ضرورت استفاده از SPLUNK به عنوان SIEM

بدون بررسی و تحلیل لاگ‌های ثبت شده، امکان تشخیص وقوع حمله وجود ندارد. در این صورت، ممکن است با وجود گذشت ماه‌ها از نفوذ مهاجمین به سیستم‌های هدف، سازمان هیچ اطلاعی از نشت اطلاعات صورت گرفته نداشته باشد. لاگ‌ها گاهی تنها مدرک قابل استناد از وقوع یک حمله موفقیت‌آمیز هستند. همچنین ممکن است لاگ‌ها تنها راه برای تشخیص هویت مهاجمین باشد. حتی در صورت اطلاع سازمان از وقوع حمله، بدون داشتن لاگ‌هایی جامع و دست‌کاری نشده توسط مهاجمین، سازمان نسبت به جزییات حمله هیچ دیدی نخواهد داشت.

امروزه با بهره‌گیری از ساختار چند لایه دفاعی و استقرار تجهیزات امنیتی گوناگون، مدیریت وقایع گزارش شده توسط این سیستم‌ها امری بسیار زمان‌بر خواهد بود. همچنین داده های به دست آمده از این تجهیزات به خودی خود اطلاعاتی فراتر از آنچه که از ظاهر آنها پیداست ندارند. یک سامانه متمرکز به منظور دریافت، جمع آوری و ساختار دادن به این وقایع می‌تواند کمک بسیاری زیادی در تحلیل سریع و برقراری ارتباط‌های منطقی بین این وقایع گزارش شده نماید.