安全信息和事件管理(SIEM)工具是大多數(shù)公司網(wǎng)絡(luò)防御的核心部分。使用本指南可以幫助您尋找到最符合您需求的SIEM選項(xiàng)。

[[253533]]

SIEM可以說(shuō)是網(wǎng)絡(luò)安全專業(yè)人員的“藍(lán)領(lǐng)級(jí)”工具，因?yàn)閷徲?jì)、審查和管理事件日志并不具備任何獨(dú)到的魅力，但它卻是構(gòu)建安全企業(yè)網(wǎng)絡(luò)的一個(gè)必不可少的層面。它可以作為所有數(shù)據(jù)收集和分析活動(dòng)的集中點(diǎn)，可對(duì)系統(tǒng)日志和網(wǎng)絡(luò)信息提供智能分析。一旦SIEM配置正確，它便可以查找惡意行為和系統(tǒng)活動(dòng)，在安全事件惡化成為有影響的數(shù)據(jù)泄露事件之前提醒企業(yè)的安全事件團(tuán)隊(duì)。

如今，網(wǎng)絡(luò)安全已經(jīng)逐步走向成熟，無(wú)數(shù)工具(機(jī)器學(xué)習(xí)支持的防火墻，強(qiáng)化的Web應(yīng)用程序服務(wù)器，云服務(wù)等)的衍生進(jìn)一步加劇了企業(yè)網(wǎng)絡(luò)攻擊的難度。以全局、“自上而下”的方式監(jiān)控每個(gè)層、服務(wù)和設(shè)備，對(duì)于為日志事件提供上下文而言至關(guān)重要。此外，將自動(dòng)修復(fù)任務(wù)應(yīng)用于事件日志也助力許多此類SIEM工具提升到了另一個(gè)級(jí)別。

鑒于事件日志的性質(zhì)，它們通常會(huì)成為渴望掩蓋其活動(dòng)蹤跡的惡意用戶的二次攻擊面。SIEM工具通常會(huì)通過(guò)將事件日志轉(zhuǎn)移到為任務(wù)構(gòu)建的服務(wù)器或服務(wù)中，來(lái)為事件日志提供額外的保護(hù)層，從而提供一種防止編輯或刪除，甚至創(chuàng)建備份副本的方法。

以下是Gartner PeerInsights評(píng)選的12款頂級(jí)SIEM工具，以及來(lái)自同行評(píng)審的評(píng)級(jí)摘要：

1. AlienVault統(tǒng)一安全管理平臺(tái)(AlienVault Unified Security Management)

AlienVault的統(tǒng)一安全管理(USM)平臺(tái)提供了在各種系統(tǒng)中監(jiān)控、分析和管理系統(tǒng)事件的工具。其聲稱能夠從網(wǎng)絡(luò)中的任何地方發(fā)現(xiàn)威脅，而不僅僅通過(guò)防火墻，且能夠?qū)l(fā)現(xiàn)的威脅以“殺傷鏈”(KILL CHAIN)的不同階段進(jìn)行歸類。

AlienVault USM不僅僅是一個(gè)SIEM解決方案。除了監(jiān)控進(jìn)而管理事件日志外，該平臺(tái)還提供用于漏洞評(píng)估和入侵檢測(cè)(包括網(wǎng)絡(luò)和基于主機(jī))的工具，為可能不具備這些功能的客戶提供附加價(jià)值。除此之外，AlienVault還提供OSSIM(開源安全信息和事件管理)服務(wù)，顧名思義，它是一個(gè)開源的SIEM解決方案，且可能是更受歡迎的開源SIEM平臺(tái)之一。OSSIM將本地日志存儲(chǔ)和關(guān)聯(lián)功能與眾多開源項(xiàng)目結(jié)合在一起，以構(gòu)建完整的SIEM。OSSIM中包含的開源項(xiàng)目列表包括FProbe，Munin，Nagios，NFSen / NFDump，OpenVAS，OSSEC，PRADS，Snort，Suricata和TCPTrack。

• Gartner PeerInsights評(píng)分：4.3星；
• 目標(biāo)受眾：各種規(guī)模的IT商店；
• 顯著特點(diǎn)：捆綁為具有入侵檢測(cè)和漏洞評(píng)估工具的多層安全套件；
• 定價(jià)：AlienVault主要提供3種售價(jià)標(biāo)準(zhǔn)——基礎(chǔ)版：1,075美元/月起;優(yōu)質(zhì)版：2,595美元/月起，按年度結(jié)算;最高級(jí)：根據(jù)保留期、數(shù)據(jù)量以及對(duì)PCI兼容日志存儲(chǔ)的支持類型進(jìn)行具體定價(jià)。

