SIEM的Dashboard重要或背景規則比對判斷重要
一直是個難題

Dashboard
要光鮮亮麗好設定
要有彈性簡單易懂
要中文口語化
要能Drilldown 到天荒地老
但不能占用太多硬體資源

就像妳要求我
要打扮得體求時尚
要平易近人有氣質
要口條分明
還要能不常加班到天明

可不可以讓我
只重視內涵不打扮
像個剌蝟沒人緣
行走世界如浮雲

.......

「Dashboard 很重要耶，你怎麼可以這樣說?」

『重要是沒錯啦，但要合理吧?』

「什麼意思?」

『就是像妳們集團的要求都很不合理啊。』

「有嗎?」

『妳們就只願意提供2Core CPU的設備，卻要求64Core 才能做到的Dashboard，這合理嗎?』

「你要設計畫面，要精簡內容不是嗎? 」

真的不想跟她再說下去，實在是有理說不清。

「還有不合理的嗎?」

『這要認真說，妳可能會馬上跟我翻臉，天打五雷轟啊，不要再說了，好嗎?』

「不再白目了吧，我問你，有SIEM就夠了嗎?」

『照妳們集團的話，應該不夠哦，SIEM是正規化後才開始，真要做到資安監控，應該是有了SIEM之後才開始。』

「那之後是?」

『之後應該是SOC吧。』

「你要不要再喝一杯美式，我再幫你點一杯，然後你準備一下吧。」

看了看時間，好像沒講什麼，兩小時過去了，應該快講完了吧...

(待)

2022/09/29 SunAllen