关联相关安全和日志事件的企业工具通常称为安全信息和事件管理 (SIEM) 系统。大多数旨在接受来自常见日志格式、IDS 警报、防病毒、防火墙规则更改等的数据。

• LogRhythm
  http://www.logrhythm.com
  被世界各地的许多公司使用。

• IBM QRadar
  http://www-03.ibm.com/software/products/en/qradar-siem

• 思科 MARS
  http://www.cisco.com/c/en/us/products/security/security-monitoring-analysis-response-system/index.html

• 英特尔 McAfee NitroSecurity
  http://www.mcafee.com/
  

• ArcSight（HP 购买）
  http://www.arcsight.com/
  非常昂贵。这是一个设置的野兽，一个使用的野兽，但关联引擎确实令人印象深刻。几年前，当我使用它时，它能够关联多阶段攻击（即主机 a 上的木马，允许主机 b 可以访问外部 ip，并且还知道主机 b 防火墙规则允许在 IDS c 上看到的 snort 攻击）查看arcsight
  express（并向我的供应商询问价格），它可能非常适合小型商店（500 台主机以下），但它需要有能够解释和分析警报的人的支持。
  

我知道的其他工具：

• OSSIM，开源 SIEM
  http://sourceforge.net/projects/os-sim/
  我的一位实习生玩过这个，得到了普遍好评。对于一个项目或一个小商店，这可能是你最好的选择。

• Intellitactics（现在由 trustwave 所有）
  http://www.intellitactics.com/int/
  当 SEIM 刚开始时，它们是另一个大玩家，它们的独特之处在于使用文本数据库（与 ArcSight 和休息）。我听说他们将停止使用文本数据库并转向其他内容，但很长一段时间内都没有听到任何消息。

• RSA enVision
  http://www.rsa.com/node.aspx?id=3170
  这被当成一堆废话了，在defcon和团队的新产品经理谈话，他们在重新敲打产品，使用业务智能工具和技术（列存储数据库等）。我被告知的是 EMC（RSA 的母公司）为这个项目购买了 Greenplum（一个基于 ZFS 的 BI 系统）。我会密切关注他们，也许会得到保密协议并了解真实的故事。

我在这里使用较旧的信息，很想听听什么是正确的，什么不是。

• http://chuvakin.blogspot.com/2011/03/updated-free-log-management-tools.html

上面的链接列出了一些真正会脱颖而出的工具，例如

1. 如果您刚起步并且没有全球 200 强公司的资助，Novell Sentinel Log Manager 25 似乎比 Splunk 更好
2. Q1Labs 似乎正试图通过提供一个中端市场解决方案来与 AlienVault (OSSIM) 竞争，即使是考虑试用 SIEM 的初创公司和公司也希望跃入该解决方案
3. log2timeline 实现了一个在 IDR 方法或我见过的任何商业/免费工具中通常没有的好概念，它可以明确指出可能由于日志文件删除（有意或无意）造成的时间间隔

我偏爱 Suricata 而不是 snort，我目前不喜欢任何现有的漏洞管理系统（例如 OpenVAS、Arachni）或应用程序监控系统（例如 ModSecurity、AppSensor）——但是我很可能通过 OSSEC 来实现这些OSSIM 考虑到 IT/Ops 和 AppDev 商店的现代限制。

似乎 Beltane 或 Cerebus 等老式工具也无法满足当今的需求。我想新的新鲜感将是在 Vagrant 环境中采用 OSSIM 和 OSSEC 的集成。

在这里，我们正在从 Intellitactics 切换到Splunk，这似乎是该领域的新兴竞争者。Splunk 的优点之一是它的可扩展性。为它编写数据挖掘或报告模块非常容易。另一个是内置的“正则表达式向导”，可让您构建与所选示例文本相对应的正则表达式。

我个人有一个宏伟的计划，似乎永远处于“几乎开始”阶段，使用机器学习技术进行多类分类和聚类，以组织包含 99% 记录数据的有趣但非关键的内容。