Назад | Перейти на главную страницу

Преимущества использования WEF вместо сборщиков SIEM

Помимо накладных расходов на развертывание агента сборщика журналов на серверах, с которых я хочу собирать события (с использованием GPO, SCCM и т. Д.), Есть ли какие-либо дополнительные преимущества от использования пересылки событий Windows в мой SIEM?

Думаю, эта статья должна вам немного помочь:

https://www.eventsentry.com/blog/2017/03/agent-vs-agentless-why-you-should-monitor-event-logs-with-an-agent-based-log-monitoring-solution.html

В конце концов, WEF использует тот же агент, за исключением того, что он разработан Microsoft. Я обычно отталкиваю людей от WEF, поскольку ваши возможности с ним довольно ограничены, включая поддержку, функции (например, сжатие, как упомянуто другим плакатом).

Хорошее решение SIEM (и не все они дорогие) может дать вам гораздо больше функциональности и обеспечить более плавную работу.

Как правило, есть три основных преимущества:

  • WEF - это собственное решение для мероприятий на основе push-уведомлений
  • WEF позволяет фильтровать события, что означает, что вы можете избежать отправки некритических событий в SIEM (но вместо этого можете отправлять их в какую-либо другую базу данных событий).
  • ВЭФ фактически централизованно управляемым способом, которым обладают не все коннекторы SIEM - это также часть того, что вы можете передать (с точки зрения администратора безопасности) более опытной команде

Есть еще одно нетехническое преимущество, которое заключается в избежании конфликтов / напряженности / проблем из-за того, что «ребятам из операционной системы» приходится иметь дело с «командой безопасности» и их агентом.

В большинстве случаев я работал:

  • ребята из Linux по умолчанию отправляют информацию, а не позволяют вам ее собирать
  • ребята из Windows предпочли бы Linux, но возможности ограничены.

Если вы можете избежать введения еще одного «критического компонента» (и я надеюсь, что ваш сборщик SIEM будет считаться, что в том же смысле, что и AV) для управления командой Windows, они, как правило, очень счастливы и положительно относятся к этому.

Большим недостатком здесь является то, что сборщик SIEM потенциально может иметь сжатие, а WEF (AFAIK) - нет. Кроме того, для передачи данных потребуется (в большинстве случаев) более стабильная инфраструктура (т.е. ваш приемник всегда должен быть доступен).

На практике это обычно выполнимо, но может оказать давление на организацию поддержки SIEM-инфраструктуры.

В целом, я бы сказал, что это хорошо, если рассматривать мониторинг событий безопасности как часть того, что должен включать домен Windows, и я думаю, что это помогает как безопасности, так и операциям подумать о том, какой может быть хорошая политика ведения журнала. WEF - это более похожая на системный журнал «аналогия» для этого обсуждения, чем большинство других вариантов, доступных для Windows, что, на мой взгляд, также является положительным (потому что это означает, что у вас более унифицированная политика).

Так что, на мой взгляд, если вы можете использовать WEF, я бы ... альтернативы, как правило (по моему опыту), было труднее поддерживать с течением времени. Я больше люблю Linux, поэтому я немного склоняюсь к модели ведения дел с помощью системного журнала.