2. Elastic Logstash

Elastic并不提供真正的SIEM平臺(tái)(如果您的組織需要PCI兼容性，可以前往查看其他工具)，但Logstash作為一個(gè)日志聚合器，可以收集和處理來(lái)自幾乎任何數(shù)據(jù)源的數(shù)據(jù)，它可以過(guò)濾、處理、關(guān)聯(lián)并且通常增強(qiáng)它收集的任何日志數(shù)據(jù)。尤其是Elastic還提供了諸如Beats之類的工具來(lái)移動(dòng)數(shù)據(jù)，Beats包括各種輕量級(jí)日志傳送，負(fù)責(zé)收集數(shù)據(jù)并通過(guò)Logstash將其發(fā)送到堆棧;Elasticsearch是存儲(chǔ)引擎，用于幫助解析大量數(shù)據(jù);而Kibana則是堆棧中的可視化層，用于處理可視化和分析問(wèn)題。

Logstash可能是該列表中最靈活的工具，但它也存在一些關(guān)鍵問(wèn)題。毫無(wú)疑問(wèn)，Elastic的Stack平臺(tái)非常強(qiáng)大，其日志處理、存儲(chǔ)和可視化功能在功能上都是無(wú)與倫比的。然而，對(duì)于SIEM而言，ELK Stack至少在其原始開源格式中缺少一些關(guān)鍵組件。首先，沒有內(nèi)置的報(bào)告或警報(bào)功能。這是一個(gè)已知的痛點(diǎn)，不僅對(duì)于嘗試將堆棧用于安全性的用戶而且對(duì)于更常見的用例來(lái)說(shuō)也是如此——例如IT操作。警報(bào)可以通過(guò)使用X-Pack(Elastic的商業(yè)產(chǎn)品)或通過(guò)添加開源安全附件來(lái)添加。其次，也沒有可以使用的內(nèi)置安全規(guī)則。這使得堆棧在處理資源和運(yùn)營(yíng)成本方面成本更高。

• Gartner PeerInsights評(píng)分：4.3星；
• 目標(biāo)受眾：各種規(guī)模的客戶，尤其是具有DevOps功能的客戶；
• 顯著特點(diǎn)：開源和極其靈活的平臺(tái)；
• 定價(jià)：開源且免費(fèi)，基于具體規(guī)模和使用情況提供企業(yè)支持和商業(yè)訂閱定價(jià)模式。

3. Exabeam安全管理平臺(tái)(Exabeam Security Management Platform)

在我們此次列舉的12款解決方案中，Exabeam贏得了最高的Gartner PeerInsights評(píng)分，至于原因也是顯而易見的。對(duì)于初學(xué)者而言，Exabeam的安全管理平臺(tái)可以為您的事件日志帶來(lái)大數(shù)據(jù)工具集，提供性能和分析優(yōu)勢(shì)。Exabeam Data Lake可以支持盡可能多的數(shù)據(jù)，且其定價(jià)也是基于用戶數(shù)量而非數(shù)據(jù)量而定，此外，Exabeam還可以使用機(jī)器學(xué)習(xí)等技術(shù)為用戶提供多種分析策略。

除了提供用于編譯、聚合和分析事件日志的工具之外，Exabeam還提供了一個(gè)用于處理事件響應(yīng)的工具集。Exabeam事件響應(yīng)程序提供了在事件發(fā)生時(shí)將事件分配給相關(guān)人員以及跟蹤狀態(tài)更新的選項(xiàng)。事件響應(yīng)者還可以利用自動(dòng)和定制的“劇本”，來(lái)針對(duì)不同類型的事件采取相應(yīng)的緩解措施，以及阻止自動(dòng)化和與其他系統(tǒng)集成的潛在機(jī)會(huì)。

• Gartner PeerInsights評(píng)分：4.7星；
• 目標(biāo)受眾：中型企業(yè)級(jí)公司；
• 顯著特征：基于大數(shù)據(jù)的工具和集成的事件響應(yīng)系統(tǒng)；
• 定價(jià)：每個(gè)組件單獨(dú)定價(jià)，根據(jù)用戶數(shù)量定價(jià)。

