Έξι συμβουλές για να αξιοποιήσετε στο έπακρο την επένδυσή σας στη SIEM

Πληροφορίες ασφαλείας και

Η διαχείριση συμβάντων (SIEM) είναι μια από τις πιο καθιερωμένες κατηγορίες λογισμικού ασφαλείας, που πρωτοπαρουσιάστηκε πριν από περίπου 20 χρόνια. Ωστόσο, πολύ λίγα έχουν γραφτεί για την αξιολόγηση και τη διαχείριση προμηθευτών SIEM.

Για να καλυφθεί αυτό το κενό, ακολουθούν έξι κορυφαίες συμβουλές για την προμήθεια και την εφαρμογή μιας λύσης SIEM για μέγιστη αξία.

Αξιολόγηση και αγορά λύσης SIEM

Μέγεθος των δαπανών σας

Οι λύσεις λογισμικού SIEM τιμολογούνται διαφορετικά: είτε με βάση τον αριθμό των εργαζομένων στην οργάνωση πελατών, με το ρυθμό συμβάντων ανά δευτερόλεπτο είτε με βάση τον όγκο καταγραφής που απορροφάται. Είναι σημαντικό να το καταλάβετε νωρίς για να έχετε μια γενική ιδέα για το τι θα πληρώσετε με την πάροδο του χρόνου. Θα προσδιορίσετε επίσης τις διάφορες πηγές δεδομένων που έχουν νόημα για το κέντρο λειτουργιών ασφαλείας σας (SOC).

Εάν διαθέτετε ήδη ένα SIEM, δώστε στον πωλητή την τρέχουσα χρήση και την κατανάλωσή σας και θα μπορεί να το αναπαράγει. Εάν δεν το κάνετε, θα χρειαστεί να κάνετε λίγη δουλειά στα πόδια. Ένα καλό σημείο εκκίνησης είναι η αξιολόγηση του όγκου των αρχείων καταγραφής που θα στείλετε στο SIEM. Μετρήστε τον πραγματικό ημερήσιο όγκο αρχείων καταγραφής από κάθε πηγή ελέγχοντας τα τοπικά αποθηκευμένα αρχεία καταγραφής για μια «κανονική» ημέρα και μετρώντας τα αποτελέσματα.

Εάν ο πωλητής SIEM χρεώνει ανάλογα με τον αριθμό των υπαλλήλων σας, να είστε προσεκτικοί. Αυτός είναι συνήθως ένας τρόπος για να χρεώσετε περισσότερα για το SIEM μετρώντας υπαλλήλους που δεν παράγουν σχετικά δεδομένα.

Αξιολογήστε τις πρακτικές του προμηθευτή σας

Το επόμενο βήμα είναι να διεξαχθεί μια απόδειξη της ιδέας (POC). αυτό θα πρέπει να είναι ένα σημείο εκκίνησης για μια ενδεχόμενη εφαρμογή, όχι μια αυτόνομη, κονσερβοποιημένη άσκηση. Κατά τη διάρκεια αυτής της διαδικασίας, ο προμηθευτής σας θα πρέπει να επιδείξει ένα επίπεδο υπηρεσιών που θα θέλετε να διατηρήσετε μετά την πώληση. Ακολουθούν ορισμένα βασικά ερωτήματα που πρέπει να ληφθούν υπόψη κατά τη διάρκεια αυτής της διαδικασίας:

• Ποιος θα στελεχώσει τον λογαριασμό σας; Στην ιδανική περίπτωση, ένας πωλητής θα δεσμεύσει εξειδικευμένο τεχνικό προσωπικό τόσο για την εκτέλεση της αρχικής αξιολόγησης όσο και για την υλοποίηση μιας εφαρμογής.
• Ποιος από την ομάδα σας θα αναλάβει την τεχνική ηγεσία στην αξιολόγηση και ποιος θα την εφαρμόσει τελικά; Στην ιδανική περίπτωση, αυτό θα είναι το ίδιο άτομο ή μια μικρή ομάδα ανθρώπων.
• Αφού αγοράσετε ένα SIEM, τι ακολουθεί στον οδικό σας χάρτη;
  
  ΙΠΤΑΜΑΙ
  
  ?
  
  CSPM
  
  ? Βεβαιωθείτε ότι ο προμηθευτής σας μπορεί να ενσωματωθεί με ένα ευρύ φάσμα τεχνολογιών.
• Είναι κρίσιμο να κατανοήσετε πλήρως την αρχιτεκτονική λογισμικού του μπροστινού και του back-end του προμηθευτή. Ορισμένοι προμηθευτές που αυτοαποκαλούνται “true SaaS” ή “cloud-native” δεν είναι. Μην κλείνεστε σε ένα συμβόλαιο 12 μηνών όταν δεν ξέρετε τι συμβαίνει κάτω από την κουκούλα.

Μην ξεγελιέστε: Γνωρίστε το συνολικό κόστος υλοποίησης