采用安全信息和事件管理(SIEM)軟件可以為企業提供威脅監控、事件關聯、事件響應和報告。SIEM通過企業技術(其中包括應用程序、防火墻和其他系統)收集、匯總和分析日志數據，隨后會提醒企業的IT安全團隊登錄失敗、惡意軟件和其他潛在的惡意活動。

　　然而，多年來，SIEM幾乎沒有超出提供更好、更易搜索的基于規則的日志引擎的能力。而人工智能(AI)和機器學習(ML)技術與網絡安全工具的結合則預示著美好的未來。

　　調研機構Gartner公司在2016年創造了另一個新術語，也就是“用于IT運營的人工智能”(AIOps)。人工智能和基于機器學習的算法與預測分析相結合，正在迅速成為SIEM平臺的核心部分。這些平臺提供對給定IT環境中觀察到的所有活動的自動化、持續分析和關聯。這種集成為SIEM提供了深度學習功能和無數集成工具，以推動更明智的結果。

　　以下是這種集成SIEM的好處：

　　防止隱形攻擊

　　典型的SIEM分析將在相對較短的時間內(通常是數小時和數天)收集的來自不同來源的事件相關聯。這與基礎設施的基線相比，如果超過預設閾值，將會輸出優先警報。AIOps表示將長期(可能長達數年)收集到的事件信息存儲在數據庫中，然后對該數據應用于分析系統。

　　這種分析使AIOps能夠隨著時間的推移來調整基礎設施基線和警報閾值，并根據相關事件自動采取一些補救措施。此外，使用大數據使SIEM能夠檢測到網絡上非常緩慢或隱蔽的活動，否則SIEM可能會錯過或忽略這些攻擊。通過檢測這些緩慢或隱蔽的攻擊活動，安全團隊可以防止重大安全事件。

　　威脅檢測

　　除了提供標準日志數據之外，人工智能和機器學習技術還可以整合威脅情報源。某些產品還具有高級安全分析功能，可以查看用戶和網絡行為。機器學習使企業的SIEM能夠促進跨大型數據集的威脅檢測，從而減輕安全團隊的一些威脅搜尋責任。威脅情報可以深入了解全球互聯網上各個IP地址、網站、域和其他實體的可能意圖，這使他們能夠區分正常活動和惡意活動。

　　為企業的SIEM提供對一個或多個威脅情報源的持續訪問，使機器學習技術能夠使用威脅情報提供的場景。隨著了解的更多信息，它開始理解超出其初始數據輸入的惡意行為警告。因此，它可以阻止企業的網絡安全從未遇到的威脅。它改進了SIEM的決策，尤其是在準確性方面，從而有助于深化企業的安全層。

　　不過在此提出一個警告：機器學習應用在較大的數據集上比應用在較小的數據集上更有效，但由于大數據可能有損耗，它可能會使合規性報告復雜化。但由于這是一個已知問題，因此有多種解決方法可供選擇。

　　消除數據中的噪聲

　　典型的SIEM提供了大量的監控數據/日志，但SIEM報告數據不具有可操作性、難以理解且包含太多噪聲。集成人工智能的SIEM解決方案可以高效地管理大數據，并可以使用自動化工作流替換重復性而冗余的任務。

　　盡管大多數人工智能程序有助于數據分類，但人工智能元素無法對無法識別的數據點和事件信息進行分組。另一方面，機器學習可以利用數據聚類功能來識別這些未知值，并根據檢測到的相似性將它們分組。

　　隨著企業規模的擴大消除盲點

　　隨著企業規模的擴大，安全系統變得更容易出現盲點。每個盲點可能會持續數月甚至數年都沒有受到監控。因此，網絡的這些部分可能會長時間未打補丁。這些盲點進一步成為黑客進行威脅的滲透場所。

　　幸運的是，SIEM中的人工智能可以幫助提高網絡的可見性，從而快速、定期地發現網絡中的盲點。它還可以從這些最近發現的盲點中提取安全日志，從而擴大SIEM解決方案的范圍。

　　提高IT安全團隊的響應能力

　　任何企業的安全運營中心(SOC)團隊都是有限的，任何SIEM產生的日志數據量都相當可觀。這使得以響應迅速且有效的方式處理事件的挑戰極其艱巨。更重要的是，很多SIEM工具還提供了很多不相關的數據，導致安全運營中心(SOC)團隊面臨警報疲勞。

　　當處理太多警報并且不知道應該注意和忽略哪些警報時，就會發生這種情況。機器學習提供的自動化和標準化的工作流程可以減少人為錯誤的可能性，并更快地完成工作。

　　SIEM還需要企業的IT安全團隊持續監控。人工監控每個系統檢查點不僅會讓工作人員筋疲力盡，還會導致工作倦怠。支持機器學習功能的SIEM可以提供：

　　•自我學習以自動化重復的非結構化流程

　　•自動化系統警報的能力

　　•數據可視化儀表板

　　•實時分析

　　•頂級企業安全

　　•跨部門共享

　　不幸的是，由簡單的機器學習功能支持的SIEM無法與人類的創造力和網絡攻擊者的集體協作相匹敵。因此，企業的安全團隊需要帶頭進行威脅追蹤和事件響應。

　　但是，正確實施的人工智能增強SIEM可以通過其預測和自動化功能優化這些流程。此類SIEM可為企業的IT安全團隊提供以下功能：

　　•通過企業的安全關聯規則，可以執行自動威脅搜尋。

　　•SIEM中的人工智能元素可以通過對所有警報自動應用情境化來識別誤報。

　　•人工智能增強的SIEM可以加快安全工作人員有限的企業的檢測和響應時間。

　　從本質上講，企業不僅可以將這項技術視為第二雙眼睛，還可以將其視為第二雙手。但是需要記住的是，人類智慧將永遠勝于人工智能。

　　預測模式

　　機器學習算法增強了SIEM系統，使它們能夠使用以前的模式來預測未來的數據。例如，考慮在安全漏洞期間提供的數據模式。機器學習功能使系統能夠內化這些模式，然后使用它們來檢測可能顯示后續違規或滲透的可疑活動。

　　人工智能增強的SIEM可以阻止可能是惡意的進程。這不僅有助于調查和威脅補救，而且甚至在事件響應開始之前就可以減輕損害。

　　對于規模相對較小的企業或那些擁有簡單IT基礎設施的企業來說，啟用人工智能的SIEM的成本可能會令人望而卻步，同時在與良好的安全措施相結合的情況下幾乎沒有優勢。大型且復雜的IT基礎設施可能證明企業使用支持人工智能的SIEM的成本是合理的。但是，始終建議對產品進行詳細評估。

　　Gartner公司預測，到2023年，全球約有1755億美元將用于信息安全和風險管理。而到2023年，數據安全、云安全和基礎設施保護是安全支出增長最快的領域。根據ZionMarketResearch公司的調查，全球基于人工智能的網絡安全系統和服務2018年的支出高達71億美元，預計到2025年將達到309億美元。

　　隨著在日益數字化的市場中生成越來越多的數據，企業關鍵信息的安全性至關重要。隨著網絡攻擊的復雜程度和頻率不斷提高，支持威脅情報的網絡安全工具將成為企業最寶貴的資產。