从企业安全建设同行业间多次交流来看,SIEM不是万能的,不要过多迷信于采购、建设SIEM平台后即可以实现安全能力的全部整合,对于攻击事件能够做到实时响应。一定要结合企业自身IT能力的成熟度、SIEM产品本身在同行业的案例能力、厂商技术支撑人员能力、金融机构企业的安全文化、以及人员投入等等,会有不同的结果而产出,是需要以上多维度的容和的满足才可行,这里面重要要考量的就是投入问题,包含人、财、物的投入,组织机构的资源倾斜能力和组织流程的变化,职责和内部管理流程的变化。
SIEM比较重视后期的持续运营,如果后续运营资源无法持续跟进,一方面会将前期的各类投入作为沉默成本,另一方面运营SIEM本身增加日常运维工作量,但很难产生效果,所以如何更好的在企业中使用和运维,是个现实问题。