اطلاعات امنیتی و مدیریت رویداد (SIEM) یکی از شناخته شده ترین دسته نرم افزارهای امنیتی است که برای اولین بار حدود 20 سال پیش معرفی شد. با این وجود، در مورد ارزیابی و مدیریت فروشنده SIEM نوشته شده است.
برای پر کردن این شکاف، در اینجا شش نکته اصلی در مورد تهیه و اجرای یک راه حل SIEM برای حداکثر ارزش آورده شده است.
ارزیابی و خرید راه حل SIEM
هزینه های خود را اندازه کنید
راهحلهای نرمافزاری SIEM قیمتهای متفاوتی دارند: یا بر اساس تعداد کارمندان در سازمان مشتری، بر اساس نرخ رویدادها در هر ثانیه، یا بر اساس حجم ورود به سیستم. مهم است که زودتر این موضوع را بفهمید تا تصوری کلی از آنچه در طول زمان پرداخت خواهید کرد به دست آورید. شما همچنین منابع داده های مختلف را که برای مرکز عملیات امنیتی خود (SOC) معنی دارند، شناسایی خواهید کرد.
خرید SIEM یک تعهد بزرگ است: شما و سازمانتان باید سال ها با تصمیم خود زندگی کنید.
اگر قبلاً یک SIEM در محل دارید، موارد استفاده و مصرف فعلی خود را به فروشنده بدهید و آنها باید بتوانند آن را تکرار کنند. اگر این کار را نکنید، باید کمی کار پا انجام دهید. یک نقطه شروع خوب، ارزیابی حجم گزارش هایی است که به SIEM ارسال می کنید. حجم واقعی گزارش روزانه را از هر منبع با بررسی گزارشهای ذخیره شده محلی برای یک روز عادی و جمعآوری نتایج اندازهگیری کنید.
اگر فروشنده SIEM بر اساس تعداد کارمندان شما شارژ می کند، مراقب باشید. این معمولاً راهی برای دریافت هزینه بیشتر برای SIEM با شمارش کارکنانی است که هیچ داده مرتبطی تولید نمی کنند.
شیوه های فروشنده خود را ارزیابی کنید
مرحله بعدی انجام یک اثبات مفهوم (POC) است. این باید نقطه شروعی برای اجرای نهایی باشد، نه یک تمرین مستقل و کنسرو شده. در طول این فرآیند، فروشنده شما باید سطح خدماتی را که میخواهید پس از فروش حفظ کنید، نشان دهد. در اینجا چند سوال کلیدی وجود دارد که در طول این فرآیند باید در نظر گرفته شود:
- چه کسی حساب شما را پرسنل خواهد کرد؟ در حالت ایدهآل، یک فروشنده کارکنان فنی ماهر را متعهد میکند تا هم ارزیابی اولیه شما را انجام دهند و هم اجرای آن را انجام دهند.
- چه کسی از تیم شما رهبری فنی ارزیابی را بر عهده خواهد گرفت و در نهایت چه کسی آن را اجرا خواهد کرد؟ در حالت ایده آل، این همان فرد یا گروه کوچکی از افراد خواهد بود.
- بعد از خرید SIEM، نقشه راه بعدی شما چیست؟ اوج گرفتن؟ CSPM؟ اطمینان حاصل کنید که فروشنده شما می تواند با طیف وسیعی از فناوری ها ادغام شود.
- درک کامل معماری نرم افزار جلویی و پشتیبان فروشنده بسیار مهم است. برخی از فروشندگان که خود را “True SaaS” یا “Cloud-Native” می نامند، چنین نیستند. وقتی نمیدانید زیر کاپوت چه خبر است، خود را در یک قرارداد 12 ماهه قفل نکنید.