近期TT发布了Karen Scarfone的针对SIEM产品选型的一系列分析文章,其中谈及了她眼中的7条SIEM评判标准。这7条标准分别是:

1)支持多少种类型和厂商的日志源?——这个不必多言。

2)是否具备自主获取信息的能力,以弥补现有日志的不足?——这点是近几年SIEM/SOC产品发展的一个趋势,譬如通过采集Flow来弥补日志的不足,或者部署中/重量级的代理获取相关主机的信息,等等。

3)能否有效利用威胁情报?——随着威胁情报的热门,SIEM/SOC成了首选的威胁情报利用的平台

4)能否及其多大程度上具备取证能力?譬如集成全包捕获能力,或者采用AppFlow进行流级别的取证。

5)数据检查与分析的能力如何?——其实就是安全分析的能力。Karen进一步细分为搜索能力和可视化能力。这两点肯定是基础,但是恐怕还不够,SIEM的安全全分析未来将更加强调威胁捕猎和数据勘探,也即交互式分析。

6)自动化响应能力如何?——包括预警、告警,更包括联动、阻断。话说Gartner正在聚焦自动化响应这个议题,并认为是未来整个自适应安全架构的重点之一。

7)内置支持哪些合规报表报告?——这又回到了SIEM的另一半需求,合规管理。