Benefícios da utilização de WEF em vez de coletores SIEM

Navegue suas respostas
1

Além da sobrecarga de implantação de um agente coletor de logs em servidores dos quais desejo coletar eventos (usando GPO, SCCM, etc.), há algum benefício adicional ao usar o encaminhamento de eventos do Windows para o SIEM?

    
por Franko 23.04.2017 / 11:05

2 respostas

0

Geralmente, existem três grandes vantagens:

  • O WEF é uma solução baseada em push nativa para eventos
  • O WEF permite a filtragem de eventos, o que significa que você pode evitar o envio de eventos não críticos para o SIEM (mas, em vez disso, pode enviá-los para outro DB de evento).
  • O WEF é realmente gerenciado centralmente, de uma maneira que nem todos os conectores SIEM são - também faz parte das coisas que você pode descarregar (do ponto de vista do administrador de segurança) para uma equipe mais experiente

Existe uma outra vantagem não técnica, que é evitar conflito / tensão / problemas devido a 'os caras do SO' terem que lidar com 'a equipe de segurança' e seu agente.

Na maioria dos ambientes, trabalhei:

  • os caras do Linux usam o padrão para enviar informações, em vez de permitir que você as colete
  • os caras do Windows prefeririam o jeito do Linux, mas as opções são limitadas.

Se você puder evitar a introdução de outro 'componente crítico' (e espero que seu coletor SIEM seja considerado no mesmo sentido que o antivírus deve ser) para a equipe do Windows gerenciar, eles são geralmente muito felizes e positivos sobre isso.

A grande desvantagem aqui é que um coletor SIEM poderia ter compressão, e o WEF (AFAIK) não tem. Além disso, o envio de dados exigirá (na maioria dos casos) uma infraestrutura mais estável (ou seja, seu receptor sempre precisa estar disponível).

Isso, realisticamente, é geralmente factível, mas pode pressionar a organização de apoio para o SIEM infra.

No geral, meu argumento seria dizer que é bom considerar a monitoração de eventos de segurança parte do que o domínio do Windows deve incluir, e acho que ajuda tanto a segurança quanto as operações a pensar em uma boa política de registro. pode ser. O WEF é uma 'analogia' mais syslog-like para esta discussão do que a maioria das outras opções disponíveis para o Windows, o que eu acho que também é positivo (porque significa que você tem uma política mais unificada).

Então, na minha opinião, se você puder usar o WEF, eu faria - as alternativas tendem (na minha experiência) a ser mais difíceis de manter com o tempo. Eu sou mais um cara do Linux, então sou um pouco tendencioso em favor do modelo syslog de fazer as coisas.

    
por 23.04.2017 / 19:53
0

Acho que este artigo deve ajudá-lo um pouco:

link

No final do dia, o WEF usa um agente da mesma forma, exceto pelo fato de ser desenvolvido pela Microsoft. Eu geralmente dirijo as pessoas para longe do WEF, já que suas opções são bastante limitadas, incluindo suporte, recursos (por exemplo, compressão, como mencionado pelo outro pôster).

Uma boa solução SIEM (e nem todos são caros) pode oferecer muito mais funcionalidades e resultar em uma experiência mais suave.

    
por 24.04.2017 / 18:10

Tags

A ACL substitui as permissões Dir? Configurando o Wi-Fi no Android via o Intune. Problema de certificado Wi-Fi ausente