Trabajo para la compañía que está desarrollando la solución SIEM durante los últimos 5 años, por lo que constantemente tengo que hablar con nuevos y los clientes existentes, ayudándoles a elegir la mejor manera de integrar lo que ofrecemos.
Lo que me viene a la mente acerca de SIEM y el prefiltro es si necesita mantener sus registros intactos al ingresar al sistema debido a las diversas regulaciones de los países. Esto podría o no ser importante para su empresa.
En segundo lugar, si su SIEM ofrece un plan $$ que se concentra en datos almacenados y no en datos transferidos, puede filtrar lo que realmente ingresa al almacenamiento (nivel de retención, parte de indexación previa) para que no gaste demasiado espacio de almacenamiento y No mates a SIEM alertando con demasiados datos basura. La configuración de lo que ingresa a SIEM y lo que se descarta a nivel de SIEM y no a nivel de sistema operativo le permite tener más control sobre lo que sucede si alguien se cierra, cambia el sistema operativo o algo similar. Mire las reglas de SIEM como documentación para su infraestructura. Si todo está en un solo lugar, es más fácil de ver que si se distribuye en lugares no estándar.
TLDR
Recopilaría todo y haría pocas reglas en el nivel de retención para que los datos no ingresen al nivel de indexación (alertas, correlación, etc.). Si hay cumplimientos normativos que debe seguir, me gustaría dejarlo como está.