Spanish English French German Italian Portuguese
Soziales Marketing
HomeAllgemeinesInternet-SicherheitSechs Tipps, wie Sie Ihre Investition in SIEM optimal nutzen können
Internet-Sicherheit

Sechs Tipps, wie Sie Ihre Investition in SIEM optimal nutzen können

0
114
Jose Manuel Perez Ariza
Autor Jose Manuel Perez Ariza

Security Information and Event Management (SIEM) ist eine der etabliertesten Kategorien von Sicherheitssoftware und wurde erstmals vor etwa 20 Jahren eingeführt. Über die Bewertung und Verwaltung von SIEM-Anbietern wurde jedoch nur sehr wenig geschrieben.

Es gibt sechs grundlegende und wichtige Tipps zum Kauf und zur Implementierung einer SIEM-Lösung, um maximale Leistung zu erzielen.

Evaluierung und Kauf einer SIEM-Lösung

Ausgaben messen

Die Preise für SIEM-Softwarelösungen sind unterschiedlich: entweder nach der Anzahl der Mitarbeiter in der Organisation des Kunden, nach der Ereignisrate pro Sekunde oder basierend auf dem Protokollvolumen. Es ist wichtig, dieses Problem so schnell wie möglich zu lösen, um eine ungefähre Vorstellung davon zu haben, was im Laufe der Zeit gezahlt wird. Außerdem werden die verschiedenen repräsentativen Datenquellen für das Security Operations Center (SOC) identifiziert.

Der Kauf eines SIEM ist eine große Verpflichtung – Sie und das Unternehmen werden noch viele Jahre mit Ihrer Entscheidung leben müssen.

Wenn Sie bereits ein SIEM implementiert haben, teilen Sie dem Anbieter Ihre aktuellen Anwendungsfälle und Ihren Verbrauch mit, und er sollte in der Lage sein, diese zu replizieren. Ein guter Ausgangspunkt ist die Bewertung des Protokollvolumens, das an das SIEM gesendet wird. Messen Sie das tatsächliche Volumen der täglichen Protokolle aus jeder Quelle, indem Sie die lokal gespeicherten Protokolle an einem „normalen“ Tag überprüfen und die Ergebnisse zählen.

Seien Sie vorsichtig, wenn der SIEM-Anbieter Gebühren für die Anzahl seiner Mitarbeiter erhebt. Dies ist normalerweise eine Möglichkeit, mehr für das SIEM zu verlangen, indem Mitarbeiter gezählt werden, die keine relevanten Daten generieren.

Bewerten Sie die Praktiken Ihres Anbieters

Der nächste Schritt besteht darin, einen Proof of Concept (POC) durchzuführen; Dies sollte ein Ausgangspunkt für die eventuelle Umsetzung sein und keine isolierte Übung aus der Dose. Dabei muss der Lieferant ein Serviceniveau nachweisen, das er auch nach dem Verkauf beibehalten möchte. Hier sind einige wichtige Fragen, die Sie während dieses Prozesses berücksichtigen sollten:

  • Wer verwaltet das Konto? Im Idealfall stellt ein Anbieter qualifiziertes technisches Personal ein, um die Erstbewertung durchzuführen und eine Implementierung durchzuführen.
  • Wer im Team übernimmt die technische Leitung der Evaluierung und wer führt diese letztendlich durch? Im Idealfall handelt es sich um dieselbe Person oder eine kleine Gruppe von Personen.
  • Was steht nach dem Kauf eines SIEM als nächstes auf der Roadmap? ¿ Sicherheits-Orchestrierung, Automatisierung und Reaktion (STEIGEN)? ¿Verwaltung der Cloud-Sicherheitshaltung (CSPM)? …Sie müssen sicherstellen, dass der Anbieter eine breite Palette von Technologien integrieren kann.
  • Es ist wichtig, die Front-End- und Back-End-Softwarearchitektur des Anbieters vollständig zu verstehen. Einige Anbieter, die sich selbst als „echtes SaaS“ oder „Cloud Native“ bezeichnen, sind das nicht. Schließen Sie keinen 12-Monats-Vertrag ab, wenn Sie nicht wissen, wie der Motor des neuen Fahrzeugs funktioniert.

Lassen Sie sich nicht täuschen: Informieren Sie sich über die gesamten Implementierungskosten

Stellen Sie bei der Erörterung des Gesamtpreises sicher, dass Sie die Gesamtkosten der Implementierung kennen. Halten Sie Ausschau nach möglichen Überraschungen; Zum Beispiel:

  • Viele Anbieter warten bis zum Kauf, um zusätzliche 15 bis 20 % der Installationskosten für professionelle Dienstleistungen aufzuschlagen.
  • Einige SIEM-Anbieter, insbesondere traditionelle Anbieter, verlangen Zehntausende von Dollar, um die Plattform zu verlassen.
  • Wenn ein Anbieter eine Bewertung oder einen POC in Rechnung stellen möchte, sollte er gemieden werden. (Sie würden kein Auto kaufen, für dessen Probefahrt eine Gebühr erhoben wird!)

