購(gòu)買一個(gè)安全信息管理產(chǎn)品很難說(shuō)是否合理。安全信息管理產(chǎn)品不能像殺毒軟件產(chǎn)品那樣提供直接的安全好處。像一個(gè)新的SSL VPN連接器一樣，用戶不能接觸到這些產(chǎn)品。與防火墻不同，不可避免的結(jié)論并不是每一個(gè)企業(yè)無(wú)論大小都需要一個(gè)安全信息管理產(chǎn)品。
然而，安全信息管理產(chǎn)品能夠通過(guò)提供你的安全態(tài)勢(shì)的總體看法和利用你已經(jīng)擁有的安全產(chǎn)品等途徑帶來(lái)巨大的價(jià)值。遵守管理部門(mén)的法規(guī)一直是推動(dòng)采購(gòu)安全信息管理產(chǎn)品的主要因素。但是，當(dāng)選擇一個(gè)產(chǎn)品時(shí)，還有許多應(yīng)該考慮的不太明顯的因素。實(shí)現(xiàn)一個(gè)安全信息管理產(chǎn)品的全部?jī)r(jià)值的關(guān)鍵是理解其全部?jī)?yōu)勢(shì)并且以能夠帶來(lái)最大利益的方法利用這個(gè)產(chǎn)品。
在安全信息管理產(chǎn)品能夠提供的防護(hù)功能中，最重要的功能也許就是吸收來(lái)自IDS(入侵檢測(cè)系統(tǒng))傳感器、IPS(入侵防御系統(tǒng))設(shè)備和防火墻的大部分記錄數(shù)據(jù)。在這方面，安全信息管理產(chǎn)品能夠作為一個(gè)入侵檢測(cè)操作臺(tái)，幫助操作大量的入侵檢測(cè)數(shù)據(jù)。這是很容易的。但是，這個(gè)功能本身并不能為已經(jīng)擁有入侵檢測(cè)系統(tǒng)操作臺(tái)的機(jī)構(gòu)提供足夠的采購(gòu)價(jià)值。
要獲得更多的好處，除了入侵檢測(cè)系統(tǒng)事件之外，你要把安全信息管理產(chǎn)品的重點(diǎn)放在報(bào)警和分析功能方面。安全團(tuán)隊(duì)會(huì)很快歡迎這些功能。不過(guò)，其它IT人員也會(huì)發(fā)現(xiàn)其有用的。例如，大多數(shù)入侵檢測(cè)系統(tǒng)都有一套特征的子集，幫助跟蹤病毒感染的或者由特洛伊木馬控制的系統(tǒng)。你可以使用安全信息管理的報(bào)警功能立即把被感染的系統(tǒng)數(shù)據(jù)發(fā)送到機(jī)構(gòu)的服務(wù)臺(tái)，讓機(jī)構(gòu)采取預(yù)防措施跟蹤或者解決這些問(wèn)題。
安全信息管理產(chǎn)品還能夠收集防火墻數(shù)據(jù)。防火墻的數(shù)據(jù)也是很危險(xiǎn)的。如何危險(xiǎn)?你的安全信息管理產(chǎn)品知道網(wǎng)絡(luò)上主要的談話者和聆聽(tīng)者是誰(shuí)，也許能夠幫助找出熱點(diǎn)和熱門(mén)協(xié)議。在這些地方網(wǎng)絡(luò)工程或者帶寬控制也許是有用的。當(dāng)使用安全信息管理產(chǎn)品時(shí)，讓網(wǎng)絡(luò)工程團(tuán)對(duì)也加入進(jìn)來(lái)，共享有關(guān)帶寬使用的報(bào)告和儀表板。安全信息管理產(chǎn)品也許是你的機(jī)構(gòu)中惟一的能夠提供與安全的擔(dān)心無(wú)關(guān)的這種級(jí)別的網(wǎng)絡(luò)可見(jiàn)性的系統(tǒng)。
考慮傳統(tǒng)的安全產(chǎn)品之外的事情是利用安全信息管理產(chǎn)品的相關(guān)的引擎和正常化功能的一種好方法。雖然安全信息管理產(chǎn)品也許把重點(diǎn)放在它們收集的數(shù)據(jù)的安全意義方面，但是，每一條記錄都告訴你一個(gè)故事。這個(gè)故事通常都是埋在成堆的記錄中。例如，大多數(shù)設(shè)備能夠發(fā)出預(yù)示未來(lái)故障的記錄信息，如電源不良、風(fēng)扇或者硬盤(pán)故障等。使用你的安全信息管理產(chǎn)品找到這些信息，你就可以把未來(lái)的緊急故障變成有計(jì)劃的維護(hù)時(shí)間窗。
在Windows和Unix服務(wù)器中的大量的沒(méi)有經(jīng)過(guò)檢查的記錄中還有另一個(gè)潛在的好處。并非每一個(gè)安全信息管理產(chǎn)品都是專門(mén)為Windows制作的，但是，所有的優(yōu)秀的安全信息管理產(chǎn)品都樂(lè)于接受Windows事件記錄，盡管它們需要類似Snare的工具轉(zhuǎn)換為Syslog記錄發(fā)送標(biāo)準(zhǔn)。雖然大多數(shù)系統(tǒng)管理員已經(jīng)開(kāi)發(fā)了自己本地的查看數(shù)據(jù)的方法，但是，安全信息管理產(chǎn)品提供了在一個(gè)管理操作臺(tái)上收集這些記錄、規(guī)則和報(bào)警的地方。當(dāng)以這種方式利用安全信息管理產(chǎn)品的時(shí)候，你可以通過(guò)取消安裝和設(shè)置本地記錄查看工具的步驟來(lái)減少部署的時(shí)間。而且，通過(guò)把來(lái)自多個(gè)系統(tǒng)的事件相互關(guān)聯(lián)起來(lái)，你也許能夠比每一次僅考慮一種記錄了解到更多的安全情況。
安全信息管理產(chǎn)品的成倍主要依賴于自己的優(yōu)點(diǎn)和你讓它處理的任務(wù)。但是，利用這個(gè)機(jī)會(huì)的優(yōu)勢(shì)利用安全信息管理產(chǎn)品更多地觀察網(wǎng)絡(luò)和系統(tǒng)狀況和進(jìn)行控制將保證你的機(jī)構(gòu)最有效地利用這個(gè)投資。