS 查询。三件事单独看都可能是误报,但 SIEM 把它们关联后判断为勒索软件感染初期。安全团队立刻隔离了该终端,阻止了勒索软件扩散到整个医院网络。
案例 3:电商公司合规审计。 一家在线零售商需要满足 PCI DSS(支付卡行业数据安全标准)合规要求,SIEM 自动生成每月报告:谁访问了支付数据、有没有未授权的访问尝试、防火墙规则变更记录等,直接提交给审计方。
澳洲面试常见 SIEM 相关问题
面试官不只是考你知不知道 SIEM 这个缩写,而是考你能不能把它跟实际工作联系起来。
Q1: What is SIEM and why is it critical in SOC operations?
参考答案思路:SIEM 收集多个来源的日志并实时分析,帮助分析师更快发现威胁并在造成损害前采取行动。强调它是 SOC 的"中枢神经系统"。
Q2: How do you handle false positives in SIEM?
参考答案思路:看告警模式、资产行为、用户活动等上下文信息来判断是否误报,长期通过调优 SIEM 规则减少误报率。面试时给一个具体例子最加分,比如"某条规则把运维团队定期扫描识别成攻击,我通过添加白名单排除了该来源 IP"。
Q3: Walk me through how you would investigate a SIEM alert.
参考答案思路:验证告警真实性 → 关联其他数据源 → 分析日志 → 判断是否为真实威胁。举例说明你会查哪些日志(源/目标 IP、时间戳、用户账号、进程信息)。
Q4: What SIEM tools have you used?
不要只列工具名字,要展示你懂得为什么用它们以及它们怎么融入整体工作流。比如说"我日常用 Splunk 做实时监控、告警分类和自定义仪表盘,写 SPL 查询来关联多个数据源的事件"。
Q5: What is the difference between IDS and SIEM?
IDS(入侵检测系统)只负责检测并告警,SIEM 则是把 IDS 的告警和所有其他来源的日志汇聚在一起做关联分析。IDS 是 SIEM 的数据源之一。
Q6: 澳洲特色问题 --- Are you familiar with ASD Essential 8?
ASD(Australian Signals Directorate)是澳洲负责网络安全的机构,其下属的 ACSC 为公共和私营部门提供网络安全信息、建议和协助。Essential 8 是澳洲企业最常用的安全基线框架,SIEM 在其中的角色是监控和验证 Essential 8 策略的执行情况(比如检测未打补丁的系统、监控管理员权限使用等)。
主流 SIEM 工具对比
Splunk 是市场份额最大的,特点是查询语言 SPL 强大、插件生态丰富,但企业版按数据量收费很贵。IBM QRadar 是老牌企业级方案,强项是开箱即用的关联规则。Microsoft Sentinel 是云原生 SIEM,跟 Azure/M365 生态深度集成,按需付费对中小企业友好。Elastic SIEM 是开源方案,基于 ELK Stack,成本最低但需要自己运维。