查看其它 1 个回答kermit的回答
必须考虑的问题:
项目范围 – A. 整个企业,还是总部或者某个分公司,或是某个具体系统。B. 希望通过SIEM可以实现哪些威胁监控目标 C. 需要接入哪些日志或者网络流量
实施周期 – 多久完成系统建设上线?多久完成主要日志接入?多久完成威胁用力设计和规则上线?多久完成系统优化并投入日常运维?
人力和资金 – 这个是关键。主要取决高层对这个项目的看法。
产品选型 – 是否有充足的实施案例和支持人员?是否有快速部署并达到基本目标的能力?是否有良好的可扩展性?
我实际中主要碰到的限制在于人力较少和实施周期较短上。毫无疑问放弃开源自建方案选择商用方案,实际选择过程中着重考量了方案的快速部署能力和可扩展性。缺点主要是商用产品可定制能力较差,有经验的支持人员较少,解决故障响应周期较长。往往碰到故障的时候,需要自己摸索解决。