SIEM部署的幾條最佳實踐

2010年11月12號，NetworkWorld發表了一篇文章——《SIEM部署的最佳實踐》，業界同仁給出了他的一些建議。
這些建議主要是針對Verizon2010年的那個DBIR報告中提到的日誌缺失形成的嚴重問題。
至於建議，主要有：
1）先要搞明白你想要什麼？
2）Log Everything——【注：我並不贊同】
3）要不要關聯分析？根據使用場景和目標的不一樣，不必定非要關聯分析不可的。
4）別期望裝好後就能夠撒手無論了。這玩意兒是要用的，並且用起來要求還挺高，要有準備。——【注：我之前也屢次說起】
5）Report是關鍵。——【注：老外的Report與國內的報表是有些差異，事實上，應該是「統計分析」，而非國內強調的報表格式和形式】