Oggigiorno la maggior parte dei prodotti commerciali SIEM / SEIM / SIM / SEM / SEEM / CSIM / SCIM / SIM vengono spediti con una grande moltitudine di cosiddetti "report in scatola". In generale, ciascuno di questi report sarà progettato per esaminare log specifici da tipi specifici di sistemi e elaborarli. Ad esempio, in base al rapporto "Windows - Attemps di autenticazione non riuscita", si presuppone che gli EventID che eseguono il mapping degli eventi di autenticazione vengano elaborati alla ricerca di FAILURE. Considerando che un "Windows - Firewall Blocks" cercherebbe EventID che mappano al sottosistema del firewall verrebbero elaborati.
Le vere domande che dovresti porci sono queste;
- "Che cosa vogliamo ottenere da un SIEM?"
- "Su cosa voglio essere avvisato?"
- "Quali rapporti mi piacerebbe vedere?"
La risposta alla domanda numero 1 è tutta incentrata sull'inquadrare la situazione nella tua testa. Così puoi tenerlo presente quando pensi all'altra 2. Una volta che hai risposto a queste domande, puoi guardare il prodotto SIEM che hai e determinare "Quali dati sono necessari per produrre quell'informazione?"
Tieni presente che anche la sua può variare in modo selvaggio a seconda delle specifiche fonti di registro. Ad esempio, potresti decidere che un server web che non serve nient'altro che le informazioni di contatto di un dipartimento deve solo inviare i log di autenticazione e IIS, mentre puoi volere tutti i registri dai tuoi controller di dominio. Questo può anche essere strongmente influenzato da qualsiasi restrizione di licenza in quanto molti prodotti commerciali saranno licenziati in base al numero di sorgenti di log e / o eventi al secondo (EPS).
Sfortunatamente, non esiste una risposta breve e chiara. Tutto dipende da cosa vuoi e dalla tua soluzione.