傳統 SIEM 與現代 SIEM有什么區別

傳統的SIEM專注于日志收集和存儲，并且僅報告防病毒軟件，入侵檢測系統和防火墻等預防性技術已識別的事件。結果，它們無法為安全分析人員提供所有日志，公司網絡和端點設備所需的可見性，以檢測和調查復雜網絡攻擊的跡象。相反，現代且經過改進的SIEM工具旨在提供對整個組織整個IT基礎架構的普遍可見性，較新的SIEM工具從多個來源獲取日志，捕獲所謂的完整網絡數據包，并執行連續的端點監視和分析。

siem應考慮因素有以下這些：

• 提前確認需要哪些系統日志文件用于監視是非常關鍵的。有些公司要求大量的以不同方式收集和處理數據的日志。在SIEM系統能夠提供報告之前，各種日志都需要標準化，其目的是保持數據的一致性。

• 公司往往在規模很小的時候就開始記錄日志，并隨著服務器的增長而簡單地復制日志規則，因而，日志文件就是在復制日志，或者在公司合并時，公司能夠收集不同物理設備中相似日志文件中的不同數據。此外，在不同時區擁有服務器的公司往往沒有對時區實現標準化就收集日志，因而在不同時區同時創建的日志會擁有未同步的時間戳。此時，在信息安全人員跟蹤安全事件時，這種情況就成為一種巨大的挑戰。

• 在公司能夠充分利用SIEM產品的好處之前，需要配置SIEM系統，其目的是解決時區以及在每類服務器上收集哪些數據、數據如何存放、存放到哪里以及SIEM系統如何分類可能發生的事件等問題，這至關重要。

• SIEM系統需要與公司的需要相匹配。例如，假設一家中等規模的公司要首次實施其SIEM，而公司的IT人員僅能在正常的經營時間監視系統。如果公司購買了一種可以全天候生成實時結果和警告的SIEM，卻只能在經營時間才去監視這些警告，那么公司就為其無法使用的特性和功能多花了錢。因而，管理層的期望有可能無法匹配實際的結果。

• 每個SIEM系統都擁有其自己的一套收集日志的需求。一般說來，Syslog系統日志可以發送給代理實現收集。微軟的日志是一般是通過安裝在本地設備上的代理來收集的，其中的日志是通過WMI或RPC來收集的。當然，還有許多其它類型的日志源，但Syslog系統日志和Windows一般占據了公司環境的大多數。

• 安全是一個過程而不是一種一勞永逸的戰術性操作。為獲得在SIEM和其它安全產品及服務上進行投資的重要效果，負責信息安全的主要管理人員首先應當能夠確認所有的IT 資產，并且知道每種資產所需要的安全水平是什么。

回答所涉及的環境：聯想天逸510S、Windows 10。