4. Fortinet FortiSIEM

FortiSIEM是Fortinet公司的SIEM解決方案，其可以為企業(yè)提供一個(gè)完善、整合、可擴(kuò)展的解決方案，從IoT到云，通過(guò)持有專利的分析技術(shù)來(lái)讓網(wǎng)絡(luò)安全管理更可操作，更高效，更可視，以及滿足多種合規(guī)標(biāo)準(zhǔn)。

FortiSIEM可以在收集事件和自動(dòng)化事件響應(yīng)方面進(jìn)行集成。此外，F(xiàn)ortiSIEM修復(fù)庫(kù)還提供了內(nèi)置腳本，可以利用來(lái)自各種供應(yīng)商的設(shè)備和系統(tǒng)來(lái)執(zhí)行修復(fù)步驟，例如禁用交換機(jī)端口或Active Directory帳戶。

該產(chǎn)品的突出優(yōu)勢(shì)包括：統(tǒng)一的NOC和SOC分析能力;分布式實(shí)時(shí)事件關(guān)聯(lián)技術(shù);實(shí)時(shí)、自動(dòng)化基礎(chǔ)設(shè)施發(fā)現(xiàn)以及應(yīng)用發(fā)現(xiàn)引擎;動(dòng)態(tài)用戶識(shí)別與匹配;靈活且快速的自定義日志解析;混合數(shù)據(jù)庫(kù)架構(gòu)- 融合結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)源;大規(guī)模威脅情報(bào)源整合以及“多租戶架構(gòu)”等等。

• Gartner PeerInsights評(píng)分：4.3星；
• 目標(biāo)受眾：小型到大型企業(yè)，支持內(nèi)部部署或基于云的工作負(fù)載；
• 顯著特征：基于腳本的修復(fù)和靈活的部署選項(xiàng)；
• 定價(jià)：具備永久許可證的硬件設(shè)備起價(jià)為10,525美元，虛擬設(shè)備的起價(jià)為21,179美元。

5. IBM QRadar SIEM

IBM長(zhǎng)期以來(lái)一直是企業(yè)軟件領(lǐng)域的領(lǐng)導(dǎo)者，所以其QRadar SIEM平臺(tái)能夠處理大型數(shù)據(jù)集以及企業(yè)事件管理解決方案所需的無(wú)數(shù)功能也就不足為奇了。QRadar對(duì)500多種集成和內(nèi)置分析引擎的支持也正是我們對(duì)IBM軟件產(chǎn)品的期望。

IBM QRadar SIEM可以檢測(cè)異常，發(fā)現(xiàn)高級(jí)威脅以及消除誤報(bào)。它可以將分散在整個(gè)網(wǎng)絡(luò)中的數(shù)千個(gè)設(shè)備、終端和應(yīng)用中的日志事件和網(wǎng)絡(luò)流數(shù)據(jù)整合起來(lái)。然后使用先進(jìn)的Sense Analytics引擎，對(duì)這些數(shù)據(jù)實(shí)施規(guī)范化和關(guān)聯(lián)處理，并確定需要調(diào)查的安全攻擊。此外，您也可以選擇將該產(chǎn)品與IBM Security X-Force Threat Intelligence結(jié)合使用，從而獲得可能的惡意IP地址的列表，包括惡意主機(jī)、垃圾郵件源和其他威脅。QRadar SIEM可在內(nèi)部部署，也可在云端部署。

作為昔日的AI“老大哥”，IBM Watson可能是全球銷量最高的AI，而IBM QRadar Advisor with Watson正是將Watson的認(rèn)知功能和行業(yè)領(lǐng)先的QRadar Security Analytics Platform 相結(jié)合，以發(fā)現(xiàn)潛在的威脅和異常行為，并自動(dòng)發(fā)掘洞察而無(wú)需手動(dòng)識(shí)別，從而徹底改變安全分析人員的工作方式。此外，Watson Advisor還整合了來(lái)自外部資源的新威脅，以識(shí)別零日攻擊。

• Gartner PeerInsights評(píng)分：4.0星；
• 目標(biāo)受眾：中型到大型企業(yè)客戶；
• 顯著特點(diǎn)：眾多集成點(diǎn)，以促進(jìn)事件響應(yīng)和自動(dòng)化；
• 定價(jià)：IBM的內(nèi)部部署解決方案起價(jià)為10,700美元，其中包括12個(gè)月的服務(wù)支持;IBM的SaaS平臺(tái)——QRadar on Cloud，每月起價(jià)為800美元，年度收費(fèi)。

