SIEM和XDR下的安全分析小感悟

談不上小感悟，就是記錄一下體會吧，現在是2022年，在SIEM領域已經摸爬滾打了3年，現在突然冒出來一個XDR，說是有SOAR響應編排、動作劇本，便高階一點了，但還是在初期，有些甲方客戶覺得，乙方動了它的防火牆，心裡有一些不安全心，怕哪一天，一堆誤報把網路幹癱瘓了，因此，SOAR必定是小範圍的試點。

說起SIEM的發展，早在2017年的時候還沒有呢，差不多是2018年的時候態勢感知產品發展起來了，所以之前看到的都是單個安全裝置告警，比如防火牆告警、WAF告警、漏掃告警等等，安全運維需要一個一個裝置的看告警。

於是自然而然想到了融合所有的告警在一張螢幕上，這就是SIEM的雛型，2018年的時候SIEM還是很簡單的，一比一的告警轉換，裝置上吐出啥告警，我SIEM上就展示啥告警，多臺裝置的告警匯聚到SIEM中，最大的感受就是告警太多了呀，我究竟要看哪個告警啊。

聰明的安全運維人員發現，如果防火牆上有一個告警，漏掃上有一個對應的漏洞，而且還是同一個主機，那麼就可以認為黑客在利用這個漏洞在入侵網站，這就是關聯分析，自從有了關聯分析，SIEM便有了超越了任何單個裝置的安全發現能力了。

關聯分析讓SIEM的告警從以前的單個安全裝置告警，變成了多個安全裝置的組合告警，雖然提高了告警質量，但是隨著而來的是告警數量再次暴漲，安全運維人員苦不堪言，為什麼會陷入這個困境呢？

從甲方來看，企業引入SIEM的目的，一定是要發現威脅，發現不了威脅的SIEM，留著它何用？所以就有了大量的檢測規則，也是競標中的一個比拼項，誰的告警多，就買誰的，你乙方敢不擴充檢測規則嗎？

而問題往往就出在大量擴充的檢測中，由於靜態的規則，無法適應動態的甲方場景，隨著而來的就是海量的誤報，為了能爆出更多的威脅線索，讓安全運維人員陷入疲勞告警的狀態。

安全駐場每天都在消除誤報，遲遲給不出中毒主機，又會給甲方一個很差的印象，所以精準告警又成了另一個痛點，甲方會說，你別報那麼多的告警啦，你就給我幾個準確的，但是如何才能從眾多的告警中選出最有價值的那麼幾個告警呢？這是資料探勘的領域啊！而安全運維人員的思維還處在規則領域啊！

安全人才不懂資料探勘，數挖人才不懂網路安全，這就是困境，網路安全本身是一個綜合的應用領域，解決問題才是硬道理，如果把思維困在一個領域，而不去拓展其他領域的知識，往往會感到迷茫和無力，這也是為什麼要持續學習，不去教你做事的原因。

網路安全任重道遠，洗洗睡吧～