这个系列文章已经好久没有接续了,今天再次续上。
前几天看Gartner的Anton Chuvakin的博客,他提到了一个“output-driven SIEM”的概念,并且跟“input-driven SIEM”相对。看到这个“输出驱动的SIEM”(或者产出驱动的SIEM)后,让我想起了我以前说到的目标导向的安全管理平台实施的最佳实践。也就是说,我们在做安管平台(SIEM)的时候,更多地应该考虑我们要分析出什么,然后再去看需要采集什么日志/事件,而不是先不管三七二十一,将所有能采集的日志都采集上来,再去看能够分析出什么。
现在有一个口号叫做“log erverything”,但是我觉得这个口号是有上下文的。在讲到安全管理和SIEM的应用实践的时候,应该慎用这个词;而如果是在阐述产品和技术的功能及性能的时候,可以借用这个口号。但是,无论如何,对于客户实际应用的系统而言,log everything不是目标,最多只是手段。
【参考】
【其它参考】