L'architettura di sicurezza è essenziale in questo scenario. Come ha detto Rodrigo, dovresti dare la priorità. Soprattutto quando c'è un budget in gioco. Identifica i punti di ingresso / uscita, identifica l'infrastruttura critica che devi monitorare senza problemi e prova a distribuire i sensori intorno a questo.
Devi anche tenere a mente la conservazione dei dati. In un mondo perfetto, registreremmo la cattura di pacchetti completi tutto il giorno ogni giorno, ma in realtà, la maggior parte delle reti genera troppo traffico per mantenere l'acquisizione completa dei pacchetti per una quantità di tempo decente. Prendi in considerazione soluzioni come NetFlow v5, che è molto più semplice per l'archiviazione dei dati e fornisce ancora i dati necessari per correlare i registri e indagare sugli incidenti.
Inoltre, il killer, identifica dove hai NAT per assicurarti di non perdere metà dei log su NAT. Ad esempio, se si dispone di un sensore su entrambi i lati di un servizio di bilanciamento del carico che non è configurato con X-Forwarded-For o Enhanced Logging, gli indirizzi IP di origine saranno persi e le indagini diventeranno dolorose.
Per quanto riguarda l'accesso ai registri, personalmente credo che gli analisti della sicurezza della rete, in particolare, dovrebbero avere accesso a tutti i registri disponibili per aiutare a correlare i registri da varie fonti e accelerare le indagini. Non necessariamente l'accesso amministratore, ma l'accesso in sola lettura sarebbe sufficiente. Quindi dovresti avere i log dai tuoi sensori, firewall, syslog dai router / load balancer ecc. Se hai accesso solo ai log originati dai sensori, ancora una volta, la vita può diventare dura.
Il punto finale è identificare tutte le fonti log, scegliere un SIEM adatto e centralizzare / inoltrare tutti i registri al SIEM. Saltare su dispositivi diversi per cercare un indirizzo IP specifico tra X e Y date è noioso e terribilmente dispendioso in termini di tempo quando ci sono un sacco di potenti soluzioni SIEM là fuori.
Quando si arriva a questo, hai detto che non volevi creare una "manichetta antincendio dei log scartati", personalmente ritengo che quanto sopra sia il modo migliore per farlo. La riprogettazione dell'infrastruttura di rete dal punto di vista della sicurezza richiederà molto lavoro, ma alla fine lavorerai con ciò di cui hai bisogno e, si spera, il rumore sarà minimo.
Ran poco tempo, scuse.