[分享] 資安事件管理(SIEM)的魔術象限

談到Gartner的Magic Quadrant(魔術象限)，它是Garther在特定的時間內，對於市場和使用者的體驗，所作出的分析結果，也一向是被許多廠商用來證明自己的產品，已在市場中佔有一席之地。

基本上，它只是一項研究報告，不代表落在象限內的產品就一定是好的產品，但個人認為Gartner對於市場現況的描述和針對各家產品的優缺點分析，是相當適合用來作為在選購產品時的評估和明列相關規格時的參考。

過去，我曾經提到IT Log管理的重要性(請參考「從記錄分析談IT Log管理」一文)，而它其實也就是所謂資安事件管理(SIEM)的基礎，依據Gartner的定義，SIEM的技術可以提供：

• 安全資訊管理(Security Information Management；SIM) - 可用來進行log管理和法規報告。

• 安全事件管理(Security event management；SEM) - 可針對來自於網路、資安設備、系統和應用程式，進行和安全有關的事件即時(real-time)監控，以及事故的管理。

而在組織之中會想要部署SIEM的技術，則是為了達到以下目的：

1. 法規遵循 - 對應到剛才提到的安全資訊管理，提供法規要求的相關報告。


2. 威脅管理 - 即時監控使用者的行為、資料存取和應用程式的相關活動，以及事故管理。


3. 兩者皆是 - 可提供法規報告，也同時具備威脅管理的能力。

在國內現況方面，SIEM的需求，主要來自於政府所建構的國家資通安全防護管理中心(NSOC)，需要進行資安事件的監控與資料交換；而民間企業，則有提供資安監控服務的安全管理服務供應商(MSSP)，所建置的資安監控中心(Security Operating Center；SOC)，兩者是早期採用的先行者。

當然，目前也有許多大型企業或高科技製造業，也會採購相關的設備與技術，來提升本身的資安防護能力，至於對中小型企業而言，為了因應未來個資法或導入ISO 27001標準的要求，則建議還是先從作好Log管理開始。

[參考資料] Magic Quadrant for Security Information and Event Management (12 May 2011)