Новый взгляд на SIEM-системы
HTML-код
- Опубликовано: 2 авг 2024
- #SIEM #SecurityInformationandEventManagement #AMLIVE
Запись прямого эфира онлайн-конференции AM Live (www.anti-malware.ru), проходившей 15 сентября 2021 года, на которой эксперты поговорили о функциональных возможностях SIEM-систем и их ключевых отличиях.
Модератор:
• Алексей Лукацкий, бизнес-консультант по безопасности Cisco
Участники:
• Антон Фишман, технический директор RuSIEM
• Евгения Лагутина, технический эксперт Micro Focus в России, СНГ и Восточной Европе
• Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ»
• Евгений Бударин, руководитель отдела предпродажной поддержки «Лаборатории Касперского»
• Олег Бакшинский, ведущий советник по вопросам информационной безопасности IBM в России и СНГ
• Павел Кузнецов, заместитель управляющего директора по технологиям кибербезопасности Positive Technologies
• Максим Жевнерев, ведущий аналитик отдела развития технологий и перспективных услуг Solar JSOC, «Ростелеком-Солар»
00:00:00 - Интро
00:01:03 - Открытие встречи и представление экспертов
00:02:37 - Рынок SIEM находится в стагнации?
00:10:27 - Чем обусловлен интерес к самописным SEIM-решениям?
00:16:56 - Есть ли давление на крупных вендоров со стороны новых игроков рынка?
00:22:04 - Результаты опроса и вопрос слушателя об альтернативах SIEM
00:25:12 - SIEMaaS в России
00:37:59 - Есть ли в России услуга по профессиональной работе с SIEM (Managed SIEM)?
00:45:16 - Сценарии применения SIEM помимо обеспечения безопасности
00:58:35 - Самописный, опенсорсный или коммерческий SIEM - куда идти?
01:03:34 - Как связать коммерческий SIEM и личные самописные наработки?
01:14:32 - Кто будет писать контент для обнаружения в платном SIEM?
01:23:40 - Результаты опроса и вопрос слушателя о сценариях использования
01:31:16 - Работает ли SIEM с потоками помимо дискретных событий?
01:35:58 - Как лицензируется SIEM?
01:47:43 - Вопрос Максима Жевнерева к коллегам о пиковой нагрузке на SIEM
01:52:36 - Какие жёсткие диски рекомендуются и как решается вопрос масштабирования?
02:02:17 - Вопрос слушателя о синхронизации SIEM между часовыми поясами
02:06:36 - Вопрос слушателя о контейнеризации SIEM и оптимизации ядра
02:12:00 - Встроенные возможности реагирования и результаты опроса
02:17:54 - Борьба с ложными срабатываниями и обогащение контента SIEM
02:33:32 - Исследовательские подразделения и компетенции вендоров SIEM
02:50:13 - Как заказчику протестировать SIEM перед покупкой?
03:06:13 - Результаты финального опроса и закрытие встречи
Ключевые вопросы:
1. Ситуация на рынке SIEM в России
• Какие задачи информационной безопасности решает современная SIEM-система?
• Кто и почему покупает SIEM-системы?
• Как меняются требования заказчиков к SIEM-системам?
• Умер ли SIEM в его первоначальном смысле?
• Что отличает NG SIEM (новое поколение SIEM)?
• SIEM без XDR, SOAR, SOC - деньги на ветер?
• Кому точно не нужна SIEM-система?
• Можно ли применять SIEM за пределами ИБ, какие сценарии существуют?
• Почему так много SIEM-систем, их так легко разрабатывать?
• Сравнима ли функциональность российских и зарубежных SIEM?
• Насколько важна сертификация SIEM-системы?
2. Разбираемся в функциональности SIEM-систем
• Есть ли разница в поддержке источников у популярных SIEM-систем?
• Как получить недостающий коннектор и часто ли с этим сталкиваются заказчики?
• Какие существуют различия в возможностях сбора и обработки событий?
• Насколько важны правила корреляции из коробки?
• Каковы методики уменьшения уровня ложных срабатываний?
• Насколько правильно коррелировать события в SIEM на базе матрицы MITRE ATT&CK?
• Каким образом можно применять машинное обучения в SIEM-системах?
• Зачем нужна ретроспективная корреляция событий?
• Что нужно от SIEM-системы для взаимодействие с НКЦКИ?
• Какая требуется интеграция с другими системами ИБ?
• Какую производительность и масштабируемость нужно требовать у производителей SIEM?
3. Внедрение SIEM-системы
• Как правильно тестировать функциональность SIEM-системы на этапе выбора?
• Как проверить реальную производительность SIEM, что нам скажет цифра EPS?
• Как можно сэкономить на внедрении SIEM-системы?
• Как продемонстрировать бизнесу экономическую эффективность внедрения SIEM?
• Сколько специалистов необходимо для эффективной работы с SIEM-системой?
4. Прогноз развития рынка SIEM-систем
• Что ожидает рынок в перспективе 2-3 года?
• Каковы перспективы SIEM из облака?
• Останутся ли отдельные SIEM-системы или они станут частями комплексных платформ управления ИБ?
• Может ли SIEM-система быть конкурентным преимуществом коммерческого SOC?
Записи других прямых эфиров AM Live
• Трансляции AM Live
Подписывайтесь на наш канал
/ @antimalwarerus
Присоединяйтесь к нам в соцсетях!
t.me/anti_malware
/ antimalwareru
/ anti_malware
anti_malware Наука
Внутри эфира:
00:01:03 - Открытие встречи и представление экспертов
00:02:37 - Рынок SIEM находится в стагнации?
00:10:27 - Чем обусловлен интерес к самописным SEIM-решениям?
00:16:56 - Есть ли давление на крупных вендоров со стороны новых игроков рынка?
00:22:04 - Результаты опроса и вопрос слушателя об альтернативах SIEM
00:25:12 - SIEMaaS в России
00:37:59 - Есть ли в России услуга по профессиональной работе с SIEM (Managed SIEM)?
00:45:16 - Сценарии применения SIEM помимо обеспечения безопасности
00:58:35 - Самописный, опенсорсный или коммерческий SIEM - куда идти?
01:03:34 - Как связать коммерческий SIEM и личные самописные наработки?
01:14:32 - Кто будет писать контент для обнаружения в платном SIEM?
01:23:40 - Результаты опроса и вопрос слушателя о сценариях использования
01:31:16 - Работает ли SIEM с потоками помимо дискретных событий?
01:35:58 - Как лицензируется SIEM?
01:47:43 - Вопрос Максима Жевнерева к коллегам о пиковой нагрузке на SIEM
01:52:36 - Какие жёсткие диски рекомендуются и как решается вопрос масштабирования?
02:02:17 - Вопрос слушателя о синхронизации SIEM между часовыми поясами
02:06:36 - Вопрос слушателя о контейнеризации SIEM и оптимизации ядра
02:12:00 - Встроенные возможности реагирования и результаты опроса
02:17:54 - Борьба с ложными срабатываниями и обогащение контента SIEM
02:33:32 - Исследовательские подразделения и компетенции вендоров SIEM
02:50:13 - Как заказчику протестировать SIEM перед покупкой?
03:06:13 - Результаты финального опроса и закрытие встречи
Сейчас тема с каждым днём ещё более актуализируется. Жаль только, что со звуком не учли. Уж как избавиться от эха можно было и продумать.
+