进行预过滤有两个原因：节省 EPS（每秒事件数）率和减少噪音。每项 SIEM 技术都具有最大的 EPS 分析能力，受硬件或软件许可的限制。当事件超过该限制时，SIEM 服务器开始丢弃数据包。这就是为什么您只想引入那些具有重大安全影响的事件。

但比 EPS 更重要的是减少事件，以便您的分析师可以手动分析这些事件。尽管 SIEM 技术可以自动执行许多事件关联活动，但最初您需要分析师手动检查每个接收到的日志或流量事件，以确定它是真阳性还是假阳性。当您用大量不具有安全含义的嘈杂事件使系统不堪重负时，您不仅会加重系统硬件和软件资源的负担，而且实际上还会加重分析人员分析这些事件的负担。

根据我的经验，您需要了解有效的 SIEM 解决方案是仅分析安全事件的解决方案。很多时候，人们也想让 SIEM 分析和关联许多非安全事件。有时这可能很有用，例如在发生拒绝服务攻击的情况下将系统健康信息与接收到的流量日志相关联，但是，在大多数情况下，预先过滤所有非安全日志和事件并仅将相关日志转发到您的 SIEM 将使系统和 SIEM 分析师更有效率。

我在过去 5 年为开发SIEM解决方案的公司工作，因此我必须经常与新客户和现有客户交谈，帮助他们选择最佳方式来整合我们提供的产品。

关于 SIEM 和预过滤，我想到的是，由于各种国家/地区的法规，您是否需要在进入系统时保持日志完整。这对您的公司可能重要也可能不重要。

其次，如果您的 SIEM 提供专注于存储数据而不是传输数据的 $$ 计划，您可能会过滤实际进入存储的内容（保留级别、预索引部分），这样您就不会花费太多存储空间并且不会杀死 SIEM警告过多的垃圾数据。配置进入 SIEM 的内容以及在 SIEM 级别而不是在操作系统级别丢弃的内容可以让您更好地控制如果有人退出、您更改操作系统或类似情况会发生什么。将 SIEM 规则视为基础架构的文档。如果它都在一个地方，那么如果它分布在非标准的地方，则更容易查看。

TLDR 我会收集所有内容并在保留级别制定一些规则，因此数据不会进入索引级别（警报、相关性等）。如果您必须遵守法规遵从性，我会照原样离开。