优点:架构上能适应大型企业的部署需求和扩展要求。API挺好用。规则定制灵活。各种功能组件丰富,能满足企业的安全运营需求。缺点:贵,贵,贵,如果后续资金跟不上就不要选择了。个别版本不稳定。部门功能水土不服。
一般siem自带的数据库能够支持自身的需求。如果需要建设和siem功能互补的数据分析平台,要根据需求选择,比如数据量,数据特点等
旁路部署不会影响业务架构。但有的日志收集需要安装探针,探针的稳定性会是运维团队担心的地方,所以尽量采用运维团队自己选择的探针。
预期差可能是上项目前对领导的各种夸大宣传,一旦到了项目实施阶段,各种问题接踵而来。要解决就要从源头做起,项目筹划阶段就要和领导充分沟通,要估计到项目的困难层度,才能从一开始就不会有过高的预期。
要满足安全场景,首先要获取该场景下的所有日志,还要评估siem是否具备将这些日志进行关联分析的能力。当然,对于监控对象也要熟悉,熟悉架构和实现技术,这样才可以调优规则。
关于TWT使用指南社区专家合作厂商入驻社区企业招聘投诉建议版权与免责声明联系我们 © 2024 talkwithtrend — talk with trend,talk with technologist京ICP备09031017号-30