Generic accounts are your SIEM blind spot
前からちょっと引っかかっていた内容がはっきりしました。
特権ユーザとか特権IDとかのログっていうのは、ログ管理製品で集めても、あつかいずらいんですよね。
rootとかAdministratorとかにログに出てきても、実際にそのアカウントを使っているのが誰なのかってことがわからないんですよね。
知りたいのは、「誰」ってことなのにね。その場合には、特権ID管理製品とSIEMとの連携が必要ってこと。できれば同じベンダで連携実績あるほうがいいよね。