除了在我想要收集事件的服务器上部署日志收集器代理的开销(使用 GPO、SCCM 等)之外,使用 Windows 事件转发到我的 SIEM 还有其他好处吗?
答案1
总体来说,主要有三大优点:
- WEF 是一个基于推送的原生活动解决方案
- WEF 允许过滤事件,这意味着您可以避免将非关键事件发送到您的 SIEM(但可以将它们发送到其他事件数据库)。
- WEF 是实际上集中管理,并非所有 SIEM 连接器都采用这种方式 - 这也是你可以(从安全管理员的角度来看)转移给更有知识的团队的工作的一部分
还有一个非技术优势,那就是避免由于“操作系统人员”必须与“安全团队”及其代理打交道而产生的冲突/紧张/问题。
在我工作过的大多数环境中:
- Linux 默认发送信息,而不是让你收集信息
- Windows 用户更喜欢 Linux 方式,但选择有限。
如果您可以避免引入另一个“关键组件”(我希望您的 SIEM 收集器能够像 AV 一样被视为关键组件)供 Windows 团队管理,他们通常会对此感到非常高兴和积极。
这里最大的缺点是 SIEM 收集器可能会有压缩功能,而 WEF(据我所知)没有。此外,推送数据(在大多数情况下)需要更稳定的基础设施(即您的接收器始终需要可用)。
从现实角度来看,这通常是可行的,但可能会给 SIEM 基础设施的支持组织带来压力。
总体而言,我个人的观点是,将安全事件监控纳入 Windows 域应包含的内容是一件好事,我认为这有助于安全和运营部门思考什么是好的日志记录策略。与 Windows 的大多数其他可用选项相比,WEF 是此讨论中更像 syslog 的“类比”,我认为这也是积极的一面(因为这意味着您拥有更统一的策略)。
因此,在我看来,如果可以使用 WEF,我会选择它 - 替代方案(根据我的经验)随着时间的推移会变得更难维护。不过,我更喜欢 Linux,所以我有点偏向于使用 syslog 模型。
答案2
我认为这篇文章应该对你有点帮助:
归根结底,WEF 使用的代理是一样的,只不过它是由 Microsoft 开发的。我通常建议人们远离 WEF,因为它的选项相当有限,包括支持、功能(例如其他发帖人提到的压缩)。
良好的 SIEM 解决方案(并非都很昂贵)可以为您提供更多功能并带来更流畅的体验。