巩义市住房城乡建设局网站,怎么样建设网站网站,网站页面多大合适,网站链接怎么做标记TT安全上的这篇文章谈及了SIEM实施的负面问题#xff0c;指出了四个可能存在的主要原因。实际上#xff0c;这篇文章源自DarkReading在2010年9月27日发表的这篇文章《Five Reasons SIEM Deployments Fail》#xff0c;是一个采访多位业内人士的综合报道。原文指出的是五个原… TT安全上的这篇文章谈及了SIEM实施的负面问题指出了四个可能存在的主要原因。实际上这篇文章源自DarkReading在2010年9月27日发表的这篇文章《Five Reasons SIEM Deployments Fail》是一个采访多位业内人士的综合报道。原文指出的是五个原因。第五个原因谈及的是“SIEM的伸缩性问题尤其是事件采集和处理性能的问题”。 其实文章提及的四个问题我之前也都有提到针对国内的情况我们也一直在试图缓解或者处理这些问题至少尽可能地规避这些问题。 1SIEM 很难用如果是SOC就更难用。没错。因此这不仅需要技术策略还需要市场策略正如我们从2008年开始实践的那样我们开始一个“Make SIEM Simple”的行动简化SIEM我们倡导日志审计。根据客户需求和市场细分我们从多个方面简化SIEM的技术复杂度部署复杂度维护复杂度。 当然永远没有银弹简化不等于简单问题的关键在于如何找到一个细分市场这个市场的客户能够接受目前程度的简化。我要告诉SIEM从业人员的是这个 细分市场是存在的所以需求分析很重要 2事件标准化的问题。早期有人从IDS的角度出发提出了IDMEF不过无人问津后来ArcSight也搞出了一个标准化格式CEF不过有点可能会成为另一个CheckPoint的OPSEC。目前比较火的是美国MITRE搞的CEE。MITRE具有军方背景他们之前搞出了CVE。如果国内有人致力于研究和运用这个咱们可以交流。 3关于技术与管理的冲突问题。这个主要是指SIEM为了获得最终的分析效果需要收集各种门类的信息但不幸的是这些信息往往隶属于不同的部门例如网 络和主机还有应用可能就分属于2到3个部门如何统一收集和分析这些信息同时确保不会引发大家的或真或假的担忧以及不介入部门间的利益纠葛是一个 问题。这个问题的规避需要在规划和实施的时候进行很好的预处理。很重要地在规划的时候十分重要。一个好的Consultant能够减轻很多压力。更多的 信息我会在以后的博文中陆续介绍。实际上我之前也有提及过。 4一些甲方的技术和管理人员把SIEM看成安全管理的银弹也就是期望过高的问题。这个我之前也多次提及关键还是要在一开始规划的时候定位要准确需求要明确。“Dont Boil the Ocean”。 5关于SIEM的性能和伸缩性的问题。这个就是SIEM从业的技术人员需要潜心研究的问题了。 转载于:https://blog.51cto.com/wuenlong/781618
