需要替换 SIEM 的五个迹象

已投资实施信息安全和事件管理 (SIEM) 的安全团队可能会发现，为了采集和索引更多的数据，他们不得不向供应商支付更多的费用。最近的一份报告显示，近一半 (44%) 的组织希望增强或替换当前的 SIEM 解决方案。

或许是时候替换 SIEM 了。

幸运的是，通过 Elastic，所有用户只需支付少量甚至不需要支付任何前期费用，即可试用新的、功能强大的 SIEM。这个解决方案采用了一种开放的方法，数据可以免费采集，让团队能够体验到使用一个解决方案来收集无限量数据的畅快之感。 

那么您是否需要替换呢？下面我们明确了五大痛点，可帮助您确认是不是需要替换 SIEM。

1.采集和存储数据的成本过高

如果您当前的 SIEM 供应商向您收取数据存储费用，那么出于预算考虑，您可能会有大量重要的上下文数据得不到利用。不幸的是，如果团队无法快速访问活动数据和背景信息，他们妥善保护组织的能力就会受到限制。 

2.调查工作进展缓慢

如果您的团队需要花费数小时进行查询，那么就是时候考虑使用更加现代化的工具来帮助您实时获得所需答案了。SIEM 解决方案理应在几秒钟或更短时间内提供结果。 

3.平台僵化

许多旧有 SIEM 在构建之初并没有考虑到适应团队的特定工作风格。为实现各种成果，灵活构建定制集成、仪表板和工作流是一项强有力的优势。

4.仅能本地部署

如果您的 SIEM 解决方案无法跟上多云世界的步伐，您就需要一个补充工具来帮助您实现只有现代 SIEM 才能提供的可扩展性和自动化。

5.有限的用户群体

如果没有开放的安全方法，您的供应商可能就无法整合来自更广泛用户社区的信息与反馈。这样一来，贡献和反馈会受到抑制，无法确保 SIEM 通过持续创新来应对不断变化的网络威胁。 

旧有 SIEM 不能解决当下问题

团队在使用现有 SIEM 产品时遇到的许多挑战都源于这些 SIEM 的基础架构。SIEM 的要求已经大大超出了传统的静态收集、存储和分析安全数据的范畴。组织需要针对数据、整个环境的关联性、综合威胁情报和实时调查能力获得动态、行之有效的见解，以深入了解关注的各个领域。 

随着团队不断整合各种云服务，攻击向量也会进一步扩大。现在，监测用户、应用、行为等都是从业人员日常工作的一部分。

Elastic 的首席信息安全官 Mandy Andress 表示：“随着工作负载迁移到云端，监测云部署对业务来说开始变得至关重要。一些旧的 SIEM 需要投入大量工作进行维护和输入新的数据。今天的 IT 环境提供了大量的数据。虽然传统的 SIEM 可以采集大量数据，但它们没有嵌入分析功能；分析这些数据可能需要花费数小时或数天的时间，这会严重影响快速调查可疑活动的能力。”

推进替换流程

一旦决定替换 SIEM，下一步自然就是找到一个高度可扩展且灵活的平台，用于收集、可视化和分析所有与安全相关的事件日志。这个新的解决方案还必须能够有选择地将原始和/或转换后的日志转发回现有 SIEM，以满足合规性要求。 

替代方法并不能让您立即消除对原有 SIEM 的需求，因为它仍然能提供复杂的关联规则、案例工作流和事件响应管理，以及您在数月或数年的调优中建立的合规报告功能。

通过使用 Elastic 和现有的 SIEM，您的团队可以实现安全运维现代化，以云技术所带来的速度和规模使用数据，有效地检测、调查和应对不断变化的威胁。更重要的是，Elastic 秉持按资源使用量的定价理念，用户不需要为采集数据付费，从而降低了团队在投入更多资源之前试用解决方案的门槛。

真实用例

USAA 通过 Elastic 增强了 SIEM，而且效果立竿见影。USAA 的第一次快速见效发生在一次交互式调查中，当时该团队正在分析网络代理带宽消耗者。他们很快注意到过度的带宽消耗，并在几分钟内确定了网络滥用的来源。

USAA 的第二次快速见效来自 Elastic 以速度著称的近乎实时调查。该团队检测到一个面向客户的应用正在通过网络进行扫描，并在 2-3 分钟内确定了端口扫描活动的来源。相比之下，现有的 SIEM 在相同时间范围内只完成了 2% 的初始搜索。

从被动数据收集转向主动调查，USAA 在 Elastic 的帮助下将其团队从安全数据“收集者”转变成了威胁“猎手”。借助开放的一体化 SIEM 和安全分析平台，提升团队的安全成熟度。

马上开始吧

替换 SIEM 是一个过程，我们的安全专家将全程为您提供支持，助您实现期望的结果。 

如果您已经准备好在迈向现代化 SIEM 的过程中更进一步，请先阅读这里的 SIEM 买家指南。