Spanish English French German Italian Portuguese
Social marketing
CasaGeneralesicurezza informaticaSei consigli per trarre vantaggio dal tuo investimento in SIEM
sicurezza informatica

Sei consigli per trarre vantaggio dal tuo investimento in SIEM

0
122
José Manuel Perez Ariza
Autore José Manuel Perez Ariza

Security Information and Event Management (SIEM) è una delle categorie di software di sicurezza più consolidate, essendo stata introdotta per la prima volta circa 20 anni fa. Tuttavia, è stato scritto molto poco sulla valutazione e sulla gestione dei fornitori SIEM.

Esistono sei suggerimenti fondamentali e fondamentali sull'acquisto e l'implementazione di una soluzione SIEM per ottenere le massime prestazioni.

Valutazione e acquisto di una soluzione SIEM

Misurare la spesa

Le soluzioni software SIEM hanno prezzi diversi: in base al numero di dipendenti nell'organizzazione del cliente, alla frequenza degli eventi al secondo o in base al volume dei registri. È importante risolvere questo problema il prima possibile per avere un’idea di massima di quanto verrà corrisposto nel tempo. Vengono inoltre identificate le varie fonti di dati rappresentative del Security Operations Center (SOC).

Acquistare un SIEM è un impegno enorme: tu e l’organizzazione dovrete convivere con la vostra decisione per gli anni a venire.

Se hai già distribuito un SIEM, fornisci al fornitore i casi d'uso e i consumi attuali e dovrebbe essere in grado di replicarlo. Un buon punto di partenza è valutare il volume di log che verrà inviato al SIEM. Misura il volume effettivo dei registri giornalieri da ciascuna fonte esaminando i registri archiviati localmente in un giorno "normale" e contando i risultati.

Se il fornitore SIEM addebita un costo in base al numero di dipendenti, sii cauto. Questo di solito è un modo per addebitare di più al SIEM conteggiando i dipendenti che non generano dati rilevanti.

Valuta le pratiche del tuo fornitore

Il passo successivo è eseguire una prova di concetto (POC); questo dovrebbe essere un punto di partenza per un’eventuale implementazione, non un esercizio in scatola a sé stante. Durante questo processo, il fornitore deve dimostrare un livello di servizio che vorrà mantenere dopo la vendita. Ecco alcune domande chiave da considerare durante questo processo:

  • Chi gestirà l'account? Idealmente, un fornitore incaricherà personale tecnico qualificato di eseguire la valutazione iniziale ed eseguire un'implementazione.
  • Chi nel team assumerà la guida tecnica della valutazione e chi alla fine la implementerà? Idealmente, sarà la stessa persona o un piccolo gruppo di persone.
  • Dopo aver acquistato un SIEM, quali sono le prospettive future? ¿ Orchestrazione, automazione e risposta della sicurezza (SALIRE)? ¿Gestione della postura di sicurezza nel cloud (CSPM)? …Bisogna garantire che il fornitore possa integrarsi con un’ampia gamma di tecnologie.
  • È fondamentale comprendere appieno l'architettura software front-end e back-end del fornitore. Alcuni provider che si definiscono “vero SaaS” o “cloud native” non lo sono. Non chiuderti in un contratto di 12 mesi quando non sai come funziona il motore del nuovo veicolo.

Non lasciarti ingannare: conosci il costo totale di implementazione

Quando discuti il ​​prezzo totale, assicurati di conoscere il costo totale dell'implementazione. Stai attento alle possibili sorprese; Per esempio:

  • Molti fornitori attenderanno fino al momento dell'acquisto per aggiungere un ulteriore 15%-20% sui costi di installazione per i servizi professionali.
  • Alcuni fornitori SIEM, in particolare i player tradizionali, addebitano decine di migliaia di dollari per abbandonare la piattaforma.
  • Se un fornitore desidera addebitare una valutazione o un POC, dovrebbe essere evitato. (Non compreresti un'auto che ti fanno pagare per fare un giro di prova!)

Implementare un SIEM per ottenere il massimo valore

Dare priorità alle origini dati

Sviluppare un piano di implementazione pluriennale per lavorare con le fonti di dati in ordine di priorità di ritorno sull'investimento (ROI) per garantire che il progetto aggiunga valore iterativo nel tempo.

  1. Dare la priorità a record a basso volume e facili da analizzare ti consentirà di generare valore immediato senza troppi sforzi. Inizia con i record di autenticazione per le tue origini dati di alto valore [ad esempio Active Directory, Single Sign-On (SSO)] e poi passa all'autenticazione per applicazioni cloud di alto profilo (ad esempio Salesforce.com, Google Workspace).
  2. Una volta implementato, inizia a pensare alle cose più complicate, come gli strumenti di protezione degli endpoint e la registrazione a livello di sistema. Ci vorrà più finezza per analizzarli, filtrarli e visualizzarli.
  3. Salvare il registro dell'applicazione per ultimo. Il tuo team SOC avrà bisogno dell'aiuto degli sviluppatori dell'organizzazione per analizzare questi registri e interpretare i risultati.

Conoscere le considerazioni a lungo termine

Man mano che l'implementazione tecnica avanza, assicurarsi che venga creata una serie di processi per sostenere il SIEM a lungo termine. In questo caso, i manuali, l’insieme di procedure scritte standardizzate per completare i processi informatici (IT) ripetitivi all’interno dell’azienda, sono il grande supporto. Forniscono al team di sviluppo un insieme coerente di standard da seguire. Il formato non ha molta importanza; L’importante è concentrarsi sull’invocazione dei giusti processi e fornire indicazioni di base su come seguirli.

Il lungo termine: lavorare con il fornitore dopo la vendita

La gestione dei fornitori è un'arte una volta concluso l'affare. La pratica più importante è condurre riunioni trimestrali di revisione aziendale per valutare tutti gli aspetti della collaborazione fornitore-cliente. Innanzitutto, fornire un feedback al fornitore sul prodotto, sul servizio o sull'impegno commerciale. Il fornitore quindi condivide la tabella di marcia e riceve feedback. Quindi discuterete insieme di collaborazioni a livello aziendale, come marketing congiunto (casi di studio, ad esempio) o partnership (far sì che il fornitore SIEM funzioni bene con altri fornitori di sicurezza).

Riassunto

Per ottenere il massimo dal tuo investimento SIEM, questi sei suggerimenti possono essere utili, adattati alla realtà della tua organizzazione:

  • Preparati attentamente per la valutazione con un esercizio di dimensionamento completo.
  • Condurre una valutazione che esegua tutti gli aspetti della pratica SIEM del fornitore.
  • Ottenere tutti i costi di implementazione.
  • Assegnare la priorità alle origini dati e preparare un piano da uno a due anni per l'acquisizione dei dati.
  • Documenta accuratamente i flussi di lavoro e i manuali SIEM.
  • Stabilire riunioni trimestrali con il team esecutivo del fornitore per affrontare le questioni in sospeso e allinearsi alla strategia.
articolo precedente
Qual è il futuro di Mozilla?
avanti >>
Esempio di presentazione della serie A: Point.me
IMPARENTATO

ISCRIVITI A TRPLANE.COM

Pubblica su TRPlane.com

Se hai una storia interessante su trasformazione, IT, digitale, ecc. che puoi trovare su TRPlane.com, inviacela e la condivideremo con l'intera Community.

posta ora

ALTRE PUBBLICAZIONI

Scopri di più
Attivare le notifiche OK No grazie