Linux、Solaris、Windowsのセキュリティログ

これは非常に大きな問題です。ログに記録する必要があるのは、ビジネス固有のニーズです。通常、管理者のログインと変更をログに記録します。しかし、それでもかなり基本的なことです。必要なのは、どのシステムが重要であるかについて組織を推進する人々からのより良い理解です。いくつかのリスク評価を含む優れたビジネス継続性計画は、あなたを遠くへ駆り立てます。

私は現実的であり、それを手に入れることはおそらく初心者ではないことを知っています。これを提供できますか？SIEM製品を調整しようとしている場合、一度にすべてを非難しないでください。ネットワークスイッチなどを選択し、送信ログを取得して調整してから、次のドメインコントローラーに移ります。

SIEMに問題の通知のみを送信したい場合、1日あたり400のアラートが殺到している場合、SIEMツールはほとんど価値がなく、syslogサーバーを展開して大量の現金を節約できたはずです。

これが簡単な答えです：すべてをログに記録する。

キャプチャできるすべてのものをSIEMサーバーに送信します。その焦点は、大量のデータを処理できるSIEMサーバーの選択と実装にあり、誤検知を多くせずに意味のあるセキュリティ関連情報を提供するアラートとレポートに使用できます。

重要なものや重要でないものを特定したり、ソースでメッセージを歪めたりすることに焦点を当てるべきではありません。間違っていると、データが必要になったときに、エンドポイントでデータが失われたり散らばったりする可能性があります。

すべてを中央のSIEMに収集すると、エンドポイントマシンが侵害された場合に備えてフォレンジックコピーが作成されます。転送するログを調整する必要があった場合、アラートとレポートのために処理するログを調整するだけで済みます。そして、重要ではないと思われるものが必要であることが判明した場合、それをすぐに入手でき、SIEMが提供する集中検索の準備が整います。

欠点は次のとおりです。

• これらすべてのログを保持するためのディスク容量要件
• 巨大なログデータベースを処理するのに十分な速度のSIEMソフトウェア
• 簡潔なクエリをサポートするのに十分スマートなSIEMソフトウェア

利点は次のとおりです。

• 必要だと思っていなかったものも含め、必要なすべてのログが手に入ります
• システム管理者向けのガイダンスは非常にシンプルになります