Lavoro per la società che sta sviluppando la SIEM soluzione per gli ultimi 5 anni, quindi devo costantemente parlare con e clienti esistenti, aiutandoli a scegliere il modo migliore per integrare ciò che offriamo.
Ciò che mi viene in mente riguardo a SIEM e al pre-filtraggio è se è necessario mantenere intatti i registri quando si accede al sistema a causa delle varie normative nazionali. Questo potrebbe o potrebbe non essere importante per la tua azienda.
In secondo luogo, se il SIEM offre un piano $$ che si concentra sui dati archiviati e non sui dati trasferiti, è possibile filtrare ciò che effettivamente entra nell'archiviazione (livello di conservazione, parte di preindicizzazione) in modo da non spendere troppo spazio di archiviazione e non uccidere SIEM avvisando con troppi dati spazzatura. La configurazione di ciò che introduce SIEM e ciò che viene scartato a livello di SIEM e non a livello di OS guadagna un maggiore controllo su ciò che accade se qualcuno esce, cambia sistema operativo o simili. Guarda le regole SIEM come documentazione per la tua infrastruttura. Se è tutto in un posto, è più semplice da guardare se è distribuito in luoghi non standard.
TLDR
Raccoglierei tutto e fare poche regole nel livello di conservazione in modo che i dati non entrino nel livello di indicizzazione (avviso, correlazione ecc.). Se ci sono dei complimenti normativi da seguire, vorrei partire così com'è.