Security Information and Event Management (SIEM) 平台是大多数 Security Operations Centers (SOCs) 的核心。它们聚合日志、关联事件,并生成分析师必须分类和调查的告警。本指南将通过核心操作工作流,帮助你像 SIEM 分析师一样思考,无论你的组织使用哪个平台(Splunk、Elastic、Microsoft Sentinel、QRadar 等)。
SIEM 的实际作用
SIEM 的核心工作有三项:从端点、网络设备、应用和云服务收集日志;将数据规范化为一致的 schema;使用检测规则关联事件以生成告警。分析师随后通过分类和调查生命周期处理这些告警。理解这个管道有助于你在数据看起来不对劲或告警缺失时诊断问题。
设置日志源
在任何检测逻辑生效之前,你需要可靠的数据。常见源包括:
- 端点遥测(EDR 代理、通过 Sysmon 的 Windows Event Logs)
- 网络数据(防火墙日志、DNS 查询、代理日志、NetFlow)
- 身份验证日志(Active Directory、VPN、SSO 提供商)
- 云审计日志(AWS CloudTrail、Azure Activity Logs、GCP Audit Logs)
上线新日志源时,验证时间戳准确性,确认字段解析正确,并根据预期基线检查摄入量。配置错误的解析器会无声地破坏检测而不会抛出错误,因此应定期对比原始事件和解析后的字段。
编写和调优检测规则
大多数 SIEM 使用某种形式的关联搜索或检测规则语法。在 Splunk 的 SPL 中的简单例子如下:
index=auth sourcetype=windows EventCode=4625
| stats count by user, src_ip
| where count > 10
此规则标记出登录失败次数超过 10 次的账户,是一个经典的暴力破解指标。构建规则时:
- 从狭窄范围开始,基于误报率逐步扩大。
- 将每条规则映射到 MITRE ATT&CK 技术以用于上下文和覆盖跟踪。
- 记录规则的意图、预期数据源和已知误报场景。
- 设置现实的阈值——过于敏感会让分析师淹没在噪声中;过于宽松则让真正的威胁溜过。
告警分类工作流
告警触发后,分析师的任务是回答:这是恶意的吗?需要上报吗?一份实用的分类检查清单:
- 验证告警 ——确认底层事件确实发生,不是解析工件。
- 丰富上下文 ——检查资产关键性、用户角色、源 IP 的地理位置,以及同一主机上的近期相关告警。
- 检查模式 ——在更宽的时间窗口内根据用户、IP 或哈希值进行透视,查看这是孤立事件还是更广泛活动的一部分。
- 分类 ——真报、误报或良性真报(真实活动但不恶意,如管理员的合法脚本)。
- 上报或关闭 ——两种方式都要记录理由;已关闭的告警仍需清晰的审计证明。
构建有效的仪表板
仪表板应回答具体的运营问题,而不仅是看起来令人印象深刻。有用的例子包括:
- 过去 24 小时内失败身份验证来源排行
- 按严重性和分析师分配的告警量
- 数据源健康(摄入延迟、掉线)
- 映射至 ATT&CK 战术的检测覆盖
避免仪表板泛滥——少数高信号视图胜过二十个很少查看的面板。
处理误报疲劳
告警疲劳是 SOC 最大的运营风险之一。应对方法:
- 定期审查已关闭的告警以识别反复出现的误报模式。
- 用文档化的异常来抑制已知的良性活动(而不是直接禁用规则)。
- 跟踪分类平均时间和响应平均时间作为指标以发现瓶颈。
- 轮流进行检测规则审查,使陈旧、嘈杂的规则得到优化或淘汰。
文档和移交
每次调查都应留下记录:什么触发了告警、检查了什么、得出了什么结论、以及任何后续行动。这对于交班、合规审计和构建在分析师流动中幸存的机构知识很重要。为每种告警类型准备一份简单的 runbook 模板——调查步骤、升级联系人和预期证据——在压力下能节省大量时间。
获得实践经验
SIEM 流利性的最快方式是重复:摄入示例日志、针对已知攻击技术编写一些检测规则,从头到尾练习完整的分类周期。免费数据集和开源 SIEM 堆栈(如 Elastic Stack)是很好的低成本环境。
准备深入学习蓝队基础知识了吗?探索 Korra Studio 的相关课程,涉及日志分析、事件响应工作流和检测工程,继续建立你的 SOC 技能。