SIEM объединяет управление информацией о безопасности (SIM - Security Information Management) и управление событиями безопасности (SEM - Security Event Management) в единую систему управления безопасностью. SIEM собирает данные о событиях безопасности в режиме реального времени и предоставляет исторический анализ таких событий из широкого спектра источников данных. SIEM также может отмечать события, требующие расследования, и сообщать о них, а также помогать в проверке (и реагировании на них) проблем, которые могут нанести вред организации. SIEM продолжает быстро развиваться по мере того, как облачные инструменты и решения получают все большее признание среди корпоративных ИТ-специалистов и специалистов по безопасности. По данным Gartner, к 2023 году 90% SIEM—решений будут предлагать возможности, предоставляемые исключительно в облаке — хранение журналов, аналитику и управление инцидентами, и это лишь некоторые из них - по сравнению с 20% в 2020 году.

Команды по закупкам корпоративных технологий, оценивающие новые SIEM-решения, должны определить и расставить приоритеты по ключевым критериям, которые обеспечат практическую и техническую эффективность решений для выполнения задач использования и бизнес-кейсов, определенных командой покупателей. Колин Рид, вице-президент по управлению продуктами Gartner, описал семь таких ключевых моментов, на которые следует обратить внимание в SIEM-решениях. Необходимо последовательно использовать эти требования, чтобы оценить относительную ценность различных вариантов и в итоге выбрать лучшее решение. Исследования Gartner показывают, что эти семь требований являются критическими, но для вашего варианта использования они могут быть весьма желательными, но не строго необходимыми. Соответственно, оцените требования вашей команды как имеющие высокую, среднюю или низкую важность.

№ 1: Аналитика

Ищите инструменты SIEM, которые используют аналитику в реальном времени для обнаружения и определения приоритетов событий или действий, которые могут представлять угрозу, проблему соответствия требованиям или что-то еще, представляющее интерес для пользователей. Решение должно предлагать пакетную аналитику для выявления и корреляции слабых сигналов в данных, не обнаруженных в режиме реального времени.

№ 2: Администрирование функций

Решение SIEM должно предоставлять инструменты для администрирования, обслуживания и поддержки сложных функций, таких как управление журналами и источниками данных, аналитика и контент обнаружения, отчетность, роли пользователей и контроль доступа, наряду с технической интеграцией и рабочими процессами реагирования.

№ 3: Управление изначально доступным контентом

Эта функция предоставляет средства сбора данных, синтаксические анализаторы, правила и модели аналитики, варианты использования, пакеты соответствия требованиям и рабочие процессы реагирования, действия и воспроизведения. Администраторы могут включать этот контент, получать к нему доступ и обновлять его с помощью прилагаемой платформы управления.

№ 4: Удобство использования продукта

Покупатели должны убедиться, что новое решение SIEM обеспечивает простые для понимания и удобные для пользователя интерфейсы с интуитивно понятным дизайном, чтобы лучше облегчить взаимодействие с пользователями, особенно там, где пользователи могут не соответствовать традиционным ИТ-командам. Определите варианты использования для вашей SIEM, которые наилучшим образом соответствуют целям мониторинга безопасности вашей организации. Используйте их в качестве требований к дизайну, чтобы сосредоточиться на производительности и использовании ресурсов для решения приоритетных задач.

№ 5: Хранение данных

С точки зрения технических требований крайне важно убедиться, что новый инструмент SIEM обеспечит достаточную емкость хранилища данных, а также требуемые типы файлов, местоположение и процессы, такие как извлечение или уничтожение. Облачные решения предлагают масштабируемую емкость хранилища, что оказывается необходимым в условиях экспоненциального роста глобального ландшафта угроз.

№ 6: Интеграция

Это может показаться элементарным, но для любого нового SIEM-инструмента также крайне важно интегрироваться со всеми соответствующими приложениями, источниками данных и технологиями. Производительность обнаружения угроз SIEM зависит не только от SIEM и его конфигурации, но и от всего стека инструментов обнаружения и всей поддерживающей телеметрии, выбранной для отправки в SIEM.

№ 7: Мониторинг, протоколирование и отслеживание

Убедитесь, что решение SIEM будет предоставлять упреждающие оповещения о системных событиях во всех ваших средах, включая облачные сервисы, физические и виртуальные устройства и программное обеспечение, а также их комбинации. Он также должен создавать отчеты о протоколировании и разрешении всех проблем.

Решения SIEM могут выполнять множество функций для организаций, занимающихся обеспечением безопасности, в том числе в качестве системы учета соответствия требованиям, аудита, данных судебной экспертизы и общей отчетности или для мониторинга соответствующих предупреждений и данных о безопасности, обеспечивая единый источник достоверности в режиме реального времени и приоритизацию оповещений по всей организации. Современные SIEM-решения используют различные методы анализа, включая корреляцию, статистические отклонения и машинное обучение, для выявления угроз и других событий, представляющих интерес. Они должны позволять предприятию превращать необработанные данные оповещения в оперативную информацию с помощью любого наиболее подходящего метода анализа, основанного на цели мониторинга.

Резюме:

• Инструменты SIEM требуют тесной скоординированной интеграции со всем корпоративным стеком инструментов обнаружения и безопасности.
• SIEMs должны предлагать удобные, более интуитивно понятные интерфейсы, которые способствуют большей вовлеченности пользователей.
• К 2023 году 90% SIEM-решений будут предлагать возможности, предоставляемые исключительно в облаке.