首先，文件的二次分析不是 SIEM 去做的事情，SIEM 不会上传文件，因为 SIEM 主要是做日志平台，它只会在日志里去提取信息，但是它也需要收集设备的一些性能信息，比如CPU、内存这些，当然这不是什么敏感信息。
文件的二次分析是 FortiSOAR 的任务，但这个分析是 SOAR 平台跟 Windows 服务器之间的交互，不经过 SIEM 。FortiSOAR 平台跟Windows 服务器的交互，整个是限定在内网之间的。