SIEM 玩過界！與安全廠商交換情報實時揪出可疑日誌

SIEM 方案早前我們都介紹了很多，其最主要的作用就是為用户建立到一個中控台，並將系統的 Log 集中，從而令管理員可於單一介面之中，更清楚網絡、設備有沒有出現異常情況，當發現問題時便可第一時間處理，以達致預防的效果。

傳統的 SIEM 著重齊全的監控以及 Log 分析功能，不過大家又有沒有想過 SIEM 其實可以再進一步？早前我們介紹過一套名為 SolarWinds Log & Event Manager 的方案近日便為方案更入了全新的功能，這些功能主要於傳統的 SIEM 方案之中加入一些更互動、更智能的功能，令管理員可於 SIEM 方案之中做到更多。

其中一個新功能便是威脅情報饋送。此功能主要的作用是為用户提供立即可用的威脅情報資料，並可自動標記事件以便更簡單地執行報告或搜尋即可識別可疑活動。透過對照由第三方安全研究團隊編製的已知惡意威脅清單分析和對比活動，IT 管理人員便可識別已知道及已證實的威脅並限制網路攻擊的影響，其中管理員可：

1. 針對與已知危險機器通訊的內部主機的惡意軟件感染。
2. 網路釣魚嘗試，即內部主機點按不知底細的電子郵件並「秘密回報」惡意指令和控制伺服器。
3. 來自本身可能已感染或已知存在惡意活動的主機的外部攻擊。

除了上述較為值得一提的新功能之外，方案亦加入了以下新功能：

1. 將 SolarWinds Log & Event Manager 監控的所有流量與來自定期更新的威脅饋送的資料進行對比以識別惡意活動。
2. 立即可用的篩選器和可自訂的相關規則，以基於特定 IT 需要對特定威脅或威脅組合發出警報。
3. 透過停用網路連線、關閉系統程序或從特權小組移除網域使用者，針對偵測到的任何威脅立即採取措施。
4. 自動更新日誌標準化範本，令 SolarWinds Log & Event Manager 支援最新的供應商和裝置。