使用 WEF 代替 SIEM 收集器的好处

使用 WEF 代替 SIEM 收集器的好处

除了在我想要收集事件的服务器上部署日志收集器代理的开销(使用 GPO、SCCM 等)之外,使用 Windows 事件转发到我的 SIEM 还有其他好处吗?

答案1

总体来说,主要有三大优点:

  • WEF 是一个基于推送的原生活动解决方案
  • WEF 允许过滤事件,这意味着您可以避免将非关键事件发送到您的 SIEM(但可以将它们发送到其他事件数据库)。
  • WEF 是实际上集中管理,并非所有 SIEM 连接器都采用这种方式 - 这也是你可以(从安全管理员的角度来看)转移给更有知识的团队的工作的一部分

还有一个非技术优势,那就是避免由于“操作系统人员”必须与“安全团队”及其代理打交道而产生的冲突/紧张/问题。

在我工作过的大多数环境中:

  • Linux 默认发送信息,而不是让你收集信息
  • Windows 用户更喜欢 Linux 方式,但选择有限。

如果您可以避免引入另一个“关键组件”(我希望您的 SIEM 收集器能够像 AV 一样被视为关键组件)供 Windows 团队管理,他们通常会对此感到非常高兴和积极。

这里最大的缺点是 SIEM 收集器可能会有压缩功能,而 WEF(据我所知)没有。此外,推送数据(在大多数情况下)需要更稳定的基础设施(即您的接收器始终需要可用)。

从现实角度来看,这通常是可行的,但可能会给 SIEM 基础设施的支持组织带来压力。

总体而言,我个人的观点是,将安全事件监控纳入 Windows 域应包含的内容是一件好事,我认为这有助于安全和运营部门思考什么是好的日志记录策略。与 Windows 的大多数其他可用选项相比,WEF 是此讨论中更像 syslog 的“类比”,我认为这也是积极的一面(因为这意味着您拥有更统一的策略)。

因此,在我看来,如果可以使用 WEF,我会选择它 - 替代方案(根据我的经验)随着时间的推移会变得更难维护。不过,我更喜欢 Linux,所以我有点偏向于使用 syslog 模型。

答案2

我认为这篇文章应该对你有点帮助:

https://www.eventsentry.com/blog/2017/03/agent-vs-agentless-why-you-should-monitor-event-logs-with-an-agent-based-log-monitoring-solution.html

归根结底,WEF 使用的代理是一样的,只不过它是由 Microsoft 开发的。我通常建议人们远离 WEF,因为它的选项相当有限,包括支持、功能(例如其他发帖人提到的压缩)。

良好的 SIEM 解决方案(并非都很昂贵)可以为您提供更多功能并带来更流畅的体验。

相关内容