Spanish English French German Italian Portuguese
Marketing social
AccueilGénéralLa cyber-sécuritéSix conseils pour tirer profit de votre investissement dans SIEM
La cyber-sécurité

Six conseils pour tirer profit de votre investissement dans SIEM

0
112
José Manuel Pérez Ariza
Auteur José Manuel Pérez Ariza

La gestion des informations et des événements de sécurité (SIEM) est l'une des catégories de logiciels de sécurité les mieux établies, ayant été introduite pour la première fois il y a environ 20 ans. Cependant, très peu d’écrits ont été écrits sur l’évaluation et la gestion des fournisseurs SIEM.

Il existe six conseils de base et clés pour l'achat et la mise en œuvre d'une solution SIEM afin d'obtenir des performances maximales.

Évaluation et achat d'une solution SIEM

Mesurer les dépenses

Les solutions logicielles SIEM sont tarifées différemment : soit en fonction du nombre d'employés dans l'organisation du client, soit en fonction du taux d'événements par seconde, soit en fonction du volume de journaux. Il est important de résoudre ce problème au plus vite pour avoir une idée approximative de ce qui sera payé au fil du temps. Les différentes sources de données représentatives du Security Operations Center (SOC) sont également identifiées.

L'achat d'un SIEM est un engagement énorme : vous et l'organisation devrez vivre avec votre décision pendant des années.

Si vous avez déjà déployé un SIEM, fournissez au fournisseur vos cas d'utilisation et votre consommation actuels, et il devrait être en mesure de le répliquer. Un bon point de départ est d’évaluer le volume de logs qui seront envoyés au SIEM. Mesurez le volume réel de journaux quotidiens de chaque source en examinant les journaux stockés localement un jour « normal » et en comptant les résultats.

Si le fournisseur SIEM facture son nombre d’employés, soyez prudent. Il s’agit généralement d’un moyen de facturer davantage le SIEM en comptant les employés qui ne génèrent aucune donnée pertinente.

Évaluez les pratiques de votre fournisseur

L'étape suivante consiste à réaliser une preuve de concept (POC) ; cela devrait être un point de départ pour une éventuelle mise en œuvre, et non un exercice prédéfini autonome. Au cours de ce processus, le fournisseur doit démontrer un niveau de service qu'il souhaite maintenir après la vente. Voici quelques questions clés à considérer au cours de ce processus :

  • Qui gérera le compte ? Idéalement, un fournisseur engagera du personnel technique qualifié pour exécuter son évaluation initiale et effectuer une mise en œuvre.
  • Qui dans l'équipe prendra la direction technique de l'évaluation et qui, en fin de compte, la mettra en œuvre ? Idéalement, il s’agira de la même personne ou d’un petit groupe de personnes.
  • Après l’achat d’un SIEM, quelle est la prochaine étape sur la feuille de route ? ¿ Orchestration, automatisation et réponse de la sécurité (MONTER)? ¿Gestion de la posture de sécurité cloud (CSPM)? …Vous devez vous assurer que le fournisseur peut s'intégrer à un large éventail de technologies.
  • Il est essentiel de bien comprendre l'architecture logicielle front-end et back-end du fournisseur. Certains fournisseurs qui se qualifient de « vrai SaaS » ou de « cloud natif » ne le sont pas. Ne vous enfermez pas dans un contrat de 12 mois lorsque vous ne savez pas comment fonctionne le moteur du nouveau véhicule.

Ne vous y trompez pas : connaissez le coût total de mise en œuvre

Lorsque vous discutez du prix total, assurez-vous de connaître le coût total de mise en œuvre. Soyez à l’affût d’éventuelles surprises ; Par exemple:

  • De nombreux vendeurs attendront le moment de l’achat pour ajouter 15 à 20 % supplémentaires aux coûts d’installation des services professionnels.
  • Certains fournisseurs SIEM, notamment les acteurs traditionnels, facturent des dizaines de milliers de dollars pour quitter la plateforme.
  • Si un prestataire souhaite facturer une évaluation ou un POC, il doit l’éviter. (Vous n'achèteriez pas une voiture pour laquelle ils vous facturent un essai routier !)

