نحوه جمع آوری / ذخیره سیاههها بستگی به مورد استفاده است که شما SIEM خود و معماری استقرار را مستقر کرده اید.
یک SIEM معمولی موارد زیر را برای شما ارائه خواهد داد:
- Log Collection
- Log Retension [19659004] ورود به سیستم تجزیه و تحلیل
- رویداد همبستگی
- ورود به سیستم قانونی
- IT مطابق
- زمان واقعی هشدار
- نظارت بر فعالیت کاربر
- نظارت بر یکپارچگی فایل
- و غیره.
سناریوی استقرار نیز می تواند متنوع باشد و بستگی به مقیاس / دامنه استقرار و نحوه گردآوری داده ها نیز به این سناریو بستگی دارد. به عنوان مثال می توان بعضی از موارد زیر را ذکر کرد:
-
جمع آوری ورودی ها را در مکان های منبع و سرور مرکزی مجله برای ذخیره کردن سیاهههای مربوطه. سپس فقط سیاهههای مربوط به امنیت را به پایگاه داده SIEM ارسال کنید – فقط سیاهههای مربوطه در پایگاه داده SIEM ذخیره خواهند شد و استراحت در سرور log log central خواهد بود
-
جمع آوری، ذخیره و پردازش کل سیاهههای مربوط در پایگاه داده SIEM – که در آن کل سیاهههای مربوط در SIEM ذخیره می شود
یک سیاهه جمع آوری و پردازش برای هر تامین کننده SIEM منحصر به فرد است زیرا اکثر آنها اتصالات / قالب های خود (یا فرمت های پشتیبانی شده پشتیبانی) برای منابع / همه فروشندگان SIEM شما لیستی از دستگاه های پشتیبانی شده و هر وسیله ای را که در این لیست نیست به صورت دستی متصل می شوند، ارائه می دهند، جایی که تامین کننده SIEM ممکن است به شما در تهیه پیش نویس اتصال خود کمک کند.
شما ممکن است لینک های زیر را برای فروشنده SIEM پشتیبانی کنید لیست دستگاه ها (اتصال ها به راحتی در دسترس هستند):
https://www.scribd.com/document/60264371/LogRhythm-Supported-Products-List
اکثر تامین کنندگان SIEM راه خود را برای ذخیره سازی سیاهههای مربوط (داده ها فرمت به ساختار جدول ممکن است متفاوت باشد) بسیاری از آنها سیاهه های دریافت شده را پردازش می کنند و تبدیل به ساختار می شوند که پلتفرم اصلی آن می تواند درک کند.
اتصال دهنده ها / قالب های مذکور برای تبدیل فرمت منبع بومی به فرمت قابل درک SIEM مورد استفاده قرار می گیرند
امیدوارم این نگرانی شما را روشن کند …
