Quali caratteristiche si cercano in una soluzione di gestione dei log aziendali?

Ecco alcune caratteristiche che dovresti prendere in considerazione, tieni presente che potresti non aver bisogno di tutte queste funzionalità, e una potrebbe non essere migliore delle altre - ma sono punti da considerare:

• Copertura:
  • Eventi di Windows Accedere ai server, tutte le versioni correnti
  • Evento di Windows Accedere ai client, tutte le versioni nella tua organizzazione (rimarrai sorpreso di quanti Win98 ci siano ancora ...)
  • syslog su server Linux / Unix in base ai tuoi gusti
  • syslog su workstation Linux / Unix (se ne hai) in base ai gusti comuni in uso
  • trap SNMP generici
  • Altri sistemi operativi che potresti avere ...
  • Apparecchiature di rete (se questo è il luogo in cui vuoi prenderle): firewall, router, gateway, proxy, WAF, IDS / IPS, ecc.
  • Registri del server Web / app: ad es. IIS, Apache, WebSphere, WebLogic, ecc., Qualsiasi altra cosa tu abbia
  • Database
  • Server di posta
  • I server MQ se li hai e sono fondamentali
  • AD / directory / server IdM
  • server di sicurezza e controllo, ad es. gateway di filtro del contenuto, HPOV, MS SMS, ecc.
  • etc qualsiasi altra infrastruttura che trovi fondamentale
  • Registri delle applicazioni! Come ho detto nel mio commento in alto, questo è di importanza cruciale, ma sono spesso trascurati. Mentre non esiste un formato comune reale (ci sono alcune strutture ma niente dati specifici), il prodotto / soluzione SIEM dovrebbe:
    un. essere in grado di ricevere e analizzare genericamente una varietà di formati e file, ad es. CSV, XML, flatfiles, ecc.
    b. idealmente sarebbe in grado di definire formati specifici e riconoscere i dati
• Agente vs agentless (aka push vs. pull)
  • Ci sono vantaggi per ciascuno, il che dipende molto dal tuo ambiente specifico.
  • Il migliore sarebbe il supporto di entrambi i modelli e usarli ogni volta dove opportuno
  • Ancora meglio è il supporto di un'API integrata per accedere direttamente ad esso.
• Aggregazione e consolidamento
• Correlazione - cioè collega eventi diversi da diverse fonti insieme per formare un singolo incidente significativo. Idealmente dovrebbe usare una varietà di tecniche
• Reporting e dashboard - dovrebbero essere di tipo BI, sia per l'analisi delle tendenze che per indagini specifiche sugli incidenti / utenti
• Analisi automatizzate e avvisi attivi, a seconda della configurazione. Dovrebbe essere abbastanza flessibile per soddisfare le tue esigenze e aspettative. I motori analitici dovrebbero essere in grado di identificare alcune classi di abuso / frode / attacco in (quasi) tempo reale.
• Dati storici e rapporti / analisi / correlazione nel tempo
• Se pertinente, alcuni prodotti offrono pacchetti di "conformità", per aiutare a soddisfare specifici requisiti normativi.
• disponibilità elevata
• Ampia protezione dei dati dei registri, sia della riservatezza che dell'integrità, utilizzando la combinazione di crittografia, controllo degli accessi, registrazione automatica, ecc.
• Gestione remota (in modo sicuro, ovviamente)
• Possibilità di collegarsi a SOC se / quando ci arrivi

Puoi consultare la Lista di controllo per l'acquirente della gestione dei registri di Anton Chuvakin