企业需要动态的谍报驱动型防御办法来有效辨认之前没有见过的歹意行动;这些异常行动终很可能带来危险的零日报复打击——这类报复打击每天在互联网上残虐。而企业防御的关头构成部门是安然信息和事务治理(SIEM)产品，SIEM为企业供给了中间存储库来汇集和监控收集行动。

　　不幸的是，糟的摆设和供给商的过度发卖让SIEM留下了不好的名声。与此同时，良多企业摆设SIEM只是为了知足合规性陈述要求，很少有企业充分操纵该手艺的事务治理功能。

　　但是，第二代SIEM产品可能会改变这类状况。第二代SIEM具有进步前辈的安然阐发，并且数据汇集也扩大年夜了范围及范围，这意味着良多不合的事务可以用来及时找出异常勾当。

　　企业创作发现了海量的数据：电子邮件、文档、社交媒体交互、音频、收集流量、点击流、被拜候文件的日记信息、注册表变动和被启动和遏制的过程，这些数据可以用于发现异常勾当。同时，系统信息(例如措置器和内存操纵率)也能够用来发现系统中意想不到的改变。面对这复杂年夜的数据，在评估下一代SIEM产品时，可扩大性、强大年夜的阐发东西和对异构事务源的撑持是最首要的功能，出格是当涉及时候敏感型法度(例如讹诈检测)时。另外一个关头身分是用于可视化和摸索这些数据的东西，还有基于营业方面的可把持谍报，如许企业便可以发现并优先措置构成最大年夜风险的威胁。

　　为了充分操纵所有这些数据，和经由过程发现深躲在企业数据中的线索以进步检测率，SIEM需要操纵“自适应智能”;换句话说，它必需体味甚么是正常事务，从而熟谙甚么是异常事务，因为异常事务是高级威胁或数据泄漏变乱的首要指标。SIEM还必需可以或许辨认报复打击模式，即便报复打击已分散了一段时候。设置SIEM法则是一个几次的过程，不外，有些产品可以或许撑持基于法则和没法则相干性的同时利用，从而削减初始建设时候，主动化登录和身份验证监控过程，和削减误报数量。当然自进修算法仍然处于起步阶段，但操纵恍惚逻辑、行动阐发、聚类算法和策略法则的及时身份联系关系可以或许供给真实的无签名检测，以避免未经授权拜候，并在用户、账户和资本程度找出异常勾当。

　　别的，连络来自全球安然社区的外部威胁谍报可以进一步明白甚么是正常事务或可接管事务，如许，阐发将不再局限于一家企业产生的数据。对此，企业应寻觅矫捷的易于摆设的数据来历，让现有安然监控产品可以有效地操纵它们。对布局化数据和非布局化数据的及时阐发是必不成少的。

　　对将数据存储在云中的企业，他们应当寻觅撑持SIEM数据被内部SIEM汇集的办事供给商。这可以或许供给云计较和内部环境的统一视图，前提是SIEM可以或许措置供给商的数据—这多是不合的格局。在平台即办事(PaaD)环境中，企业可以安装监控代办署理来推送流量和日记到内部办事器进行措置，而一些SIEM东西可以操纵特定的软件即办事(SaaS)利用法度接口来从公共云汇集日记信息，如许企业可以联系关系跨多个平台的事务，从而产生连络了内部和云计较利用的仪表板视图和审计陈述。但是，收集带宽、延迟和数据传输成本阻碍着企业即时间断歹意勾当。

　　对任何SIEM来讲，为汇集和阐发的信息供给仪表板视图是一个首要的功能，一样首要的是，供给有效对策的可把持陈述，如许，治理员可以看到哪里最需要寄望。同时，请不要忽视以不合编制输出信息的功能，因为不合好处相干者可能想要关于牵扯到其好处的安然风险的信息，最后是以他们可以或许理解的程度来闪现，以便他们充分体味到其相干性。这将会使会商更等闲，并且更快速地找出最合适的做法。

　　为了加快决定计划，企业不但需要向SIEM供给更多信息，和让它可以或许更快发现事务;安然团队还必需可以或许更快反应和响应。事务响应团队需要熟谙SIEM生成的警报和警告类型，并摆设行之有效的法度。这不但可以或许确保准确的人知道采纳准确的步履，并且这些工作可以或许进行调和。

　　当然，安然团队必需有能力来措置和响应SIEM生成的额外警报和警告，抽出时候来清算和分类数据资产将让SIEM更好地优先排序威胁。SIEM内有时还包含资产发现和阐发东西，这两个东西可以或许削减花在收集资产分类的事务，也能够或许应对建设改变和硬件和软件变动。

　　杰出的安然性是一个延续的过程，资本丰硕和杰出建设的SIEM可以供给关于安然状况、缝隙和威胁的及时信息，从而撑持安然团队治理和呵护运行其核心任务和营业功能的信息系统。假定团队有充沛的资本和颠末测试的法度，企业整体信息安然将会获得改良。在任甚么时辰候，这都是个有价值的方针。