评判SIEM的七条标准

近期TT发布了Karen Scarfone的针对SIEM产品选型的一系列分析文章,其中谈及了她眼中的7条SIEM评判标准。这7条标准分别是:

1)支持多少种类型和厂商的日志源?——这个不必多言。

2)是否具备自主获取信息的能力,以弥补现有日志的不足?——这点是近几年SIEM/SOC产品发展的一个趋势,譬如通过采集Flow来弥补日志的不足,或者部署中/重量级的代理获取相关主机的信息,等等。

3)能否有效利用威胁情报?——随着威胁情报的热门,SIEM/SOC成了首选的威胁情报利用的平台

4)能否及其多大程度上具备取证能力?譬如集成全包捕获能力,或者采用AppFlow进行流级别的取证。

5)数据检查与分析的能力如何?——其实就是安全分析的能力。Karen进一步细分为搜索能力和可视化能力。这两点肯定是基础,但是恐怕还不够,SIEM的安全全分析未来将更加强调威胁捕猎和数据勘探,也即交互式分析。

6)自动化响应能力如何?——包括预警、告警,更包括联动、阻断。话说Gartner正在聚焦自动化响应这个议题,并认为是未来整个自适应安全架构的重点之一。

7)内置支持哪些合规报表报告?——这又回到了SIEM的另一半需求,合规管理。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值