6. LogPoint

LogPoint用戶將簡(jiǎn)單的設(shè)置過(guò)程視為關(guān)鍵點(diǎn)，許可結(jié)構(gòu)(licensing structure)使得成本預(yù)測(cè)變得更為清晰。licensing的本質(zhì)實(shí)際上是一項(xiàng)資產(chǎn)的擁有者給予受讓方在特定目的，時(shí)期以及地域范圍內(nèi)使用自己資產(chǎn)權(quán)利的一種許可。LogPoint的許可主要基于向SIEM發(fā)送數(shù)據(jù)的設(shè)備數(shù)量，而非用戶或吞吐量。

LogPoint使用用戶和實(shí)體行為分析(UEBA)作為其威脅建模和機(jī)器學(xué)習(xí)產(chǎn)品。UEBA使用戶能夠快速實(shí)現(xiàn)啟動(dòng)和運(yùn)行，而無(wú)需創(chuàng)建或修改廣泛的規(guī)則集。

• Gartner PeerInsights評(píng)分：4.5星；
• 目標(biāo)受眾：LogPoint支持從小型企業(yè)到企業(yè)級(jí)環(huán)境(包括托管服務(wù)提供商)的客戶端；
• 顯著特點(diǎn)：LogPoint的UEBA可以最大限度地減少誤報(bào)并優(yōu)先處理威脅，使您的安全團(tuán)隊(duì)能夠?qū)Ｗ⒂谛枰牡胤剑?/li>
• 定價(jià)：LogPoint并未透露定價(jià)細(xì)節(jié)，但其許可主要基于報(bào)告事件數(shù)據(jù)的設(shè)備數(shù)量。

7. LogRhythm

LogRhythm提供了全面的SIEM套件，有助于實(shí)現(xiàn)從數(shù)據(jù)收集到修復(fù)的威脅管理任務(wù)。LogRhythm可以根據(jù)您的具體需求提供各種尺寸的LogRhythm XM，或支持跨多個(gè)服務(wù)器進(jìn)行擴(kuò)展的LogRhythm Enterprise。這兩者都可用于基于軟件或設(shè)備的解決方案，不同之處在于，LogRhythm Enterprise也可以支持混合架構(gòu)。

核心LogRhythm解決方案還有幾個(gè)附加組件可供使用。其中，CloudAI是LogRhythm基于UEBA的高級(jí)威脅檢測(cè)產(chǎn)品;LogRhythm NetMon負(fù)責(zé)跟蹤網(wǎng)絡(luò)流量，以識(shí)別異常行為和潛在威脅;此外，LogRhythm還提供了SysMon組件，其基于軟件代理的傳感器可用于監(jiān)控用戶、應(yīng)用程序和端點(diǎn)。

• Gartner PeerInsights評(píng)分：4.4星；
• 目標(biāo)受眾：各種規(guī)模的企業(yè)，包括托管服務(wù)提供商；
• 顯著特點(diǎn)：附加組件CloudAI、NetMon以及SysMon添加了關(guān)鍵功能；
• 定價(jià)：LogRhythm起價(jià)28,000美元，提供訂閱選項(xiàng)。

8. McAfee 企業(yè)安全管理系統(tǒng)(McAfee Enterprise Security Manager)

如今，McAfee已經(jīng)成功躋身Gartner SIEM 魔力象限領(lǐng)導(dǎo)者之列，作為其SIEM 解決方案的基礎(chǔ)，McAfee Enterprise Security Manager(ESM)不僅可以將事件、威脅和風(fēng)險(xiǎn)數(shù)據(jù)集中到一起，以提供強(qiáng)大的安全情報(bào)、快速事件響應(yīng)、無(wú)縫日志管理以及合規(guī)報(bào)告功能，從而提供適應(yīng)性安全風(fēng)險(xiǎn)管理所需的上下文環(huán)境，而且其嵌入式合規(guī)框架和內(nèi)置安全內(nèi)容包還能夠簡(jiǎn)化分析人員的操作和合規(guī)性操作。

架構(gòu)和集成方面的靈活性是McAfee ESM的關(guān)鍵特征。ESM可用于各種規(guī)模的物理和虛擬設(shè)備中，其中虛擬設(shè)備還包括各種虛擬機(jī)管理程序和云平臺(tái)等。而McAfee所提供的內(nèi)置安全內(nèi)容包還可以針對(duì)特定用例或合作伙伴平臺(tái)啟用監(jiān)視器和警報(bào)，此外，其與十幾家第三方供應(yīng)商所建立的集成合作伙伴關(guān)系，也使得ESM具有其他同類產(chǎn)品難以企及的可擴(kuò)展性。

