再談實施SIEM的最佳實踐

還記得這篇文章（《Best practices for SIEM deployments》 ）嗎？沒錯，我在去年的時候就介紹過這篇文章。前幾天，我在網上看到有人將它翻譯過來了，參見這裏的中文版。在這篇文章中涉及到一個很重要的實踐準則——如何收集日誌的問題。該文做者引述了LogLogic的一個觀點：log everything。看到這裏，相比應該聯想到我前幾天發的另外一個博文——關於日誌採集的爭論吧。 事實上，這個準則還沒有有定論。正如我在去年那個時候說到的同樣，本人是不贊同在沒有設置前提條件下的log erverything的。It depends；-）我認爲，回答這個問題，首先在於用戶要清楚本身想要獲得什麼？也就是目標是什麼？若是沒有目標，那麼可能就會得出log erverything的結果，若是目標比較泛，或者不切實際，也可能會獲得相同的結論。而若是用戶真正抓住了當前的痛點（pain point），那麼就能獲得清晰的目標，進而更容易獲得log what's you needs的結論。固然，要達到這個狀態，並不是易事，須要一套提出問題、分析問題的方法論和過程。另外一方面，從技術層面來講，log erverything也是難以達到的，包括存在處理和存儲能力上的限制。隨着用戶安全基礎設施的愈來愈複雜，隨着虛擬化、雲計算、數據中心的愈來愈普 及，log erverything的成本將指數級上升，對於大多數用戶環境而言，都不現實。