На CISOCLUB вышел обстоятельный обзор по SIEM, раскрывающий важные нюансы практики внедрения и эксплуатации одного из ключевых инструментов в арсенале ИБ.
Технический директор ARinteg Максим Деев вместе с другими экспертами рассказал изданию, когда SIEM действительно оправдан, как выстроить приоритеты подключения источников, чтобы система начала приносить пользу, какие ошибки превращают систему в бесполезную «коробку», а также что на практике стоит за словами «ИИ внутри SIEM» и к чему готовиться в ближайшие годы.
Так, по оценке Максима Деева, подавляющее большинство проблем, после которых SIEM превращается в бесполезную «коробку», связано не с самой системой или настройкой корреляции, а с некорректным выбором источников событий и глубиной их подключения.
От также отметил, что в реальности система начинает приносить пользу задолго до реальной атаки.
«Главный показатель её работы — это способность выявлять «слепые зоны» и ошибки конфигурации уже на этапе внедрения и первичной эксплуатации, — рассказал Максим Деев. — Ключевая метрика — это количество инцидентов, связанных с нарушениями политик безопасности и некорректными настройками, переданные в ИТ-отдел для устранения. Если SIEM регулярно находит рабочие станции без нужного уровня аудита, недокументированные сервисы в сети или подозрительные цепочки в действиях легитимных пользователей — значит, она работает как проактивный инструмент. Она страхует инфраструктуру от неё самой, заставляя закрывать дыры до того, как ими воспользуются злоумышленники».
Полная версия обзора — по этой ссылке.
Дополнительная вкладка, для размещения информации о статьях, доставке или любого другого важного контента. Поможет вам ответить на интересующие покупателя вопросы и развеять его сомнения в покупке. Используйте её по своему усмотрению.
Вы можете убрать её или вернуть обратно, изменив одну галочку в настройках компонента. Очень удобно.
