Check_MK RAW edition, part 5.

Check_MK 會是建立 SOC (Security Operations Center) 的一個不錯的 Management component。有經費的話，我會建議直接用Splunk做一個All-in-one，因為SOC的核心應該是 Analysis component，而其他部份可以從 Splunk衍生。但Free license只有500MB的daily限制，就只能當作個案發生時的Analysis component了。若組織每天都要分析大量的異常，那就真得準備預算買Splunk Enterprise或是具有更強AI的工具，不然會做不完。例如每天有一兩萬個alerts，至少要過濾到幾十個才能進行管理吧。

• IDS (NIDS如Snort，HIDS如OSSEC)
• Analysis (Splunk, 或是 Check_MK, Cacti的一些簡單filter)
• Management (Check_MK 或 Cacti，看是著重告警還是視覺化)