【TechTarget中国原创】考虑价格

　　在面对SIEM与日志管理之间的选择时，价钱成了大企业或小公司考虑的关键。SIEM很容易一单就超过十万美元的门槛，如果是那些大公司的话，达到7位数字的金额也不足为奇。日志管理产品则一般都在一万到两万美元之间，个别大单能达到十万级。
 
　　比如，Matt White说，他们公司（一家大型零售商）在购买SenSage的日志产品前，一开始准备的预算是10万美元，但是这一数目还远远不够厂商投标时的报价。后来他很快又争取到了35万美元的预算。投标的那些SIEM工具要么就是达不到他们提出的需求，要么就是根本没有什么希望中标。有一家SIEM厂商要价170万美元，另外一家喊价270万。“这简直是疯了”，他说。
 
　　NetForensics提供了一款日志管理产品作为SIEM产品的补充，他们分管产品市场营销的执行副总裁Tracey Hulver表示：“我们从客户那里听到了许多我们的不足之处。因为我们所提供的解决方案对他们来说是过犹不及，很多功能都超出了他们的需求。”
 
　　“许多公司都只提供了2-3万美元的预算，他们并不需要实时监控安全威胁，因为他们往往正在痛苦地应付审计员，这才是他们真正急于解决的。“
 
　　虽然安全标准是强制性的，安全的问题也很难从开支的角度去衡量，但是还是有一些投入产品比很高的案例。
 
　　General Dynamics的 Garner说：”现在对日志的需求绝对是由那些安全标准推动的。但是通过购买这些产品，企业主，网络支持团队以及安全团队都可以从中受益。“
 
　　这些自动化的产品有时候是至关重要的。它可以帮助分析事务数据，帮助网络管理团队和服务台迅速确定问题并采取措施，从而节省人力财力。
 
　　管理服务（managed service）正在想办法渗透到安全市场的每个角落，这倒是一种比较便宜的方案。供应商能在提供监视服务的同时提供日志收集和取证。如果企业不介意把数据交给别人管理的话，他们还可以解决存储/保存问题。
 
　　提前规划

　　在考虑到底是选购日志管理产品，还是SIEM，还是两者兼备时，一定要先弄清楚你们的长期和短期需求。你们可以先采用日志管理，但是也做好接下来使用SIEM产品的准备。目前可能你为了达到安全标准的要求而急于采购日志管理产品，但是你也应该仔细考虑好接下来的这几个问题：

• 你们的业务是不是需要只有SIEM才能提供的实时安全、实时操作和实时业务能力？
• 这个日志管理工具是不是不需要其它单独的收集、汇总、规范化引擎就可以实现到SIEM的平滑过渡？
• 你是不是今后也只能选用该日志管理软件厂商的SIEM了？ 它能否和其它第三方厂商的SIEM产品无缝集成。
• 如果你的预算捉襟见肘，那么是否还有其它更廉价的方案可选，比如说管理服务提供商
• 你的日志管理产品是否提供了你所期望的实时分析能力，换句话来说，是不是称得上“轻量化 SIEM"？

 　　例如，General Dynamics的Garner就发现他们的ArcSight Logger和ESM二者可以非常好地协同运作。他可以使用这两个规范化日志数据，并在SOC、长期存储等地方把它们升级为其它更合适的产品。
 
　　“关键是日志采集操作和关联操作能达到多大的可扩展性和灵活性，”他说。”他们（这两个产品）之间协调得非常完美，因为他们都按同样的模式进行规范化操作。“