这篇刊载于networkworld上的软文(5 reasons why SIEM is more important than ever )尽管有广告的意思,但是仅就作者提及的5个方面的SIEM驱动力而言,还是值得参考的。作者指出5方面的原因分别是:
1)合规——【老调重弹】
2)运维支撑——【这句话写得不错:A SIEM can pull data from disparate systems into a single pane of glass, allowing for efficient cross-team collaboration in extremely large enterprises.】
3)0day威胁检测——【靠谱吗?】
4)应对APT——【靠关联分析引擎和规则?抑或更加强大的RCA?】
5)取证分析——【这个在国内会成为下一个热点吗?】