SIEM和NIDS/HIDS相互补充吗？

Question

如果您参与了安全信息和事件管理，我只想了解您的反馈。

根据您的经验，我们需要在现有的NIDS (snort)和HIDS (ossec)中添加一个SIEM吗？建立这种软件似乎是非常庞大和昂贵的-- SIEM (和团队处理，SOC，.)。最终，公司可能忽视了这一点。NIDS/HIDS是否不足以确保安全监视？

据我说，在大多数情况下，暹粒是一个政治决定(预算)，而不是一个真正的需要。

Answer 1

SIEM不过是要向您报告的所有监视系统(NIDS/HIDS)的中心回购。授予它一定的好处，但正如您所说，成本和部署是相当大的。

你不买暹粒，因为你的老板听到了一个供应商的暹粒，并认为我们应该拥有它。当系统增长到一个更符合成本效益的系统，而不是增加一个人时，您就会购买它们。这取决于你的公司在实际调查问题上的活跃程度。

记住，SIEM不只是应用IDS系统。它非常广泛，而且像Splunk这样的系统是非常通用的。日志，短信，电子邮件等，可以来自所有的系统。