Sicherheitsinformationen und Event Management (SIEM) ist eine der am weitesten verbreiteten Kategorien von Sicherheitssoftware und wurde erstmals vor etwa 20 Jahren eingeführt. Dennoch wurde nur sehr wenig über die Bewertung und Verwaltung von SIEM-Anbietern geschrieben.
Um diese Lücke zu schließen, finden Sie hier sechs Top-Tipps zur Beschaffung und Implementierung einer SIEM-Lösung mit maximalem Nutzen.
Evaluierung und Kauf einer SIEM-Lösung
Bestimmen Sie Ihre Ausgaben
Die Preise für SIEM-Softwarelösungen sind unterschiedlich: entweder nach der Anzahl der Mitarbeiter in der Kundenorganisation, nach der Ereignisrate pro Sekunde oder basierend auf dem aufgenommenen Protokollvolumen. Es ist wichtig, dies frühzeitig herauszufinden, um eine ungefähre Vorstellung davon zu bekommen, wie viel Sie im Laufe der Zeit zahlen werden. Außerdem identifizieren Sie die verschiedenen Datenquellen, die für Ihr Security Operations Center (SOC) von Bedeutung sind.
Der Kauf eines SIEM stellt eine enorme Verpflichtung dar: Sie und Ihr Unternehmen müssen noch viele Jahre mit Ihrer Entscheidung leben.
Wenn Sie bereits über ein SIEM verfügen, teilen Sie dem Anbieter Ihre aktuellen Anwendungsfälle und Ihren Verbrauch mit, und er sollte in der Lage sein, diese zu replizieren. Wenn Sie dies nicht tun, müssen Sie ein wenig Beinarbeit leisten. Ein guter Ausgangspunkt ist die Beurteilung des Protokollvolumens, das Sie an das SIEM senden. Messen Sie das tatsächliche tägliche Protokollvolumen aus jeder Quelle, indem Sie die lokal gespeicherten Protokolle für einen „normalen“ Tag überprüfen und die Ergebnisse zusammenzählen.
Seien Sie vorsichtig, wenn der SIEM-Anbieter die Kosten nach der Anzahl Ihrer Mitarbeiter berechnet. Dies ist normalerweise eine Möglichkeit, mehr für das SIEM zu verlangen, indem Mitarbeiter gezählt werden, die keine relevanten Daten generieren.
Bewerten Sie die Praktiken Ihres Anbieters
Der nächste Schritt besteht in der Durchführung eines Proof-of-Concept (POC); Dies sollte ein Ausgangspunkt für eine eventuelle Implementierung sein und keine isolierte, vorgefertigte Übung. Während dieses Prozesses sollte Ihr Anbieter ein Serviceniveau nachweisen, das Sie nach dem Verkauf beibehalten möchten. Hier sind einige wichtige Fragen, die Sie während dieses Prozesses berücksichtigen sollten:
- Wer wird Ihr Konto betreuen? Im Idealfall stellt ein Anbieter qualifiziertes technisches Personal ein, das sowohl Ihre erste Bewertung durchführt als auch eine Implementierung durchführt.
- Wer aus Ihrem Team übernimmt die technische Leitung der Evaluierung und wer führt sie letztendlich durch? Im Idealfall handelt es sich dabei um dieselbe Person oder eine kleine Personengruppe.
- Was steht nach dem Kauf eines SIEM als nächstes auf Ihrer Roadmap? STEIGEN? CSPM? Stellen Sie sicher, dass Ihr Anbieter eine breite Palette von Technologien integrieren kann.
- Es ist wichtig, die Front- und Back-End-Softwarearchitektur des Anbieters vollständig zu verstehen. Einige Anbieter, die sich selbst als „echtes SaaS“ oder „Cloud-nativ“ bezeichnen, sind dies nicht. Schließen Sie sich nicht auf einen 12-Monats-Vertrag ein, wenn Sie nicht wissen, was unter der Haube vor sich geht.