TT安全上的這篇文章談及了SIEM實施的負面問題，指出了四個可能存在的主要原因。實際上，這篇文章源自DarkReading在2010年9月27日發表的這篇文章《Five Reasons SIEM Deployments Fail》，是一個采訪多位業內人士的綜合報道。原文指出的是五個原因。第五個原因談及的是“SIEM的伸縮性問題，尤其是事件采集和處理性能的問題”。

其實，文章提及的四個問題，我之前也都有提到，針對國內的情況，我們也一直在試圖緩解或者處理這些問題，至少盡可能地規避這些問題。
1）SIEM 很難用，如果是SOC就更難用。沒錯。因此，這不僅需要技術策略，還需要市場策略，正如我們從2008年開始實踐的那樣，我們開始一個“Make SIEM Simple！”的行動，簡化SIEM，我們倡導日志審計。根據客戶需求和市場細分，我們從多個方面簡化SIEM的技術復雜度，部署復雜度，維護復雜度。 當然，永遠沒有銀彈，簡化不等于簡單，問題的關鍵在于如何找到一個細分市場，這個市場的客戶能夠接受目前程度的簡化。我要告訴SIEM從業人員的是，這個 細分市場是存在的！所以，需求分析很重要！

2）事件標準化的問題。早期有人從IDS的角度出發提出了IDMEF，不過無人問津，后來，ArcSight也搞出了一個標準化格式CEF，不過有點可能會成為另一個CheckPoint的OPSEC。目前比較火的是美國MITRE搞的CEE。MITRE具有軍方背景，他們之前搞出了CVE。如果國內有人致力于研究和運用這個，咱們可以交流。

3）關于技術與管理的沖突問題。這個主要是指SIEM為了獲得最終的分析效果，需要收集各種門類的信息，但不幸的是這些信息往往隸屬于不同的部門，例如網 絡和主機，還有應用可能就分屬于2到3個部門，如何統一收集和分析這些信息，同時確保不會引發大家的或真或假的擔憂，以及不介入部門間的利益糾葛，是一個 問題。這個問題的規避需要在規劃和實施的時候進行很好的預處理。很重要地，在規劃的時候十分重要。一個好的Consultant能夠減輕很多壓力。更多的 信息，我會在以后的博文中陸續介紹。實際上，我之前也有提及過。

4）一些甲方的技術和管理人員把SIEM看成安全管理的銀彈，也就是期望過高的問題。這個，我之前也多次提及，關鍵還是要在一開始規劃的時候，定位要準確，需求要明確。“Don't Boil the Ocean！”。

5）關于SIEM的性能和伸縮性的問題。這個就是SIEM從業的技術人員需要潛心研究的問題了。

轉載于:https://blog.51cto.com/wuenlong/781618

總結

以上是生活随笔為你收集整理的SIEM部署失败的五大原因的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。