我想知道我们是否可以使用 logstash 或任何其他开源或免费日志管理工具来收集和索引数据,然后将该索引输入 RSA envision 或任何其他企业 SIEM 工具。
这有任何好处吗?
各种日志管理和 SIEM 工具(Splunk、RSA envision、HP Arcsight Logger、Logstash 等)的索引是否彼此兼容?
我的组织正计划购买 RSA envision 设备,是否有办法限制或仅选择某些类型的日志文件(例如:安全日志或 Apache 日志),以便只监控这些文件,从而减少 EPS(每秒事件数)?
答案1
索引特定于 SIEM 工具,取决于它们在后端使用的数据库和它们使用的数据库架构系统。因此,索引不能相互兼容。需要考虑的一点是,这个索引是否可以根据客户需求进行定制?或者 SIEM 是否允许索引多个字段(例如:用户名、源 IP、目标 IP 等)
所有 SIEM 都提供了仅选择所需日志类型的方法。