實施SIEM應考慮哪些問題

即使在購買siem軟體之前，為實施siem，企業仍需要做大量的準備工作。siem要求安全團隊而不僅僅是it和網路工程師深刻理解網路拓撲和協議。siem還要求企業清楚地理解siem完成哪些功能。

siem 重要功能就是記錄和監視。幾乎所有的siem廠商都想向企業推薦一種「大而全」的方法，但企業部署siem的最佳方法是分階段進行。日誌和監視功能的管理(不管是由企業內部的工程師管理，還是由服務**商管理)，以及對siem警告的響應是成功實施siem的最重要因素。

但成功實施的siem絕對不僅僅是記錄和監視網路。有很多企業並不知道其關鍵資產是什麼，因而也不知道如何保護。

企業對員工進行培訓，使其正確理解和使用siem應用非常重要。很多情況下，企業往往僅依靠乙個siem操作員或分析人員。但是，只有乙個受到訓練的操作人員會遭遇單點失效的問題，在雇員離職或無法聯絡時，如果發生了事件，就會帶來嚴重的問題。

深刻地理解siem的需求和目的有助於規劃實施siem的規模。如果企業的目標僅僅是合規，那麼其實施規模往往要小得多，但是，定製siem就需要付出大量工作，只有這樣才能滿足所有的合規要求。如果企業的目標是全面的可見性，那麼，siem的部署規模就要大得多，但為滿足需求而進行的siem定製則會少很多。

提前確認需要哪些系統日誌檔案用於監視是非常關鍵的。有些公司要求大量的以不同方式收集和處理資料的日誌。在siem系統能夠提供報告之前，各種日誌都需要標準化，其目的是保持資料的一致性。

公司往往在規模很小的時候就開始記錄日誌，並隨著伺服器的增長而簡單地複製日誌規則，因而，日誌檔案就是在複製日誌，或者在公司合併時，公司能夠收集不同物理裝置中相似日誌檔案中的不同資料。此外，在不同時區擁有伺服器的公司往往沒有對時區實現標準化就收集日誌，因而在不同時區同時建立的日誌會擁有未同步的時間戳。此時，在資訊保安人員跟蹤安全事件時，這種情況就成為一種巨大的挑戰。

在公司能夠充分利用siem產品的好處之前，需要配置siem系統，其目的是解決時區以及在每類伺服器上收集哪些資料、資料如何存放、存放到**以及siem系統如何分類可能發生的事件等問題，這至關重要。

siem 系統需要與公司的需要相匹配。例如，假設一家中等規模的公司要首次實施其siem，而公司的it人員僅能在正常的經營時間監視系統。如果公司購買了一種可以全天候生成實時結果和警告的siem，卻只能在經營時間才去監視這些警告，那麼公司就為其無法使用的特性和功能多花了錢。因而，管理層的期望有可能無法匹配實際的結果。

每個siem系統都擁有其自己的一套收集日誌的需求。一般說來，syslog系統日誌可以傳送給**實現收集。微軟的日誌是一般是通過安裝在本地裝置上的**來收集的，其中的日誌是通過wmi 或rpc來收集的。當然，還有許多其它型別的日誌源，但syslog系統日誌和windows一般佔據了公司環境的大多數。

安全是乙個過程而不是一種一勞永逸的戰術性操作。為獲得在siem和其它安全產品及服務上進行投資的重要效果，負責資訊保安的主要管理人員首先應當能夠確認所有的it 資產，並且知道每種資產所需要的安全水平是什麼。

在選擇了一種siem產品後，公司不妨僅對最關鍵的資產先實施日誌記錄。在日誌環境全面配置完成後，就可以啟用其它的特性。

通常siem的實施會比最初預期的花費更多。在公司低估了準備實施siem的時間和努力時(無論是從技術方面還是從人員方面)，就會發生這種事情。此外，如果公司在開始時沒有乙個詳細的siem方案，就很容易購買超出其實際需要的多餘功能。企業調整應用程式，使其處理所有的日誌還可能花費比預計的時間更長，從而導致更高昂的預期成本。此外，it和安全人員還可能需要進行培訓，才能管理siem應用。

實施SIEM應考慮哪些問題

伺服器租用應考慮哪些因素

求乙個類的sizeof應考慮的問題

求乙個類的sizeof應考慮的問題

實施SIEM應考慮哪些問題

伺服器租用應考慮哪些因素

求乙個類的sizeof應考慮的問題

求乙個類的sizeof應考慮的問題

相關推薦