软件评估的主要考虑因素
|
(1) 日志关联和分析。日志互操作性是关键组成部分。SIEM工具必须从各种各样的数据源中提取大量日志文件,而日志文件没有统一的标准。 有些日志提供非常详细和细粒度的数据,而另一些日志则可能省略详细信息;有些来源可能会以人类可读的纯文本格式生成日志文件,而其他工具可能会以需要解析器读取的方式对数据进行编码。这里的重点是你选择的SIEM工具应该可在企业的特定IT网络中提取和解释日志。 但是,所提取的日志必须关联。读取多个日志的功能可帮助SIEM工具了解到,某个日志错误可能与网络流量或错误消息相关。SIEM工具价值的基础是解读和关联各种数据的功能。 第三个分析功能是威胁检测,这是SIEM技术的关键限制。SIEM工具必须具有关联的日志数据以识别潜在威胁。某些威胁检测是基于日志错误和相关数据自动进行,但管理员仍应部署其他管理调试和威胁情报,以定义威胁行为或跳过“误报”。 (2) 事件优先排序、通知和警报。SIEM工具检测威胁的能力至关重要,但重要的是,必须及时、有效地将这些威胁信息传达给管理员。通常,在繁忙的IT环境中的SIEM系统每秒可能产生数百甚至数千个问题。 你应该评估SIEM工具在检测到问题并确定优先级时如何发出通知。这些工具可以让管理员为触发的事件配置操作,并向安全团队成员发送实时警报。这里的目的是减少安全事件活跃的时间。减少响应时间有利于关键性能指标,例如应用程序可用性、停机时间和用户满意度等级。
(3) 报告和用户界面。SIEM工具可以提供一系列基本和自定义报告,以满足特定的业务需求。例如,报告可以跟踪指标,例如平均修复时间,并 (编辑:淮南站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
