购买一个安全信息管理产品很难说是否合理。安全信息管理产品不能像杀毒软件产品那样提供直接的安全好处。像一个新的SSL VPN连接器一样,用户不能接触到这些产品。与防火墙不同,不可避免的结论并不是每一个企业无论大小都需要一个安全信息管理产品。
然而,安全信息管理产品能够通过提供你的安全态势的总体看法和利用你已经拥有的安全产品等途径带来巨大的价值。遵守管理部门的法规一直是推动采购安全信息管理产品的主要因素。但是,当选择一个产品时,还有许多应该考虑的不太明显的因素。实现一个安全信息管理产品的全部价值的关键是理解其全部优势并且以能够带来最大利益的方法利用这个产品。
在安全信息管理产品能够提供的防护功能中,最重要的功能也许就是吸收来自IDS(入侵检测系统)传感器、IPS(入侵防御系统)设备和防火墙的大部分记录数据。在这方面,安全信息管理产品能够作为一个入侵检测操作台,帮助操作大量的入侵检测数据。这是很容易的。但是,这个功能本身并不能为已经拥有入侵检测系统操作台的机构提供足够的采购价值。
要获得更多的好处,除了入侵检测系统事件之外,你要把安全信息管理产品的重点放在报警和分析功能方面。安全团队会很快欢迎这些功能。不过,其它IT人员也会发现其有用的。例如,大多数入侵检测系统都有一套特征的子集,帮助跟踪病毒感染的或者由特洛伊木马控制的系统。你可以使用安全信息管理的报警功能立即把被感染的系统数据发送到机构的服务台,让机构采取预防措施跟踪或者解决这些问题。
安全信息管理产品还能够收集防火墙数据。防火墙的数据也是很危险的。如何危险?你的安全信息管理产品知道网络上主要的谈话者和聆听者是谁,也许能够帮助找出热点和热门协议。在这些地方网络工程或者带宽控制也许是有用的。当使用安全信息管理产品时,让网络工程团对也加入进来,共享有关带宽使用的报告和仪表板。安全信息管理产品也许是你的机构中惟一的能够提供与安全的担心无关的这种级别的网络可见性的系统。
考虑传统的安全产品之外的事情是利用安全信息管理产品的相关的引擎和正常化功能的一种好方法。虽然安全信息管理产品也许把重点放在它们收集的数据的安全意义方面,但是,每一条记录都告诉你一个故事。这个故事通常都是埋在成堆的记录中。例如,大多数设备能够发出预示未来故障的记录信息,如电源不良、风扇或者硬盘故障等。使用你的安全信息管理产品找到这些信息,你就可以把未来的紧急故障变成有计划的维护时间窗。
在Windows和Unix服务器中的大量的没有经过检查的记录中还有另一个潜在的好处。并非每一个安全信息管理产品都是专门为Windows制作的,但是,所有的优秀的安全信息管理产品都乐于接受Windows事件记录,尽管它们需要类似Snare的工具转换为Syslog记录发送标准。虽然大多数系统管理员已经开发了自己本地的查看数据的方法,但是,安全信息管理产品提供了在一个管理操作台上收集这些记录、规则和报警的地方。当以这种方式利用安全信息管理产品的时候,你可以通过取消安装和设置本地记录查看工具的步骤来减少部署的时间。而且,通过把来自多个系统的事件相互关联起来,你也许能够比每一次仅考虑一种记录了解到更多的安全情况。
安全信息管理产品的成倍主要依赖于自己的优点和你让它处理的任务。但是,利用这个机会的优势利用安全信息管理产品更多地观察网络和系统状况和进行控制将保证你的机构最有效地利用这个投资。