SIEM和Windows事件日志

Question

当考虑将哪些Windows事件日志合并到SIEM解决方案中时，我应该只查看安全事件日志还是所有类别的事件日志？其他类别在发现和应对安全事件方面有多大用处？

Answer 1

在当今时代，大多数商业的SIEM/SEIM/SIM/SEM/SIM/CSIM/SCIM/SIM产品都有大量所谓的“罐装报告”。一般来说，这些报告中的每一个都将用于查看来自特定类型系统的特定日志并对其进行处理。例如，给定一个"Windows失败的身份验证调度“报告，人们会假设映射回身份验证事件的EventID将被处理以寻找失败。而"Windows -防火墙块“则会查找映射回防火墙子系统的EventID。

你应该问自己的真正问题是：

1. “我们想从暹罗得到什么？”
2. “我想得到什么提醒？”
3. “我想看什么报告？”

问题1的答案实际上是关于在你自己的头脑中设定情境。一旦你回答了这些问题，你就可以看看你拥有的暹粒产品，并确定“需要什么数据才能产生这些信息？”

请记住，他的也可能有很大的变化，取决于具体的日志源以及。例如，您可能会决定，除了部门的联系信息以外，只需发送身份验证和IIS日志的web服务器就不提供任何服务，而您可能希望从域控制器中获取所有日志。这也可能受到任何许可限制的极大影响，因为许多商业产品将根据日志源的数量和/或每秒事件(EPS)来授权。

不幸的是，没有一个简短、明确的答案。这一切都取决于你想要什么，以及你的解决方案能做什么。

Answer 2

这取决于你在考虑什么样的事件。有些信息可以用于实时报告(例如连接USB设备)，这些信息不一定会在安全日志中报告。进一步的服务重新启动和其他可能与安全事件相关的事件。如果您使用的是正确的转发服务，也可以发送防病毒日志和防火墙。

您应该能够从所有不同类别的事件日志中收集这些信息。我倾向于不专注于一个单一的位置，因为你可以很快发现你已经戴上眼罩。