SIEM – kicsiben
Egy korábbi – a forgalomelemzésről szóló – cikkemben említettem, hogy az IDS által generált riasztásokat érdemes lehet egy ezek kezelésére kitalált rendszernek átadni, ahol aztán majd a többi rendszerünkből érkező egyéb logokkal együtt értelmezhetjük azokat. Végül pedig megtehetjük a szükséges lépéseket a feltárt probléma és/vagy biztonsági incidens megoldása érdekében. Az ilyen rendszert hívjuk SIEM-nek. Ennek azonban szinte kizárólag csak nagyvállalati (enterprise) környezetben van értelme. Legfőképp azért mert a logok és riasztások értelmezése és feldolgozása komoly szakmai tapasztalatokat, 7×24-es felügyeletet, és nem utolsó sorban hatalmas hardver erőforrásokat is igényel.
Forgalomelemzés Qubes OS alatt
A Qubes OS egyik remek tulajdonsága, hogy különböző típusú VM-eket lehet benne használni, köztük az egyik legérdekesebb a ProxyVM.