SIEM部署失敗的五大原因

2021-09-04 12:06:22 字數 1132 閱讀 2187

tt安全上的

這篇文章談及了siem實施的負面問題,指出了四個可能存在的主要原因。實際上,這篇文章源自darkreading在2023年9月27日發表的這篇文章《

five reasons siem deployments fail》,是乙個採訪多位業內人士的綜合報道。原文指出的是五個原因。第五個原因談及的是「siem的伸縮性問題,尤其是事件採集和處理效能的問題」。

其實,文章提及的四個問題,我之前也都有提到,針對國內的情況,我們也一直在試圖緩解或者處理這些問題,至少盡可能地規避這些問題。

1)siem 很難用,如果是soc就更難用。沒錯。因此,這不僅需要技術策略,還需要市場策略,正如我們從2023年開始實踐的那樣,我們開始乙個「make siem ******!」的行動,簡化siem,我們倡導日誌審計。根據客戶需求和市場細分,我們從多個方面簡化siem的技術複雜度,部署複雜度,維護複雜度。當然,永遠沒有銀彈,簡化不等於簡單,問題的關鍵在於如何找到乙個細分市場,這個市場的客戶能夠接受目前程度的簡化。我要告訴siem從業人員的是,這個細分市場是存在的!所以,需求分析很重要!

2)事件標準化的問題。早期有人從ids的角度出發提出了idmef,不過無人問津,後來,arcsight也搞出了乙個標準化格式

cef,不過有點可能會成為另乙個checkpoint的opsec。目前比較火的是美國mitre搞的

cee。mitre具有軍方背景,他們之前搞出了cve。如果國內有人致力於研究和運用這個,咱們可以交流。

3)關於技術與管理的衝突問題。這個主要是指siem為了獲得最終的分析效果,需要收集各種門類的資訊,但不幸的是這些資訊往往隸屬於不同的部門,例如網路和主機,還有應用可能就分屬於2到3個部門,如何統一收集和分析這些資訊,同時確保不會引發大家的或真或假的擔憂,以及不介入部門間的利益糾葛,是乙個問題。這個問題的規避需要在規劃和實施的時候進行很好的預處理。很重要地,在規劃的時候十分重要。乙個好的consultant能夠減輕很多壓力。更多的資訊,我會在以後的博文中陸續介紹。實際上,我之前也有提及過。

4)一些甲方的技術和管理人員把siem看成安全管理的銀彈,也就是期望過高的問題。這個,我之前也多次提及,關鍵還是要在一開始規劃的時候,定位要準確,需求要明確。「don't boil the ocean!」。

5)關於siem的效能和伸縮性的問題。這個就是siem從業的技術人員需要潛心研究的問題了。

失敗應聘的五大原因

首先列出應聘者不被僱傭的五大理由 1.簡歷過長 簡歷上應該用最簡潔的文本來表述你的成就。如果你無法用一句話把它描述清楚,那在今後的工作過程中,我豈不是要經常收到你雜亂無章的郵件?乙份成功的簡歷應該盡量貼合我所發布的招聘資訊。例如招聘資訊中要求具有 windows管理員 經驗,那你在簡歷中至少應該有一...

失敗應聘的五大原因

1.簡歷過長 簡歷上應該用最簡潔的文本來表述你的成就。如果你無法用一句話把它描述清楚,那在今後的工作過程中,我豈不是要經常收到你雜亂無章的郵件?乙份成功的簡歷應該盡量貼合我所發布的招聘資訊。例如招聘資訊中要求具有 windows管理員 經驗,那你在簡歷中至少應該有一項是介紹你在哪個專案中成功地使用了...

失敗應聘的五大原因

golem technologies創始人charlie belmer日前發表了一篇博文 why i won t hire you 文中指出作為乙個面試官,他面試了各種型別的面試者,在眾多的崗位招聘過程中,其總結出了應聘者失敗應聘的五大原因,同時總結出在面試過程中他重點考查應聘者的五大特性。csdn...