Q002 SIEM处理流程是什么？

对于SIEM来说，可以大致将其分为3个阶段：信息采集、事件处理、安全评估，如图1-1所示。

图1-1 SIEM处理流程

信息采集是对分布式的异构事件进行统一采集，将采集的信息初步合并，集中存储。信息采集是整个安全信息与事件管理的第一阶段，整个处理过程都是以各个安全设备和主机上采集到的安全信息为基础进行的。

在安全信息与事件管理中收集的数据主要包括安全信息和安全事件，具体包括当前目标网络中受控主机信息和网络信息，以及部署在目标网络上的安全设备的日志和报警信息。

〇 主机信息。

主机信息包括操作系统日志、文件访问记录、用户登录信息、各个主机或服务器上的系统漏洞信息、数据库访问记录等。

〇 网络信息。

网络信息包括网络流量信息、网络拓扑信息、网络协议使用情况等。

〇 安全设备信息。

安全设备信息主要包括安全设备日志和安全设备报警信息。安全设备报警信息主要包括由入侵检测系统产生的攻击事件、端口扫描事件，由防火墙产生的拒绝访问事件、防火墙策略修改事件等，由漏洞扫描产生的漏洞扫描结果、漏洞扫描策略变更，由防病毒软件产生的病毒事件。