Implémenter un SIEM pour obtenir une valeur maximale

Prioriser les sources de données

Élaborer un plan de mise en œuvre pluriannuel pour travailler avec les sources de données par ordre de priorité de retour sur investissement (ROI) afin de garantir que le projet ajoute de la valeur itérative au fil du temps.

  1. Donner la priorité aux enregistrements à faible volume et faciles à analyser vous permettra de générer une valeur immédiate sans trop d’effort. Commencez par des enregistrements d'authentification pour vos sources de données de grande valeur [par exemple, Active Directory, authentification unique (SSO)], puis passez à l'authentification pour les applications cloud de haut niveau (par exemple Salesforce.com, Google Workspace).
  2. Une fois que cela est en place, commencez à penser aux choses les plus complexes, comme les outils de protection des points finaux et la journalisation au niveau du système. Il faudra plus de finesse pour les analyser, les filtrer et les visualiser.
  3. Enregistrez le journal des applications pour la fin. Votre équipe SOC aura besoin de l'aide des développeurs de l'organisation pour analyser ces journaux et interpréter les résultats.

Connaître les considérations à long terme

Au fur et à mesure que la mise en œuvre technique progresse, assurez-vous qu'un ensemble de processus est créé pour soutenir le SIEM à long terme. Ici, les manuels, l'ensemble des procédures écrites standardisées pour mener à bien les processus informatiques (TI) répétitifs au sein de l'entreprise, constituent un excellent support. Ils donnent à l’équipe de développement un ensemble cohérent de normes à suivre. Le format n'a pas vraiment d'importance ; L’important est de se concentrer sur l’invocation des bons processus et de fournir des conseils de base sur la façon de les suivre.

Le long terme : travailler avec le fournisseur après la vente

La gestion des fournisseurs est un art une fois la transaction conclue. La pratique la plus importante consiste à organiser des réunions trimestrielles d’examen des activités pour évaluer tous les aspects de la collaboration fournisseur-client. Tout d’abord, fournissez des commentaires au fournisseur sur le produit, le service ou l’engagement commercial. Le fournisseur partage ensuite la feuille de route et reçoit des commentaires. Ensuite, vous discutez ensemble des collaborations au niveau de l'entreprise, telles que le marketing conjoint (études de cas, par exemple) ou les partenariats (amener le fournisseur SIEM à bien travailler avec d'autres fournisseurs de sécurité).

Résumé

Pour tirer le meilleur parti de votre investissement SIEM, ces six conseils peuvent être utiles, adaptés à la réalité de votre organisation :

  • Préparez-vous soigneusement à l’évaluation avec un exercice de dimensionnement complet.
  • Réalisez une évaluation qui exécute tous les aspects de la pratique SIEM du fournisseur.
  • Obtenez tous les coûts de mise en œuvre.
  • Hiérarchisez les sources de données et préparez un plan d’ingestion de données sur un à deux ans.
  • Documentez minutieusement les flux de travail et les manuels SIEM.
  • Organiser des réunions trimestrielles avec l'équipe de direction du fournisseur pour résoudre les problèmes en suspens et s'aligner sur la stratégie.
article précédent
Quelle est la prochaine étape pour Mozilla
suivant >>
Exemple de présentation de la série A : Point.me
S'INSCRIT

ABONNEZ-VOUS SUR TRPLANE.COM

Publier sur TRPlane.com

Si vous avez une histoire intéressante sur la transformation, l'informatique, le numérique, etc. qui peut être trouvée sur TRPlane.com, veuillez nous l'envoyer et nous la partagerons avec toute la communauté.

Postez maintenant

PLUS DE PUBLICATIONS

Voir plus
Activer les notifications OK Non merci