Spanish English French German Italian Portuguese
marketing social
InícioGeralcíber segurançaSeis dicas para aproveitar seu investimento em SIEM
cíber segurança

Seis dicas para aproveitar seu investimento em SIEM

0
108
José Manuel Pérez Ariza
autor José Manuel Pérez Ariza

O Security Information and Event Management (SIEM) é uma das categorias mais bem estabelecidas de software de segurança, tendo sido introduzido pela primeira vez há cerca de 20 anos. No entanto, muito pouco foi escrito sobre avaliação e gestão de fornecedores de SIEM.

Existem seis dicas básicas e importantes sobre como adquirir e implementar uma solução SIEM para obter o máximo desempenho.

Avaliação e compra de uma solução SIEM

Medir gastos

As soluções de software SIEM têm preços diferentes: pelo número de funcionários na organização do cliente, pela taxa de eventos por segundo ou com base no volume de logs. É importante resolver isso o quanto antes para ter uma ideia aproximada de quanto será pago ao longo do tempo. As diversas fontes de dados representativas do Centro de Operações de Segurança (SOC) também são identificadas.

Adquirir um SIEM é um grande compromisso – você e a organização terão que conviver com sua decisão nos próximos anos.

Se você já tiver um SIEM implantado, forneça ao fornecedor seus casos de uso e consumo atuais, e ele deverá ser capaz de replicá-lo. Um bom ponto de partida é avaliar o volume de logs que será enviado ao SIEM. Meça o volume real de registros diários de cada fonte revisando os registros armazenados localmente em um dia “normal” e contando os resultados.

Se o provedor de SIEM cobrar pelo número de funcionários, seja cauteloso. Geralmente essa é uma forma de cobrar mais pelo SIEM contabilizando os funcionários que não geram nenhum dado relevante.

Avalie as práticas do seu provedor

O próximo passo é realizar uma prova de conceito (POC); este deve ser um ponto de partida para uma eventual implementação e não um exercício isolado e enlatado. Durante este processo, o fornecedor deve demonstrar um nível de serviço que deseja manter após a venda. Aqui estão algumas questões importantes a serem consideradas durante este processo:

  • Quem gerenciará a conta? Idealmente, um fornecedor contratará equipe técnica qualificada para executar sua avaliação inicial e realizar uma implementação.
  • Quem na equipe assumirá a liderança técnica na avaliação e quem a implementará em última análise? O ideal é que seja a mesma pessoa ou um pequeno grupo de pessoas.
  • Depois de adquirir um SIEM, o que vem a seguir no roteiro? ¿ Orquestração, Automação e Resposta de Segurança (DISPARAR)? ¿Gerenciamento de postura de segurança na nuvem (CSPM)? …Você tem que garantir que o provedor possa se integrar a uma ampla gama de tecnologias.
  • É fundamental compreender totalmente a arquitetura de software front-end e back-end do fornecedor. Alguns provedores que se autodenominam “verdadeiro SaaS” ou “nativo da nuvem” não o são. Não se prenda a um contrato de 12 meses quando não souber como funciona o motor do novo veículo.

Não se engane: conheça o custo total de implementação

Ao discutir o preço total, certifique-se de conhecer o custo total de implementação. Esteja atento a possíveis surpresas; Por exemplo:

  • Muitos fornecedores esperarão até o momento da compra para adicionar 15% a 20% adicionais nos custos de instalação de serviços profissionais.
  • Alguns provedores de SIEM, especialmente os players tradicionais, cobram dezenas de milhares de dólares para sair da plataforma.
  • Se um provedor quiser cobrar por uma avaliação ou POC, eles devem ser evitados. (Você não compraria um carro que eles cobrassem para fazer um test drive!)

Implementando um SIEM para obter valor máximo

Priorize fontes de dados

Desenvolva um plano de implementação plurianual para trabalhar com fontes de dados em ordem de prioridade de retorno sobre o investimento (ROI) para garantir que o projeto agregue valor iterativo ao longo do tempo.

  1. Priorizar registros de baixo volume e fáceis de analisar permitirá gerar valor imediato sem muito esforço. Comece com registros de autenticação para suas fontes de dados de alto valor [por exemplo, Active Directory, logon único (SSO)] e depois passe para a autenticação para aplicativos em nuvem de alto perfil (por exemplo, Salesforce.com, Google Workspace).
  2. Uma vez implementado, comece a pensar nas coisas mais complicadas, como ferramentas de proteção de endpoint e registro em nível de sistema. Será necessário mais sutileza para analisá-los, filtrá-los e visualizá-los.
  3. Salve o log do aplicativo por último. Sua equipe SOC precisará da ajuda dos desenvolvedores da organização para analisar esses logs e interpretar os resultados.

Conheça as considerações de longo prazo

À medida que a implementação técnica avança, garantir que seja criado um conjunto de processos para sustentar o SIEM a longo prazo. Aqui, os manuais, conjunto de procedimentos escritos padronizados para completar processos repetitivos de tecnologia da informação (TI) dentro da empresa, são o grande suporte. Eles fornecem à equipe de desenvolvimento um conjunto coerente de padrões a serem seguidos. O formato realmente não importa; O importante é focar em invocar os processos corretos e fornecer orientações básicas sobre como segui-los.

O longo prazo: trabalhar com o fornecedor após a venda

A gestão de fornecedores é uma arte quando o negócio é fechado. A prática mais importante é realizar reuniões trimestrais de revisão de negócios para avaliar todos os aspectos da colaboração fornecedor-cliente. Primeiro, forneça feedback ao fornecedor sobre o produto, serviço ou compromisso comercial. O fornecedor então compartilha o roteiro e recebe feedback. Em seguida, vocês discutem juntos colaborações em nível empresarial, como marketing conjunto (estudos de caso, por exemplo) ou parcerias (fazer com que o fornecedor de SIEM trabalhe bem com outros fornecedores de segurança).

Resumo

Para tirar o máximo partido do seu investimento em SIEM, estas seis dicas podem ser úteis, adaptadas à realidade da sua organização:

  • Prepare-se cuidadosamente para a avaliação com um exercício de dimensionamento abrangente.
  • Conduza uma avaliação que execute todos os aspectos da prática de SIEM do fornecedor.
  • Obtenha todos os custos de implementação.
  • Priorize fontes de dados e prepare um plano de um a dois anos para ingestão de dados.
  • Documente minuciosamente os fluxos de trabalho e manuais do SIEM.
  • Estabelecer reuniões trimestrais com a equipe executiva do fornecedor para tratar de questões pendentes e alinhar com a estratégia.
artigo anterior
O que vem por aí para a Mozilla
próximo >>
Amostra de apresentação da série A: Point.me
RELACIONADO

INSCREVA-SE NO TRPLANE.COM

Publicar no TRPlane.com

Se você tiver alguma história interessante sobre transformação, TI, digital, etc. com um lugar no TRPlane.com, envie para nós e compartilharemos com toda a Comunidade.

poste agora

MAIS PUBLICAÇÕES

Veja mais
Ativar notificações OK Sem gracias