如何为我的业务选择SIEM解决方案?

安全信息和事件管理(SIEM)解决方案收集并分析来自IT基础架构的许多资源的活动。暹粒可以提供关键重要性的信息,但您如何找到适合您组织的人?

选择合适的 暹粒解决方案 为您的业务,您需要考虑各种因素。我们’通过谈到几个行业专业人士,以便了解帮助您开始的帮助。

高级总监Jae Lee, 弹性安全

选择Siem解决方案暹粒是一个成熟的产品类别,继续不断发展。然而,暹粒需要使团队能够发展,因为Secops从“传统”转换为“自适应”。

让’s start with people —传统的技能集基于工具(例如,漏洞,防火墙,IDS / IP等),但需要更广泛的技能来帮助从业者快速调整。操纵和分析数据,执行协作研究,了解对手/商品—暹粒必须帮助增加和发展这些技能组。

接下来是过程—通过改进的技能,警报不再规则(除非允许),并预定义的,单独的静态SOP / Playbook是不够的。 Teams现在需要实时分析来捕猎—包括执行研究,逆向工程和模拟威胁等。背景是一切。狩猎和运营有效地需要充分的可见性—不是在单独的工具中,但在暹粒中。

最后,技术。完全可见性不仅仅是广泛的覆盖范围,而且很快。此外,检测需要工作OOTB。考虑端点—在那里,OOTB检测具有高精度。同样的原则应该在暹粒中申请,而不需要每个分析师成为专家规则作者。暹粒不仅仅是“技术”—它需要真实世界验证的安全内容。

随着Secops的成熟,暹粒的护理和喂养通常需要重大投资。您必须阻止威胁并证明您的投资。给自己跑道充满信心,一旦部署了暹粒,可以满足您的快速不断发展的需求,并在规模和灵活性周围询问难题—从分成的检测到部署选项,定价度量。

克里达尔·梅南,Qradar产品管理和战略主任, IBM. 云和认知软件

选择Siem解决方案首先要考虑的是您需要解决的用例。根据需要在云转换期间是否需要确保组织,构建统一IT和STOS安全操作计划,或简单地满意合规性,您的要求将非常不同。您的用例将推动关于集成,使用案例内容,分析和部署方法的需求。

询问供应商他们如何帮助解决您的要求。了解包含哪些集成和用例,而不是需要单独的许可证或自定义开发。了解可用的分析以及这些分析方式如何检测已知和未知的威胁。询问什么框架,例如斜切&CK,自然支持。

如果您是大多数公司,您的团队都可以容纳 - 这意味着您需要可用的产品,帮助缩短新分析师的学习曲线,使您的经验丰富的团队成员更高效。询问每个解决方案在检测,调查和响应过程中的效率如何可测量。还询问SaaS部署和MSSP合作伙伴关系如果降低进行持续管理要求。

最重要的是,不要害羞。询问概念证明,以确保您考虑的工具将为您工作。

斯蒂芬摩尔,首席安全战略家, exabeam

选择Siem解决方案最调味良好的安全团队可以很容易地淹没了他们在一天中收到的组织警报的数量,并且复杂性–再加上检测基于凭证攻击的固有困难–意味着许多SOC分析师现在经历了几种传统暹粒无法解决的痛苦,包括警戒疲劳,缺乏熟练的分析师和冗长的调查时间。

许多组织现在正在将他们的暹粒迁移到云端,这允许分析师利用更大的计算能力,筛选,解释和运营SIEM数据。现在更多的时间花在寻找坏事与平台和服务器支持。但为“业务”选择正确的暹粒,您需要咨询它。您需要将其功能与业务的目标,疑虑和期望保持一致–在过去的几个月里,这无疑会发生变化。最重要的是,这需要花时间询问问题。

然后,根据已知的对手行为和违规事件做出选择–专注于凭据–确保您的平台是对手的适应性和目标。询问,它会改善你的时间来回答(TTA)问题,例如“哪个帐户或资产与此警报有关?'或'之前发生的事情,期间和之后发生了什么?'

最后,任何解决方案都需要帮助您的SoC分析师专注于正确的事情。关键是自动化–两者都以展示完整范围的事件时间表,作为事件的故事板,以及必须采取行动时的自动事件响应能力,以便将环境恢复正常。提供必要的调查步骤的自动化是事件响应者可能拥有的最重要的事情,以便它们可能更快地采取行动,最重要的是最小化不完全反应的风险。

Wade Woolwine.,主要安全研究员, Rapid7

选择Siem解决方案暹粒一词有“security”作为第一个单词,事件和日志管理ISN’只是为了安全团队。

当组织期望投资SIEM或替换现有的SIEM时,他们应该考虑跨安全,IT /云,工程,物理安全和任何可能受益于日志的集中聚合的任何其他组的用例。一旦确定了利益攸关方,记录了特定的日志,它们来源和任何用例,将确保该组织有权评估供应商的需要的需要。

组织还应认识到,使用案例将随着时间的推移而改变,并将对暹粒实施新用例,特别是在安全团队内。出于这个原因,组织还应认为以下是支持未来增长的难以要求:

  • 支持由您自己的团队添加和分类自定义事件源
  • 支持基于云的事件源
  • 字段搜索级别,具有高级交叉数据类型搜索功能和正则表达式支持
  • 通过警报保存的搜索
  • 使用动态仪表板报告保存搜索
  • 能够整合威胁饲料
  • 支持自动化平台集成
  • API支持
  • 购买包括多日培训

杰斯珀·Zerlang,CEO, 标准

选择Siem解决方案随着企业基础设施的复杂性正在增加,现代暹粒解决方案的关键组成部分是捕获来自各地的数据的能力。这包括内部部署,云和软件中的数据,包括SAP等企业应用程序。在今天’S复杂的威胁景观,一个完全整合UEBA的暹粒,并允许企业立即相关提升安全分析是绝对的必要性。

您的SIEM解决方案的效率完全取决于您源的数据。如果SIEM解决方案的许可模式依赖于摄取的数据量或交易数量,因此由于数据量的整体增长,成本将永远不断增加。因此,您可以选择为基础架构的某些部分跳过Siem覆盖,以降低成本,并且可以证明致命。

选择具有许可模型的SIEM,该模型支持您的业务的全数字化,并允许您完全预测未来的成本。这将确保您的业务需求由您的技术选择对齐。最后但并非最不重要的是:选择一个记录短时值的SIEM解决方案,并按时完成SIEM项目。暹粒部署,无论是初始实施还是替代,通常都被认为是复杂且耗时的。但他们当然不是’t have to be.

分享这个