• Gartner PeerInsights評(píng)分：4.2星；
• 目標(biāo)受眾：大中型企業(yè)客戶，通常為擁有500名或更多員工的企業(yè)；
• 顯著特征：合作伙伴關(guān)系促使ESM與第三方系統(tǒng)緊密集成，通過(guò)單一界面實(shí)現(xiàn)快速分類和修復(fù)；
• 定價(jià)：入門級(jí)虛擬設(shè)備的售價(jià)在40,000美元至50,000美元之間。

9. Micro Focus ArcSight企業(yè)安全管理系統(tǒng)(Micro Focus ArcSight Enterprise Security Manager)

ArcSight企業(yè)安全管理程序(ESM)是一個(gè)功能齊全的解決方案，可以檢查企業(yè)SIEM的所有內(nèi)容。ArcSight ESM支持一系列集成和自定義選項(xiàng)，允許安全分析師從單一管理平臺(tái)執(zhí)行事件響應(yīng)。借助ArcSight Marketplace，您可以輕松利用更新的儀表板、報(bào)告或關(guān)聯(lián)規(guī)則。

ArcSight ESM支持基于工作流程的自動(dòng)化，允許分析人員快速關(guān)聯(lián)事件，在案例中引用事件，并根據(jù)需要進(jìn)行響應(yīng)或升級(jí)。您還可以審核并報(bào)告所采取的每個(gè)操作，以維持服務(wù)級(jí)別協(xié)議(SLA)合規(guī)性并跟蹤響應(yīng)時(shí)間。此外，與第三方系統(tǒng)的集成還允許用戶啟用修復(fù)程序，例如禁用端口或帳戶，甚至可以創(chuàng)建規(guī)則集以自動(dòng)執(zhí)行這些步驟。

• Gartner PeerInsights評(píng)分：3.9星；
• 目標(biāo)受眾：中型到大型企業(yè)客戶；
• 顯著特征：通過(guò)ArcSight Marketplace提供可擴(kuò)展的功能集，通過(guò)系統(tǒng)集成提供可操作的警報(bào)；
• 定價(jià)：Micro Focus暫未提供定價(jià)細(xì)節(jié)；

10. RSA NetWitness

RSA的SIEM解決方案RSA NetWitness具有企業(yè)級(jí)SIEM所需的許多功能，包括用戶行為分析(UEBA)，自動(dòng)化工具和架構(gòu)靈活性(支持硬件和虛擬設(shè)備、基于軟件的選項(xiàng)或云部署)。此外，RSA NetWitness還可以通過(guò)與RSA Archer和SecurID集成，對(duì)所捕獲的網(wǎng)絡(luò)和日志數(shù)據(jù)進(jìn)行實(shí)時(shí)上下文智能分析，從而為企業(yè)提供可操作的安全情報(bào)信息。

加密或編碼的事件數(shù)據(jù)或Web流量可能難以合并到您的SIEM中。但RSA NetWitness可以利用各種加密工具(包括解密、解壓和熵測(cè)量)來(lái)顯示此類信息，并將其合并到您的SIEM工作流程中。這種對(duì)加密流量的可見性可能就是確定流量本質(zhì)上是惡意還是合法的關(guān)鍵所在。

• Gartner PeerInsights評(píng)分：4.2星；
• 目標(biāo)受眾：企業(yè)客戶；
• 顯著特征：能夠添加業(yè)務(wù)上下文而不僅僅是技術(shù)或系統(tǒng)上下文，對(duì)加密保護(hù)數(shù)據(jù)的可見性使您可以輕松應(yīng)對(duì)攻擊；
• 定價(jià)：NetWitness定價(jià)是基于月度或永久性選擇的吞吐量而定的。月度許可證的零售價(jià)格為857美元/月，其中包括支持服務(wù)。

11. SolarWinds Log & Event Manager

SolarWinds對(duì)于許多IT專業(yè)人士而言是非常熟悉的名稱，其積極的營(yíng)銷模式和長(zhǎng)期以來(lái)發(fā)布免費(fèi)工具的行為已經(jīng)贏得了眾多中小型IT商店的青睞。SolarWinds Log & Event Manager是其SIEM解決方案，主要提供快速簡(jiǎn)單的合規(guī)性報(bào)告、實(shí)時(shí)事件關(guān)聯(lián)、實(shí)時(shí)補(bǔ)救、高級(jí)搜索和取證分析、文件完整性監(jiān)控等諸多功能。

