VPC和Cloud Trail日志用于SIEM。

【以下的回答经过翻译处理】 NIST与日志的对齐主要是为了清晰地了解事件的信息。正如您所提到的，VPC流量日志和云跟踪的数量对于SIEM系统来说非常庞大。这会导致信息的稀释和SIEM成本的增加。在大多数情况下（我假设这里也是如此），客户通过API从S3存储桶或CloudWatch中读取数据，这需要很长的时间。

因此，建议只筛选和上传重要事件到SIEM。可以通过定期运行的Lambda来上传小的增量到SIEM，也可以通过Athena读取VPC日志并将精确的结果导出到SIEM进行分析。

例如，VPC流量日志的筛选器可以包括：

拒绝的日志 重复的日志 过滤易受攻击的端口流量

另外，例如CloudTrail的筛选器，可以过滤像SPOT fleet创建、用户创建、未使用区域中的资源创建、密钥轮换等关键事件。

希望这对您有所帮助。