探寻安全管理平台（SOC）项目的关键成功因素（4）

这个系列文章已经好久没有接续了，今天再次续上。

前几天看Gartner的Anton Chuvakin的博客，他提到了一个“output-driven SIEM”的概念，并且跟“input-driven SIEM”相对。看到这个“输出驱动的SIEM”（或者产出驱动的SIEM）后，让我想起了我以前说到的目标导向的安全管理平台实施的最佳实践。也就是说，我们在做安管平台（SIEM）的时候，更多地应该考虑我们要分析出什么，然后再去看需要采集什么日志/事件，而不是先不管三七二十一，将所有能采集的日志都采集上来，再去看能够分析出什么。

现在有一个口号叫做“log erverything”，但是我觉得这个口号是有上下文的。在讲到安全管理和SIEM的应用实践的时候，应该慎用这个词；而如果是在阐述产品和技术的功能及性能的时候，可以借用这个口号。但是，无论如何，对于客户实际应用的系统而言，log everything不是目标，最多只是手段。

【参考】

探寻安全管理平台（SOC）项目的关键成功因素（续二）

探寻安全管理平台（SOC）项目的关键成功因素（续）  

探寻安全管理平台（SOC）项目的关键成功因素

【其它参考】

安全管理平台的最佳实践探讨

WISEGATE：SIEM的最佳实践讨论

RSA2012系列（3）：建立SOC的最佳实践分享

再谈实施SIEM的最佳实践

安全管理平台：是扫帚还是干净的屋子？

SIEM部署的几条最佳实践

SIEM部署失败的五大原因