Implementierung eines SIEM, um den maximalen Nutzen zu erzielen

Priorisieren Sie Datenquellen

Entwickeln Sie einen mehrjährigen Implementierungsplan für die Arbeit mit Datenquellen in der Reihenfolge ihrer Return on Investment (ROI)-Priorität, um sicherzustellen, dass das Projekt im Laufe der Zeit einen iterativen Mehrwert schafft.

  1. Durch die Priorisierung von leicht zu analysierenden Datensätzen mit geringem Volumen können Sie ohne großen Aufwand sofort Mehrwert generieren. Beginnen Sie mit Authentifizierungsdatensätzen für Ihre hochwertigen Datenquellen [z. B. Active Directory, Single Sign-On (SSO)] und wechseln Sie dann zur Authentifizierung für hochkarätige Cloud-Anwendungen (z. B. Salesforce.com, Google Workspace).
  2. Sobald dies eingerichtet ist, beginnen Sie, über die komplizierteren Dinge nachzudenken, wie Endpoint-Schutz-Tools und Protokollierung auf Systemebene. Es wird mehr Fingerspitzengefühl erfordern, sie zu analysieren, zu filtern und zu visualisieren.
  3. Bewahren Sie das Anwendungsprotokoll zum Schluss auf. Ihr SOC-Team benötigt die Hilfe der Entwickler der Organisation, um diese Protokolle zu analysieren und die Ergebnisse zu interpretieren.

Kennen Sie die langfristigen Überlegungen

Stellen Sie im Verlauf der technischen Implementierung sicher, dass eine Reihe von Prozessen erstellt wird, um das SIEM langfristig aufrechtzuerhalten. Hier sind Handbücher, die eine Reihe standardisierter schriftlicher Verfahren zur Vervollständigung wiederkehrender Informationstechnologie-(IT)-Prozesse innerhalb des Unternehmens, eine große Unterstützung. Sie geben dem Entwicklungsteam kohärente Standards an die Hand, denen es folgen muss. Das Format spielt keine Rolle; Das Wichtigste ist, sich darauf zu konzentrieren, die richtigen Prozesse einzuleiten und grundlegende Anleitungen zu geben, wie diese zu befolgen sind.

Langfristig: Zusammenarbeit mit dem Lieferanten nach dem Verkauf

Lieferantenmanagement ist eine Kunst, sobald das Geschäft abgeschlossen ist. Die wichtigste Praxis besteht darin, vierteljährliche Geschäftsbesprechungen durchzuführen, um alle Aspekte der Zusammenarbeit zwischen Lieferant und Kunde zu bewerten. Geben Sie dem Lieferanten zunächst Feedback zum Produkt, zur Dienstleistung oder zum geschäftlichen Engagement. Der Lieferant teilt dann die Roadmap mit und erhält Feedback. Anschließend besprechen Sie gemeinsam Kooperationen auf Unternehmensebene, beispielsweise gemeinsames Marketing (z. B. Fallstudien) oder Partnerschaften (damit der SIEM-Anbieter gut mit anderen Sicherheitsanbietern zusammenarbeitet).

Zusammenfassung

Um das Beste aus Ihrer SIEM-Investition herauszuholen, können diese sechs Tipps hilfreich sein, angepasst an die Realität Ihres Unternehmens:

  • Bereiten Sie sich mit einer umfassenden Größenbestimmung sorgfältig auf die Bewertung vor.
  • Führen Sie eine Bewertung durch, die alle Aspekte der SIEM-Praxis des Anbieters berücksichtigt.
  • Erhalten Sie alle Implementierungskosten.
  • Priorisieren Sie Datenquellen und erstellen Sie einen Ein- bis Zweijahresplan für die Datenerfassung.
  • Dokumentieren Sie SIEM-Workflows und -Handbücher gründlich.
  • Richten Sie vierteljährliche Treffen mit dem Führungsteam des Lieferanten ein, um offene Fragen zu besprechen und sich an der Strategie auszurichten.
Vorherige Artikel
Was kommt als nächstes für Mozilla?
weiter >>
Präsentationsbeispiel der Serie A: Point.me
VERBUNDEN

ABONNIEREN SIE TRPLANE.COM

Veröffentlichen Sie auf TRPlane.com

Wenn Sie eine interessante Geschichte über Transformation, IT, Digital usw. mit einem Platz in TRPlane.com haben, senden Sie sie uns bitte und wir werden sie mit der gesamten Community teilen.

Poste jetzt

WEITERE PUBLIKATIONEN

Los geht´s
Benachrichtigungen aktivieren OK Nein danke