安全控制系统（SCS）系列：Johnson Controls Security_（5）.安全信息与事件管理.docx

PAGE1

PAGE1

安全信息与事件管理

在智能建筑工业控制系统中，安全信息与事件管理（SecurityInformationandEventManagement,SIEM）是确保系统安全性和有效性的关键组成部分。SIEM系统通过收集、分析和管理来自各种安全设备和系统的日志数据，提供实时的安全监控和事件响应能力。在本节中，我们将详细介绍SIEM的原理、架构以及如何在JohnsonControlsSecurity系统中实现和管理安全信息与事件管理。

1.SIEM的基本原理

SIEM系统的主要功能包括日志收集、日志归一化、事件检测、事件响应和报告生成。这些功能通过以下几个步骤实现：

日志收集：从各种安全设备和系统中收集日志数据，包括但不限于网络设备、安全摄像头、门禁系统、入侵检测系统等。

日志归一化：将不同格式的日志数据转换成统一的格式，以便于后续的分析和处理。

事件检测：通过预定义的规则和算法检测潜在的安全事件。

事件响应：对检测到的安全事件进行实时响应，包括告警、隔离、记录等。

报告生成：生成详细的事件报告和安全审计报告，帮助管理员了解系统安全状况。

1.1日志收集

日志收集是SIEM系统的第一步，也是最基础的一步。日志数据的来源多种多样，包括网络设备、安全设备、应用程序等。为了确保日志数据的完整性和准确性，需要配置各种设备和系统将日志数据发送到SIEM系统。

1.1.1日志收集的方式

日志数据可以通过以下几种方式收集：

Syslog：一种标准的网络协议，用于在网络设备和系统之间传输日志数据。

SNMP：简单网络管理协议，用于监控网络设备的状态和性能。

文件传输：通过FTP、SFTP等协议将日志文件传输到SIEM系统。

API调用：通过API从应用程序和系统中获取日志数据。

1.1.2配置日志收集

以Syslog为例，配置网络设备将日志数据发送到SIEM系统的步骤如下：

配置网络设备：

在网络设备（如路由器、交换机、防火墙等）上配置Syslog服务，指定日志数据的发送目标。

#配置路由器将日志发送到SIEM系统

Router(config)#logginghost00

Router(config)#loggingtrapinformational

配置SIEM系统：

在SIEM系统中配置Syslog收集器，确保能够接收并处理来自网络设备的日志数据。

#配置SIEM系统接收Syslog日志

SIEM(config)#syslogserver00

SIEM(config)#syslogport514

1.2日志归一化

日志归一化是将不同格式的日志数据转换成统一的格式，以便于后续的分析和处理。归一化的目的是确保SIEM系统能够理解和处理来自不同设备和系统的日志数据。

1.2.1日志归一化的步骤

解析日志：将原始日志数据解析成结构化的数据格式。

转换字段：将不同设备和系统的日志字段转换成统一的字段。

标准化时间：将日志时间标准化，确保所有日志数据的时间戳格式一致。

1.2.2示例：日志归一化

假设我们从两个不同的系统中收集到以下日志数据：

系统A：

{

timestamp:2023-10-01T12:00:00Z,

source:,

event_type:login,

user:admin,

status:success

}

系统B：

{

date:2023-10-0112:00:00,

ip:,

action:logon,

username:admin,

result:succeeded

}

通过日志归一化，我们可以将这些日志数据转换成统一的格式：

{

timestamp:2023-10-01T12:00:00Z,

source:,

event_type:login,

user:admin,

status:success

}

{

timestamp:2023-10-01T12:00:00Z,

source:,

event_type:login,

user:admin,

status:success

}

1.3事件检测

事件检测是SIEM系统的核心功能之一，通过对归一化的日志数据进行分析，检测潜在的安全事件。事件检测通常基于预定义的规则和算法，这些规则和算法可以帮助识别异常行为、入侵尝试等安全事件。

1.3.1事件检测的原理

事件检测通常包括以下几个步骤：

规则定义：定义安全事件的检测规则