是面向DevOps团队的开源可观察平台GTM的安全副总裁。
安全信息和事件管理(SIEM)是最完善的安全软件类别之一,大约在20年前首次引入。然而,关于SIEM供应商评估和管理的文章很少。
为了填补这一空白,这里有六个关于采购和实现SIEM解决方案以获得最大价值的顶级技巧。
e评估和购买SIEM解决方案
估算你的花费
SIEM软件解决方案的定价各不相同:根据客户组织中的员工数量、每秒事件的速率或所摄取的日志量进行定价。尽早弄清楚这一点是很重要的,这样你就能大致了解随着时间的推移你将支付多少钱。您还将确定对安全操作中心(SOC)有意义的各种数据源。
如果您已经有了SIEM,请向供应商提供您当前的用例和消费,他们应该能够复制它。如果你没有,你需要做一些跑腿的工作。一个很好的起点是评估将发送到SIEM的日志量。通过检查“正常”一天的本地存储日志并计算结果,度量来自每个源的实际每日日志量。
如果SIEM供应商按员工数量收费,就要小心了。这通常是一种通过计算没有生成任何相关数据的员工来对SIEM收取更多费用的方法。
e评估供应商的实践
下一步是进行概念验证(POC);这应该是最终实现的起点,而不是一个独立的、固定的练习。在此过程中,您的供应商应该展示您希望在售后维持的服务水平。以下是在此过程中需要考虑的一些关键问题:
- 谁来管理你的账户?理想情况下,供应商将派出熟练的技术人员来执行您的初始e估价及估价导入一个实现。
- 你们团队中谁将负责e的技术工作评估,谁将最终实施它?理想情况下,这将是同一个人或一小群人。
- 在你购买了SIEM之后,你的下一步计划是什么?? 确保您的供应商能够集成广泛的技术。
- 完全理解供应商的前端和后端软件架构是至关重要的。一些自称“真正的SaaS”或“云原生”的供应商并非如此。不要把自己锁在12个月的时间里n公司当你不知道背后发生了什么的时候就收缩。
不要被愚弄:要知道实现的总成本