Adotando uma solução SIEM, parte 2: O que você deve considerar ao escolher uma Ferramenta de SIEM?

Na primeira  parte desta série de duas partes, discutimos por que as organizações devem adotar uma solução SIEM para garantir a segurança da rede. Nesta segunda parte, estaremos desmistificando os recursos críticos das ferramentas SIEM e mostraremos o que considerar ao escolher uma solução.

O orçamento desempenha um papel crucial

Ao comprar uma solução SIEM, o orçamento desempenha um papel importante. Alguns fornecedores de SIEM licenciam sua solução com base no volume de dados de log que está sendo processado, o que significa que o preço do produto tende a flutuar. Por outro lado, quando o licenciamento é baseado no número de fontes de log sendo adicionadas para monitoramento – sem limite no volume de dados de log sendo processados ​​-, seus gastos tendem a permanecer constantes. Esses modelos de preços dependentes da fonte também ajudam você a acomodar melhor sua solução SIEM durante as expansões de rede.

Além das restrições orçamentárias, a solução SIEM escolhida deve fornecer determinados recursos.

Os sete recursos que você deve considerar ao escolher uma solução SIEM

  1. Escalabilidade: Qualquer que seja o modelo de licença, a solução SIEM escolhida deve ser capaz de dimensionar horizontalmente e verticalmente. Quando sua organização cresce, sua solução SIEM também deve crescer. Descubra quantas origens de log uma única instância da solução pode manipular e verifique se isso está dentro do tamanho de sua rede. Além disso, certifique-se de verificar a capacidade máxima de manipulação de eventos da solução SIEM, que deve estar dentro dos seus limites de geração de logs.

Você sabia que o Log360 , nossa solução abrangente de SIEM, pode lidar com 25.000 logs / segundo? Confira o que mais esta solução tem a oferecer .

  1. Registrar a compatibilidade de dados:  sua rede provavelmente tem uma ampla gama de dispositivos, cada um com seu próprio tipo de registro. Você pode ter uma combinação de dispositivos de perímetro de rede, como roteadores, switches, firewalls e IDS / IPS, bem como aplicativos, servidores, estações de trabalho e até mesmo ambientes de nuvem inteiros. A solução SIEM escolhida deve ser capaz de assimilar os dados de log de todas essas plataformas, assim que sair da caixa. Deve ser feito um esforço mínimo para configurar a coleta e a análise de registros dos dispositivos em sua rede.

Apenas dizendo, o  Log360 pode analisar automaticamente e analisar dados de log de mais de 750 fontes de log. Além disso, o analisador de log personalizado da solução pode criar automaticamente regras de analisador para qualquer formato de log legível.

  1. Visualização intuitiva e interativa: o  Analytics é o principal recurso de cada solução SIEM. As soluções SIEM são projetadas para automatizar o processo de gerenciamento de logs e especificamente para extrair informações significativas desses logs e apresentá-los como insights acionáveis. Portanto, para o básico, procure recursos eficazes de relatórios que ajudem a atender às suas necessidades de segurança, auditoria e conformidade. Ele também deve ter um painel interativo que apresente exatamente o que você precisa, incluindo recursos de detalhamento.

  2. Análise forense eficaz:  Os Centros de Operações de Segurança (SOCs) são responsáveis ​​por realizar análises forenses rápidas e precisas de todos os incidentes detectados para aprender com eles e, finalmente, evitar novas ameaças e conter ataques contínuos. A rapidez com que você contém um ataque depende de quanto tempo demora para descobri-lo. Portanto, certifique-se de que sua solução SIEM possui recursos de análise forense de alta velocidade e eficientes. Além disso, criar consultas de pesquisa sem ter que usar uma linguagem de consulta é uma obrigação para qualquer solução SIEM que você escolher.

  3. Componentes prontos e personalizados:  Embora todas as soluções SIEM sejam fornecidas com relatórios de auditoria pré-agrupados, perfis de alerta, regras de correlação e modelos de relatórios de conformidade, você pode achar esses recursos difíceis de usar. Há sempre uma necessidade de personalização para ajustar valores de limiar de perfis de alerta, alterar elementos de relatório e modificar critérios para regras de correlação para que eles se ajustem à sua rede. Certifique-se de que a solução SIEM escolhida seja fornecida com um conjunto exaustivo de componentes predefinidos, bem como a capacidade de personalizá-los com o mínimo de esforço.

  4. Orquestração de segurança: Sua ferramenta SIEM deve funcionar em harmonia com outras soluções de gerenciamento de TI em sua rede. Sua rede pode conter soluções que facilitam suas operações de TI, como uma ferramenta de monitoramento que monitora o desempenho e a integridade de dispositivos e servidores, ou soluções de help desk que auxiliam na resolução de consultas relacionadas a TI. A solução SIEM escolhida deve ser capaz de obter dados de entrada e de alimentação para suas outras soluções de gerenciamento de TI. Por exemplo, sua solução SIEM deve ser capaz de receber alertas de inatividade do servidor da sua solução de monitoramento e validar se esses alertas sinalizam um ataque de DDoS. Quando a sua ferramenta SIEM identifica um ataque, ele deve ser capaz de elevar esse incidente como um tíquete no seu help desk e atribuir esse tíquete a um administrador de segurança para uma resolução efetiva do incidente.

  5. Inteligência preditiva: a inteligência  preditiva faz com que as soluções SIEM se destaquem em outras soluções de segurança de rede. A solução SIEM escolhida deve ser capaz de adicionar contexto de negócios a eventos que ocorrem em sua rede, traçar tendências de comportamento de usuários e entidades, identificar variações de tendências típicas e fornecer notificações em tempo real sobre desvios. Sua ferramenta SIEM deve vir com regras e algoritmos baseados em aprendizado de máquina que possam identificar comportamentos suspeitos em sua rede.

O Quadrante Mágico 2018 da Gartner para o SIEM destaca outros recursos que uma solução SIEM deve ter.  Leia o relatório  para ver porque o Log360 foi apresentado.

Inicie os testes do Log360 contando com o apoio da equipe ACSoftware, sua revendedora ManageEngine no Brasil.

 

Deixe um comentário

Blog ACSoftware - ManageEngine