Ecco una risposta semplice: Registra tutto .
Tutto ciò che può essere catturato, inviarlo insieme al tuo server SIEM. L'attenzione dovrebbe essere rivolta alla selezione e all'implementazione di un server SIEM in grado di gestire tale volume di dati e può essere utilizzato per avvisi e report che forniscono informazioni significative relative alla sicurezza senza troppi falsi positivi.
Non dovresti concentrarti sulla determinazione di ciò che è o non è importante e squelching i messaggi all'origine. Se ti sbagli, quando hai bisogno dei dati, saranno spariti o sparpagliati sugli endpoint, con le sole copie su macchine possibilmente compromesse.
Se raccogli tutto al tuo SIEM centrale, allora hai una copia forense nel caso in cui una macchina endpoint venga compromessa. Dove avresti dovuto sintonizzare i registri da inoltrare, ora devi solo ottimizzare i registri da elaborare per i tuoi avvisi e rapporti. E se dovesse risultare necessario qualcosa che non ritenevi importante, allora ce l'hai, proprio lì e pronto per la ricerca centralizzata fornita da SIEM.
Gli svantaggi sono:
- Requisiti di spazio su disco per contenere tutti i registri
- Software SIEM abbastanza veloce da gestire un enorme database di log
- Il software SIEM è abbastanza intelligente da supportare query concise
I lati positivi sono:
- Avrai tutti i log di cui hai bisogno, anche quelli che non pensavi avresti avuto bisogno di
- Le tue indicazioni per gli amministratori di sistema diventano semplicissime