Вопросы Теги

Преимущества использования WEF вместо сборщиков SIEM

Помимо накладных расходов на развертывание агента сборщика журналов на серверах, с которых я хочу собирать события (с помощью GPO, SCCM и т. д.), существуют ли какие-либо дополнительные преимущества при использовании пересылки событий Windows в мой SIEM?

1
задан 23 April 2017 в 12:05
2 ответа

Как правило, есть три основных преимущества:

  • WEF - это собственное решение на основе push-уведомлений для событий
  • WEF позволяет фильтровать события, что означает, что вы можете избежать отправки некритические события в SIEM (но вместо этого можно было бы отправлять их в какую-либо другую базу данных событий).
  • WEF фактически управляется централизованно, так, как не все коннекторы SIEM - он также является частью вещи, которые вы можете передать (с точки зрения администратора безопасности) более осведомленной команде.

Есть еще одно нетехническое преимущество, которое заключается в избежании конфликтов / напряженности / проблем из-за того, что «ребятам из ОС» приходится иметь дело с «команда безопасности» и их агент.

В большинстве сред, с которыми я работал:

  • парни из Linux по умолчанию отправляют информацию,вместо того, чтобы позволять вам собирать его
  • , ребята из Windows предпочли бы способ Linux, но возможности ограничены.

Если вы сможете избежать введения еще одного «критического компонента» (и я надеюсь, что ваш сборщик SIEM будет учтен в В том же смысле, что и AV, команда Windows должна управлять, они в целом очень довольны и положительно относятся к этому.

Большой недостаток здесь в том, что сборщик SIEM потенциально может иметь сжатие, а WEF (AFAIK) - нет. Кроме того, для передачи данных потребуется (в большинстве случаев) более стабильная инфраструктура (т.е. ваш приемник всегда должен быть доступен).

Это, на самом деле, обычно выполнимо, но это может оказать давление на организацию поддержки SIEM.

В целом, я бы сказал, что это хорошо, если рассматривать мониторинг событий безопасности как часть того, что должен включать домен Windows, и я думаю, что это помогает и безопасности, и операциям подумать о том, что хорошая политика ведения журнала возможно. WEF - это более похожая на системный журнал «аналогия» для этого обсуждения, чем большинство других вариантов, доступных для Windows, что я считаю также положительным (потому что это означает, что у вас более унифицированная политика).

Так что, на мой взгляд, если вы Можно использовать WEF, я бы - альтернативы, как правило (по моему опыту), со временем сложнее поддерживать. Я больше люблю Linux, поэтому я немного склоняюсь к модели ведения дел с помощью системного журнала.

0
ответ дан 4 December 2019 в 04:59

Думаю, эта статья должна вам немного помочь:

https://www.eventsentry.com/blog/ 2017/03 / agent-vs-agentless-why-you-should-monitor-event-logs-with-an-agent-based-log-monitoring-solution.html

В конце концов, WEF использует агент точно так же, за исключением того, что он разработан Microsoft. Я обычно отталкиваю людей от WEF, так как ваши возможности довольно ограничены, включая поддержку, функции (например, сжатие, как упомянуто на другом плакате).

Хорошее решение SIEM (и не все они дорогие) может дать вам много больше функциональности и более плавной работы.

0
ответ дан 4 December 2019 в 04:59

Теги

Похожие вопросы