2018 rsa大会 上许多安全公司都推出了自己的下一代 SIEM 安全信息和事件管理解决方案，Empow这家来自于以色列公司表示下一代SIEM需要具备4种能力，包括①实现战略防御，优先考虑业务风险；②自动解密安全事件的意图以实现即时因果关系 、消除关联规则和安全维护的开销；③针对高级攻击活动自动进行调查和实时事件响应；④提供洞察企业的安全状况和差距，以及安全工具的性能和投资回报率。

Empow打破传统SIEM的观念，通过与现有的网络基础设施整合并将安全工具分解为各自的组件，称之为Security Particles™，同时创建了一个反映高级 攻击链 模型的安全功能分类，并能够建模针对性的防御策略。随后在整个网络中执行这些防御策略，根据每个防御策略协调最佳检测、调查和响应。

SIEM是什么

维基百科，在计算机安全领域，安全信息和事件管理（ SIEM ）软件产品和服务结合了安全信息管理（SIM）和安全事件管理（SEM）。它们对应用程序和网络硬件产生的安全警报进行实时分析。供应商将SIEM作为软件销售，作为设备或作为托管服务; 这些产品还用于记录安全数据并生成符合规定的报告

Empow提出下一代SIEM首先需要具备战略防御能力

Empow指出下一代SIEM需要具备四种能力，即

• ①实现战略防御，优先考虑业务风险；
• ②自动解密安全事件的意图以实现即时因果关系 、消除关联规则和安全维护的开销；
• ③针对高级攻击活动自动进行调查和实时事件响应；
• ④提供洞察企业的安全状况和差距，以及安全工具的性能和投资回报率。

同时Empow指出下一代SIEM如何更好的协助企业解决检测、调查和响应，形成安全闭环管理，需要重点关注四个层的内容：
基于场景化的安全模块能力

提供了一种战略性的、不可知的，基于场景化的安全模块，允许自定义或使用预先构建的目标防御策略（安全应用程序）。基于攻击场景和类型反映先进的攻击链模型，攻击者战术、技术和程序的分类;并用场景类型进一步扩展。为了模拟有针对性的防御策略，安全模块由业务场景组成，其中包括侦测，调查和响应功能以抵制攻击任务。

自适应安全平台能力

自适应安全平台位于网络基础架构之上，并通过将针对性防御策略（安全应用）转换为根据每个安全应用进行检测，调查和响应的协调指令，实现基于场景的安全模块。该平台可以在整个组织现有的安全工具和网络基础架构中有效实施和执行这些工具，同时不断测量安全系统和工具的有效性。

过程分析能力

安全平台的过程分析能力由专有AI 人工智能技术实现，该技术战略性地集成到以下过程中。

• 日志和数据源 使用一系列针对第三方网络和端点解决方案的插件，从现有安全产品中收集和分析日志、数据和情报。
• 机器学习分类过程 安全平台使用 机器学习和自然语言处理算法来解译各个日志的意图，这些算法模拟安全分析师完成相关的操作和日志读取，从日志本身和外部 威胁情报 找出相关信息，并确定攻击意图，整个过程持续和自动运行，不需要人工参与。
• 推理分析引擎 安全分析引擎识别各个安全日志、数据之间的因果关系，将它们分组在一起形成攻击链条，该引擎还模拟安全专家流程，根据攻击意图实时决定哪些策略是必需的，并根据系统的风险评估能力决定采用哪种主动响应策略。
• 安全处置 根据上下文协调引擎动态地识别和选择最佳可用产品和网络工具来执行调查和响应行动，这转化为快速和最佳的事件响应 ，同时简化安全操作并消除维护开销。

就运营商行业来说，经过多年的信息安全建设，已投资部署了大量安全产品，产生大量的安全日志，但随着攻击态势的不断演进，很多用户依然是安全事故频出，运维开销巨大，为了更好加强安全运维，在安全事件发生的全过程中进行监测与发现，并提前预警，绿盟科技推出了基于大数据技术的 态势感知 解决方案，颠覆传统SIEM的实现方式。