网路游侠:日志审计系统与SOC的区别

  1. 云栖社区>
  2. 博客>
  3. 正文

网路游侠:日志审计系统与SOC的区别

科技小能手 2017-11-13 03:18:00 浏览1285
展开阅读全文
日志审计系统是“我要什么”
主要收集各类设备的日志:路由器、防火墙、交换机、数据库等的日志
主要基于agent、syslog、snmp trap等
主要面向合规中“审计”部分的要求
收集上来的一般是原始日志

相对而言,soc偏重运营、工单处理
是收集日志上来之后“我要怎么办”
如筛选日志审计系统中报警级别“高”以上的日志
一线监控提交给二线监控,做分析,或提交客户
主要是事后响应,可以做服务
而事实上,现在很多做SOC的都在从产品到服务过度

由于此前很多做SOC的把产品说的无所不能
因此客户的期望值很高,但是实际上……
绝大多数的SOC实际上就是作为日志收集器在用
花了做SOC的钱,做的是日志审计的事

日志审计系统可以作为SOC的一部分
SOC的实时性要求更高
但是如果仅仅是做合规,那么日志审计就完全可以了
并且,至少在运营商,SOC做的并不好
据我所知,现在运营商有些提到SOC非常谨慎

因为失败的例子太多了……而日志管理相对好一点


本文转自网路游侠 51CTO博客,原文链接:http://blog.51cto.com/youxia/544783

网友评论

登录后评论
0/500
评论
科技小能手
+ 关注