1)支援多少種類型和廠商的日志源?——這個不必多言。
2)是否具備自主擷取資訊的能力,以彌補現有日志的不足?——這點是近幾年SIEM/SOC産品發展的一個趨勢,譬如通過采集Flow來彌補日志的不足,或者部署中/重量級的代理擷取相關主機的資訊,等等。
3)能否有效利用威脅情報?——随着威脅情報的熱門,SIEM/SOC成了首選的威脅情報利用的平台
4)能否及其多大程度上具備驗證能力?譬如內建全包捕獲能力,或者采用AppFlow進行流級别的驗證。
5)資料檢查與分析的能力如何?——其實就是安全分析的能力。Karen進一步細分為搜尋能力和可視化能力。這兩點肯定是基礎,但是恐怕還不夠,SIEM的安全全分析未來将更加強調威脅捕獵和資料勘探,也即互動式分析。
6)自動化響應能力如何?——包括預警、告警,更包括關聯、阻斷。話說Gartner正在聚焦自動化響應這個議題,并認為是未來整個自适應安全架構的重點之一。
7)内置支援哪些合規報表報告?——這又回到了SIEM的另一半需求,合規管理。
本文轉自葉蓬 51CTO部落格,原文連結:http://blog.51cto.com/yepeng/1738060,如需轉載請自行聯系原作者
![郵箱被盜,受到網絡釣魚攻擊,如何甄别規避?[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)