Q004 SIEM中的安全运维模块包含哪些主要内容？

SIEM安全运维模块包含以下内容。

①安全设备管理：包括安全设备的配置、监控、分析、备份、巡检等工作。

②资产管理：不少企业上线的IP资产比较混乱，资产管理往往没有头绪。由于人员的更替，业务负责人对某些设备可能也不是十分清楚。安全资产管理属于安全运维中的重要部分。安全资产发现是安全资产管理的核心，包括资产漏洞管理、补丁管理、杀毒软件管理、主机入侵检测管理。最后是业务分级、资产分级，不同级别的资产采用不同级别的防护。

③资产发现：具有自研能力的企业首选使用嵌入主动扫描程序和Nmap功能的资产管理程序，通过主动扫描和流量分析两种方式识别IP资产。如果部署了OSSIM运维管理系统，那么也可以通过运维管理系统来识别IP资产。

④漏洞管理：漏洞管理包括OpenVAS、绿盟极光、Nessus等工具。

⑤主机入侵检测：常见的OSSEC包含主机入侵检测、文件完整性分析、rootkit分析等功能。最新版本的OSSEC输出日志可以直接设置成JSON格式，以输出到ELK（开源日志、分析平台Elasticsearch+Logstash+Kibana的简称），这很方便。

⑥网络入侵检测系统：开源软件，如Snort和Suricata。

⑦网络流量分析：如NetFlow Ntop。

⑧日志管理：首先分析需要收集哪些日志，可以关联哪些日志，通过这些日志能分析出哪些安全事件，怎么处理其他安全事件。收集的日志包括以下内容。

〇 安全设备（如堡垒机）的日志。

〇 Web日志。

〇 主机入侵检测日志。

〇 主机操作历史日志。

〇 主机应用日志。

〇 业务日志（如登录事件、关键业务操作事件）。

⑨知识库系统：包括安全部门的各种制度、漏洞的修复方法、内部培训资料等。所有安全文档可以集成到一个合适的知识库平台，以方便所有人员使用，也能减少由于人员离职导致的各种问题。