日志审计系统是“我要什么”
主要收集各类设备的日志:路由器、防火墙、交换机、数据库等的日志
主要基于agent、syslog、snmp trap等
主要面向合规中“审计”部分的要求
收集上来的一般是原始日志
相对而言,soc偏重运营、工单处理
是收集日志上来之后“我要怎么办”
如筛选日志审计系统中报警级别“高”以上的日志
一线监控提交给二线监控,做分析,或提交客户
主要是事后响应,可以做服务
而事实上,现在很多做SOC的都在从产品到服务过度
由于此前很多做SOC的把产品说的无所不能
因此客户的期望值很高,但是实际上……
绝大多数的SOC实际上就是作为日志收集器在用
花了做SOC的钱,做的是日志审计的事
日志审计系统可以作为SOC的一部分
SOC的实时性要求更高
但是如果仅仅是做合规,那么日志审计就完全可以了
并且,至少在运营商,SOC做的并不好
据我所知,现在运营商有些提到SOC非常谨慎
因为失败的例子太多了……而日志管理相对好一点