再谈实施SIEM的最佳实践

还记得这篇文章（《Best practices for SIEM deployments》 ）吗？没错，我在去年的时候就介绍过这篇文章。前几天，我在网上看到有人将它翻译过来了，参见这里的中文版。在这篇文章中涉及到一个很重要的实践准则——如何收集日志的问题。该文做者引述了LogLogic的一个观点：log everything。看到这里，相比应该联想到我前几天发的另外一个博文——关于日志采集的争论吧。 事实上，这个准则还没有有定论。正如我在去年那个时候说到的同样，本人是不赞同在没有设置前提条件下的log erverything的。It depends；-）我认为，回答这个问题，首先在于用户要清楚本身想要获得什么？也就是目标是什么？若是没有目标，那么可能就会得出log erverything的结果，若是目标比较泛，或者不切实际，也可能会获得相同的结论。而若是用户真正抓住了当前的痛点（pain point），那么就能获得清晰的目标，进而更容易获得log what's you needs的结论。固然，要达到这个状态，并不是易事，须要一套提出问题、分析问题的方法论和过程。另外一方面，从技术层面来讲，log erverything也是难以达到的，包括存在处理和存储能力上的限制。随着用户安全基础设施的愈来愈复杂，随着虚拟化、云计算、数据中心的愈来愈普 及，log erverything的成本将指数级上升，对于大多数用户环境而言，都不现实。