SIEM解决方案中需要注意的7个关键问题

评估新SIEM解决方案的技术采购团队应优先考虑其关键标准，以确保解决方案在现实中可正常运行，企业只要有了相关的使用标准，就可通过这些要求来判断不同SIEM的相对价值，这对如何更好的选择SIEM是非常有利的。

Gartner的研究表明，其中的七项要求至关重要，但对于大部分企业而言，这七项标准术语理想级别的，并非绝对必要。

SIEM具备实时分析检测，可检测威胁、合规性问题或其他事件，并确定其优先级。这样的解决方案要能提供批量分析，以识别和关联未实时检测到数据的弱信号。

SIEM可提供管理、维护和支持复杂功能的工具，如日志和数据源管理，如分析和检测内容，此外还有报告、用户角色和访问控制，以及技术集成和响应工作流。

SIEM可提供数据收集器、解析器、分析规则和模型、案例、法规遵从性包、响应工作流和操作指引等。管理员可以通过所包含的管理框架启用、访问、更新这些内容。

买家应确保新的SIEM解决方案可提供易于理解的界面，这些界面要具有直观的设计，以更好地促进用户参与，尤其是在用户不具备传统IT团队的情况下。买家要确保此SIEM定义与自己的安全监控目标最相符，此外还要重点关注优先问题的性能和资源利用率。

从技术需求的角度来看，必须确保新的SIEM工具能提供足够的数据存储容量，以及所需的文件类型、位置和过程，比如提取或消除。基于云的解决方案提供了可扩展的存储容量，这在指数级增长的全球威胁环境中是至关重要的。

对于任何SIEM工具来说，与所有相关应用程序、数据源和技术的集成也是非常重要的。SIEM威胁检测性能不仅取决于SIEM的配置，还取决于整个检测堆栈，以及发送给SIEM的所有遥测。

SIEM应能在所有环境中（包括云服务、物理和虚拟设备、软件）提供系统事件的主动警报，同时还应生成所有问题的日志记录和解决报告。