Log&Event Manager并不提供基于機(jī)器學(xué)習(xí)的分析，也不提供與該列表中其他企業(yè)級(jí)工具相同的第三方系統(tǒng)集成功能。但SolarWinds卻能夠提供USB設(shè)備監(jiān)控功能，旨在降低USB閃存驅(qū)動(dòng)器對(duì)您的網(wǎng)絡(luò)造成的風(fēng)險(xiǎn)。

• Gartner PeerInsights評(píng)分：4.2星；
• 目標(biāo)受眾：中小型企業(yè)；
• 顯著特點(diǎn)：自動(dòng)修復(fù)和USB設(shè)備監(jiān)控；
• 定價(jià)：SolarWinds Log&Event Manager永久性許可起價(jià)為4,585美元，可授權(quán)多達(dá)30個(gè)節(jié)點(diǎn)使用，外加一年的維護(hù)服務(wù)。

12. Splunk

Splunk可能是該列表中最為知名的一大存在，同時(shí)也是判斷SIEM平臺(tái)的標(biāo)準(zhǔn)。Gartner PeerInsights的評(píng)分也體現(xiàn)了這一點(diǎn)，高達(dá)4.4星的評(píng)級(jí)以及500多條評(píng)論支持，都明顯超出了其他競(jìng)爭(zhēng)解決方案。

Splunk提供了兩個(gè)版本的平臺(tái)。其中，Splunk Enterprise可以作為各種Unix或Windows操作系統(tǒng)上的服務(wù)器應(yīng)用程序安裝在本地，也可以作為Docker容器應(yīng)用程序安裝;Splunk Cloud則允許您在SaaS環(huán)境中實(shí)現(xiàn)Splunk的優(yōu)勢(shì)，最大限度地減少基礎(chǔ)架構(gòu)和維護(hù)需求。這兩種平臺(tái)版本都支持可自定義的儀表板和報(bào)告，以及異常檢測(cè)和高度訪問(wèn)控制等功能。

不過(guò)，Splunk最大的賣點(diǎn)或許還是Splunkbase，Splunkbase應(yīng)用庫(kù)包含100多個(gè)來(lái)自Splunk、合作伙伴和社區(qū)的應(yīng)用和加載項(xiàng)。Splunkbase應(yīng)用程序可以在Splunk Enterprise或Splunk Cloud上運(yùn)行，并添加第三方集成、分析或自動(dòng)化功能。其強(qiáng)大的大數(shù)據(jù)收集分析功能可以針對(duì)幾乎任何一個(gè)數(shù)據(jù)源和用戶需求，用戶可根據(jù)自身企業(yè)需求查找對(duì)應(yīng)行業(yè)應(yīng)用或加載項(xiàng)，或只需根據(jù)開發(fā)人員門戶中的幫助創(chuàng)建自己的應(yīng)用或加載項(xiàng)。

• Gartner PeerInsights評(píng)分：4.4星；
• 目標(biāo)受眾：各種規(guī)模的組織；
• 顯著特征：Splunkbase應(yīng)用程序商店；
• 定價(jià)：Splunk Enterprise版本——150美元/月/Gb，Splunk Cloud版本——810美元/月(或8,100美元/年)起，每天限制最高5Gb數(shù)據(jù)。

完整的SIEM解決方案包含從各種數(shù)據(jù)源收集信息，長(zhǎng)時(shí)間保留信息，在不同事件之間關(guān)聯(lián)，創(chuàng)建關(guān)聯(lián)規(guī)則或警報(bào)，分析數(shù)據(jù)并使用可視化和儀表板監(jiān)控?cái)?shù)據(jù)的能力。

無(wú)論一款工具多么強(qiáng)大，都可能存在這樣或那樣的不足，從來(lái)都不存在可以“一勞永逸”的工具，想要真正最大化實(shí)現(xiàn)工具的性能，還需要根據(jù)自身需求和具備的實(shí)際條件來(lái)進(jìn)行選擇。此外，還需要針對(duì)具體工具進(jìn)行正確部署，因?yàn)榧幢阋豢罟ぞ咴僭趺磸?qiáng)大，一旦部署失誤也是徒勞無(wú)功。希望上述內(nèi)容可以幫助您選出最合適的SIEM工具，更好地提升企業(yè)的整體安全態(tài)勢(shì)。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文