如何设计SIEM，考虑到大型数据库的需求？

Question

我需要一些关于暹粒要求的设计的帮助。关于大型数据库，为了提供与DB安全相关的覆盖率，我需要提供哪些一般要求？

我能想到的一些用例是：

1. 特权角色/帐户的使用DBA，sysadmin
2. 未经授权访问某些视图/表
3. 关于根据某些基于时间的策略删除/添加某些db表条目的报告(日期/时间: xx-xx-2012/xx:yy:zzzz)
4. 根据安全篡改基线策略发送警报？
5. 能够记录某些恶意更改所影响的数据/条目吗？
6. 能够识别绘制SQL语句的服务/应用程序的属性。

这些足够了吗?还是我加了更多？

Answer 1

通过分析日志，从db向外视图看似乎是一个很好的开端。您将不可避免地在性能与日志记录量之间进行权衡，因此在RFP中给出实际的数字需求。您还应该考虑到数据库周围的环境。一个例子是验证访问数据库的软件进行静态扫描以查找sql注入漏洞。另一种方法是确保暹粒也在监视周围的系统，这样事件就可以相互关联。SIEM还应该接受来自第三方db安全工具的输入。

http://chuvakin.blogspot.com/2010/11/how-to-write-ok-siem-rfp.html建议您根本不编写rfp，如果有必要的话，还有一些建议。我特别喜欢的是解释任务(如合规与风险管理)。另一个是具体的--模糊的说明将得到无法强制执行的“是”的答案。

Answer 2

也许我讨论得有点晚了，但可能有人以后会需要这个。

我的公司在暹粒业务工作了5年，到目前为止，我们已经阅读了大量的RFP。我想指出的是，从长远来看，您需要的始终是可伸缩性，所以要寻找具有某种集群特性的解决方案。这通常意味着将作业调度到远程节点，它们自己的数据库支持某种明智和快速的集群(请避免使用mysql和类似的数据库)。另外，由于有可能在长期内有懒惰的系统管理员来保持SIEM的运行(这是几年后通常的情况)，我会寻找日志源、自动检测特性和供应商，他们定期更新您的安全/警报索引器。