SIEMとWindowsイベントログ

この時代では、ほとんどの商用のSIEM/SEIM/SIM/SEM/SEEM/CSIM/SCIM/SIM製品は、いわゆる「缶詰レポート」が多数出荷されます。一般に、これらの各レポートは、特定のタイプのシステムからの特定のログを調べ、それらを処理するように設計されます。たとえば、「Windows-Failed Authentication Attemps」レポートが与えられた場合、認証イベントにマップされるEventIDがFAILUREを探して処理されると想定されます。一方、「Windows-Firewall Blocks」は、ファイアウォールサブシステムにマップされるEventIDを探して処理されます。

あなたが自問しているべき本当の質問はこれらです。

1. 「SIEMから何を取得したいですか？」
2. 「何に注意を喚起しますか？」
3. 「どんなレポートが欲しいですか？」

質問＃1の答えは、実際には自分の頭の中で状況をフレーミングすることです。ですから、他の2について考えるときに、それを覚えておくことができます。これらの質問に答えたら、SIEM製品を見て、「その情報を生成するためにどのデータが必要ですか？」と判断できます。

また、特定のログソースに応じて大きく変動することもあります。たとえば、部門の連絡先情報以外は何も提供しないWebサーバーが認証とIISログを送信するだけでよいのに対し、必要な場合はallドメインコントローラーからのログ。多くの市販製品はログソースの数や1秒あたりのイベント（EPS）に基づいてライセンスを取得するため、ライセンス制限の影響も大きく受けます。

残念ながら、短くて明確な答えはありません。それはすべて、あなたが何を望むか、そしてあなたのソリューションが何をすることができるかに依存します。

インシデントを検討しているイベントの種類によって異なります。セキュリティログにレポートされるとは限らない、リアルタイム（USBデバイスの接続など）に対するレポートに使用できる情報があります。セキュリティイベントに関連する可能性のあるサービスの再起動やその他の関連イベント。適切な種類の転送サービスを使用している場合は、ウイルス対策とファイアウォールのログも送信できます。

イベントログのすべての異なるカテゴリからこれの多くを収集できるはずです。目がくらむようになっていることにすぐに気付くので、私は単一の場所に焦点を合わせる傾向はありません。