智能安全管理：降低 SIEM 成本的新策略

关键要点

网络犯罪分子的攻击方式越来越复杂，企业需要收集和分析数据以保持安全合规。SIEM 工具是许多企业管理安全威胁的首选，但传统使用方式可能导致高昂的成本。新解决方案提供灵活的数据处理选项，帮助企业在保持安全性的同时降低成本。

网络犯罪分子的聪明才智日益增强，攻击面迅速扩大，攻击的频率和复杂性都在上升。同时，组织的数据生成和存储量也达到了前所未有的水平。各类公司都需要跨多系统聚合和分析数据的能力，以确保安全和合规，而 SIEM安全信息和事件管理工具是许多企业首选的解决方案。

SIEM 技术不仅能帮助企业满足合规要求如 SOC 2、HIPAA，也是组织威胁管理计划的重要组成部分。它能够从网络设备、服务器、终端等多种来源收集和分析数据，使其成为发现和应对安全威胁不可或缺的工具。

然而，这一策略也面临诸多挑战：使用传统方式时，SIEM 工具的成本可能非常高。大多数 SIEM 供应商根据数据的摄取量收费，通常以每天的吉字节或每秒事件EPS计算。对于组织来说，这些数字难以预测，通常在最初会签署一个估算的 EPS 数量，结果最终需要更多，成本随之飙升。如果不加以控制，这些高涨的费用可能迫使安全专业人员根据成本做出关键决策，而非组织的实际安全需求。

我个人认识的人在这一点上深有体会：几年前，我的一位团队成员在一家 SaaS 公司的首席安全架构师职位上使用 SIEM 工具。每个月他们的数据账单逐渐上涨，最终公司仅在 SIEM 数据摄取上每年就花费超过 100 万美元。这只是他们的“数据”支出，整体的安全支出则更高。他们感到无法控制这一费用，无法调整解决方案的设置，只能继续支付账单。

小火箭安卓

显然，并非每家公司都有能力每年在数据摄取上花费超过百万美元也并不需要这么做。幸运的是，如今存在一些解决方案，允许组织根据需要调整其 SIEM 系统处理的数据量，从而降低整体成本，同时仍能提供安全功能。这种可以调节的能力，对于我在前述职位时将大有裨益。

这些解决方案通过以下选项降低 SIEM 数据摄取成本：

无代理模式

如果组织因预算原因无法处理所有数据，他们可以选择无代理模式。这意味着日志数据传输无需代理进行日志生成主机可能直接将其日志传输到 SIEM，或通过一个中间日志服务器如 syslog 服务器进行。虽然此选项不能让公司检测到所有可能出现的威胁，但依然可以获取一些数据，从而实现一定程度的检测。而且，坦率地说，以较低的成本拥有某种检测能力，远胜于关闭所有数据摄取。

查询模式代理，调整数据量

另一种选择是使用处于查询模式的代理并调整数据量。这对安全团队较少的组织，或尚未准备好进行安全运营中心SOC的人尤其理想。根据需要可以灵活调整摄取数据量，由于代理处于查询模式，因此不会传输过量的事件数据。总归，拥有一些安全工具总胜过没有，即使实时警报不可能，但如若发生问题，安全团队仍可以通过代理运行查询以了解发生了什么。

数据量调高的代理

此外，还有数据调高的代理选项。这可能是预算充裕的大型企业或因某些原因，安全需求变得更加重要的情况下的优选方案。该设置可以应用于组织的整个资产，或仅针对特定领域以增强威胁检测能力。虽然相较前述选项成本更高，但公司如果在某个季度表现不佳或因其他原因需要控制成本，随时可以将数据量调低。

在源头构建遥测

这类解决方案还为公司提供了在源头构建遥测的选项。通过以清晰、预定义格式或架构组织遥测数据，SIEM 系统能够高效处理数据，而无需在摄取过程中进行大量变换。最终，这个选项能够使组织在未来的安全