服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 使用WEF而不是SIEM收集器的好处
Intereting Posts
我如何find这个错误循环的301redirect? 将LXC容器桥接到具有不同IP范围的主机networking 在AD(2003)将重置计算机帐户打破股份? 如何通过EB awsLinux上的yum来更新unixODBC 在VMWare 5.5上更改虚拟机未保留的块跟踪设置 IEAK包的部署文件大小 防止Windows删除我们的根CA. 为什么Bonjour for Windows没有看到我的IPv6专用的Linux主机? 套接字:无法分配内存(12) 我可以在普通EC2上使用新的免费SSL / TLS AWS证书,而不使用ELB或Beanstalk吗? 让Postfix以两种方式处理垃圾邮件 无法在Docker中设置容器的内存限制 为什么Chrome浏览器不能识别我的nginx http2服务器? 如何find我连接的Exchange邮件服务器的版本? 我如何设置Artifactory 2.6.x使用更less的存储空间?

使用WEF而不是SIEM收集器的好处

除了我想从中收集事件(使用GPO,SCCM等)的服务器上的日志收集器代理程序的部署开销之外,使用Windows事件转发给我的SIEM还有什么好处?

一般来说,有三大优势:

  • WEF是针对事件的原生推送式解决scheme
  • WEF允许过滤事件,这意味着您可以避免将不重要的事件发送到您的SIEM(但可以将其发送给其他事件DB)。
  • WEF 实际上是集中pipe理的,并不是所有的SIEM连接器都是这样的 – 它也是你可以卸载(从安全pipe理angular度)卸载到更有知识的团队的一部分

还有一个非技术优势,就是避免由于操作系统人员不得不处理“安全团队”和他们的代理而产生的冲突/紧张/问题。

在我工作的大多数环境中:

  • Linux的人默认发送信息,而不是让你收集它
  • Windows的人更喜欢Linux的方式,但select是有限的。

如果您可以避免引入另一个“关键组件”(我希望您的SIEM采集器将被视为与AV应该是相同的意思),以供Windows团队pipe理,他们通常对此非常高兴和积极。

这里的一个很大的缺点是SIEM收集器可能有压缩,而WEF(AFAIK)则没有。 此外,推送数据将需要(在大多数情况下)更稳定的基础设施(即您的接收机始终需要可用)。

实际上,这一般是可行的,但可能会给SIEM基层的支持组织带来压力。

总的来说,我自己的观点是,将安全事件监视考虑在内的Windows域应该包括什么是一件好事,而且我认为这有助于安全和操作来考虑一个好的日志logging策略。 对于这个讨论,WEF比类似于Windows的大多数其他选项更类似于系统日志的“类比”,我认为这也是一个积极的(因为这意味着你有一个更统一的政策)。

所以在我看来,如果你可以使用WEF,我会 – 按照我的经验,这种方法往往难以维持一段时间。 不过,我更像是一个Linux家伙,所以我有点偏向于系统日志模式。

我认为这篇文章应该会帮助你一点:

https://www.eventsentry.com/blog/2017/03/agent-vs-agentless-why-you-should-monitor-event-logs-with-an-agent-based-log-monitoring-solution.html

在一天结束的时候,WEF使用一个代理,只是它由微软开发。 我通常把人们从世界经济论坛引导出去,因为你的select相当有限,包括支持,function(如另一张海报中提到的压缩)。

一个好的SIEM解决scheme(它们并不都是昂贵的)可以给你更多的function,并带来更stream畅的体验。