全包捕获与SIEM

Question

与其将各种日志收集到暹粒中，不如使用完整的数据包捕获解决方案来更好地管理这么多日志源吗？

Answer 1

只要捕获完整的通信量，任务就不会神奇地变得不那么复杂。仍然需要对流量进行处理和提取信息。相反，捕获一个巨大网络中的所有流量并实时处理它是一项艰巨的任务:首先需要大量的带宽来收集所有的流量，而处理它需要巨大的处理能力。

它能更好地从网络中提取相关信息，只将预处理后的信息输入到暹粒中。除此之外，SIEM通常不仅从网络流量中获取信息，而且还包括来自端点的信息，如正在运行的应用程序以及正在运行的应用程序、身份验证错误等，这是无法从网络流量直接导出的信息。

Answer 2

有一些解决方案，如moloch，或商业解决方案，可以大规模地存储pcaps，但是正如Steffen提到的，系统需要大量的资源，大多数系统所做的是使用netflow数据，您可以将其概括为流的抽象，并将这些数据发送到SIEM系统。当然，如果您想成为细粒度的，您将需要一个解决方案，它将接受pcap，但是在大多数情况下，通过提供netflow数据，SIEM会很好。