SIEM日志预过滤问题

Question

众所周知，每家公司都想尽可能多地省钱。我的任务是在到达暹罗之前对不太重要的状态/健康信息进行预过滤。

1. 在去暹粒之前，有没有人看到预先过滤所涉及的风险？
2. 为什么有人不这么做，或者如果你有资源的话，这样做有好处吗？
3. 在到达暹粒之前，在每个原木上节省钱是否值得预先过滤？

Answer 1

进行预滤波有两个原因:节省EPS (每秒事件)速率和降低噪声。每一种SIEM技术都具有最大的EPS分析能力，这种能力要么受到硬件的限制，要么受到软件许可的限制。当事件超过此限制时，暹粒服务器将开始丢弃数据包。这就是为什么你只想带来那些对安全有重大影响的事件。

但比每股收益更重要的是减少事件，这样你的分析师(S)就可以手动分析这些事件了。尽管SIEM技术可以自动化许多事件相关活动，但最初您需要一名分析人员手动检查每个接收到的日志或流量事件，以确定其是否为真正或假正。当你用许多不涉及安全问题的嘈杂事件压倒系统时，你不仅给系统硬件和软件资源增加了负担，而且在分析这些事件时也给分析人员带来了过重的负担。

根据我的经验，您需要理解的是，有效的SIEM解决方案只分析安全事件。很多时候，人们希望让暹粒分析和关联许多非安全事件。但是，有时这可能很有用，例如在拒绝服务攻击情况下，将系统健康信息与接收的流量日志关联起来，然而，在大多数情况下，预先过滤所有非安全日志和事件，并只将相关日志转发给您的SIEM，将使系统和SIEM分析人员更有效率。

Answer 2

我为开发暹粒解决方案的公司工作了5年，所以我必须不断地与新的和现有的客户交谈，帮助他们选择最好的方式来整合我们提供的产品。

我想到的暹粒和预过滤是，如果你需要保持原木时，进入系统，因为不同的国家法规。这对你的公司来说可能重要，也可能不重要。

其次，如果你的暹粒提供$$计划，专注于存储的数据而不是传输的数据，你可能会过滤实际进入存储的内容(保留级别，预索引部分)，这样你就不会花费太多的存储空间，也不会用太多的垃圾数据来消除暹粒的警报。配置进入SIEM的内容和在SIEM级别而不是在OS级别上丢弃的内容，可以使您更好地控制如果有人退出、更改OS或类似的情况会发生什么。将暹粒规则视为基础结构的文档。如果它都在一个地方，那么如果它分布在非标准的地方，则更容易查看。

TLDR我会收集所有信息，并在保留级别上制定很少的规则，这样数据就不会进入索引级别(警报、相关性等)。如果有法规的遵从，你必须遵守，我就像现在这样离开。