Новый взгляд на SIEM-системы

Поделиться
HTML-код
  • Опубликовано: 2 авг 2024
  • #SIEM #SecurityInformationandEventManagement #AMLIVE
    Запись прямого эфира онлайн-конференции AM Live (www.anti-malware.ru), проходившей 15 сентября 2021 года, на которой эксперты поговорили о функциональных возможностях SIEM-систем и их ключевых отличиях.
    Модератор:
    • Алексей Лукацкий, бизнес-консультант по безопасности Cisco
    Участники:
    • Антон Фишман, технический директор RuSIEM
    • Евгения Лагутина, технический эксперт Micro Focus в России, СНГ и Восточной Европе
    • Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ»
    • Евгений Бударин, руководитель отдела предпродажной поддержки «Лаборатории Касперского»
    • Олег Бакшинский, ведущий советник по вопросам информационной безопасности IBM в России и СНГ
    • Павел Кузнецов, заместитель управляющего директора по технологиям кибербезопасности Positive Technologies
    • Максим Жевнерев, ведущий аналитик отдела развития технологий и перспективных услуг Solar JSOC, «Ростелеком-Солар»
    00:00:00 - Интро
    00:01:03 - Открытие встречи и представление экспертов
    00:02:37 - Рынок SIEM находится в стагнации?
    00:10:27 - Чем обусловлен интерес к самописным SEIM-решениям?
    00:16:56 - Есть ли давление на крупных вендоров со стороны новых игроков рынка?
    00:22:04 - Результаты опроса и вопрос слушателя об альтернативах SIEM
    00:25:12 - SIEMaaS в России
    00:37:59 - Есть ли в России услуга по профессиональной работе с SIEM (Managed SIEM)?
    00:45:16 - Сценарии применения SIEM помимо обеспечения безопасности
    00:58:35 - Самописный, опенсорсный или коммерческий SIEM - куда идти?
    01:03:34 - Как связать коммерческий SIEM и личные самописные наработки?
    01:14:32 - Кто будет писать контент для обнаружения в платном SIEM?
    01:23:40 - Результаты опроса и вопрос слушателя о сценариях использования
    01:31:16 - Работает ли SIEM с потоками помимо дискретных событий?
    01:35:58 - Как лицензируется SIEM?
    01:47:43 - Вопрос Максима Жевнерева к коллегам о пиковой нагрузке на SIEM
    01:52:36 - Какие жёсткие диски рекомендуются и как решается вопрос масштабирования?
    02:02:17 - Вопрос слушателя о синхронизации SIEM между часовыми поясами
    02:06:36 - Вопрос слушателя о контейнеризации SIEM и оптимизации ядра
    02:12:00 - Встроенные возможности реагирования и результаты опроса
    02:17:54 - Борьба с ложными срабатываниями и обогащение контента SIEM
    02:33:32 - Исследовательские подразделения и компетенции вендоров SIEM
    02:50:13 - Как заказчику протестировать SIEM перед покупкой?
    03:06:13 - Результаты финального опроса и закрытие встречи
    Ключевые вопросы:
    1. Ситуация на рынке SIEM в России
    • Какие задачи информационной безопасности решает современная SIEM-система?
    • Кто и почему покупает SIEM-системы?
    • Как меняются требования заказчиков к SIEM-системам?
    • Умер ли SIEM в его первоначальном смысле?
    • Что отличает NG SIEM (новое поколение SIEM)?
    • SIEM без XDR, SOAR, SOC - деньги на ветер?
    • Кому точно не нужна SIEM-система?
    • Можно ли применять SIEM за пределами ИБ, какие сценарии существуют?
    • Почему так много SIEM-систем, их так легко разрабатывать?
    • Сравнима ли функциональность российских и зарубежных SIEM?
    • Насколько важна сертификация SIEM-системы?
    2. Разбираемся в функциональности SIEM-систем
    • Есть ли разница в поддержке источников у популярных SIEM-систем?
    • Как получить недостающий коннектор и часто ли с этим сталкиваются заказчики?
    • Какие существуют различия в возможностях сбора и обработки событий?
    • Насколько важны правила корреляции из коробки?
    • Каковы методики уменьшения уровня ложных срабатываний?
    • Насколько правильно коррелировать события в SIEM на базе матрицы MITRE ATT&CK?
    • Каким образом можно применять машинное обучения в SIEM-системах?
    • Зачем нужна ретроспективная корреляция событий?
    • Что нужно от SIEM-системы для взаимодействие с НКЦКИ?
    • Какая требуется интеграция с другими системами ИБ?
    • Какую производительность и масштабируемость нужно требовать у производителей SIEM?
    3. Внедрение SIEM-системы
    • Как правильно тестировать функциональность SIEM-системы на этапе выбора?
    • Как проверить реальную производительность SIEM, что нам скажет цифра EPS?
    • Как можно сэкономить на внедрении SIEM-системы?
    • Как продемонстрировать бизнесу экономическую эффективность внедрения SIEM?
    • Сколько специалистов необходимо для эффективной работы с SIEM-системой?
    4. Прогноз развития рынка SIEM-систем
    • Что ожидает рынок в перспективе 2-3 года?
    • Каковы перспективы SIEM из облака?
    • Останутся ли отдельные SIEM-системы или они станут частями комплексных платформ управления ИБ?
    • Может ли SIEM-система быть конкурентным преимуществом коммерческого SOC?
    Записи других прямых эфиров AM Live
    • Трансляции AM Live
    Подписывайтесь на наш канал
    / @antimalwarerus
    Присоединяйтесь к нам в соцсетях!
    t.me/anti_malware
    / antimalwareru
    / anti_malware
    anti_malware
  • НаукаНаука

Комментарии • 3

  • @AntiMalwarerus
    @AntiMalwarerus  2 года назад +1

    Внутри эфира:
    00:01:03 - Открытие встречи и представление экспертов
    00:02:37 - Рынок SIEM находится в стагнации?
    00:10:27 - Чем обусловлен интерес к самописным SEIM-решениям?
    00:16:56 - Есть ли давление на крупных вендоров со стороны новых игроков рынка?
    00:22:04 - Результаты опроса и вопрос слушателя об альтернативах SIEM
    00:25:12 - SIEMaaS в России
    00:37:59 - Есть ли в России услуга по профессиональной работе с SIEM (Managed SIEM)?
    00:45:16 - Сценарии применения SIEM помимо обеспечения безопасности
    00:58:35 - Самописный, опенсорсный или коммерческий SIEM - куда идти?
    01:03:34 - Как связать коммерческий SIEM и личные самописные наработки?
    01:14:32 - Кто будет писать контент для обнаружения в платном SIEM?
    01:23:40 - Результаты опроса и вопрос слушателя о сценариях использования
    01:31:16 - Работает ли SIEM с потоками помимо дискретных событий?
    01:35:58 - Как лицензируется SIEM?
    01:47:43 - Вопрос Максима Жевнерева к коллегам о пиковой нагрузке на SIEM
    01:52:36 - Какие жёсткие диски рекомендуются и как решается вопрос масштабирования?
    02:02:17 - Вопрос слушателя о синхронизации SIEM между часовыми поясами
    02:06:36 - Вопрос слушателя о контейнеризации SIEM и оптимизации ядра
    02:12:00 - Встроенные возможности реагирования и результаты опроса
    02:17:54 - Борьба с ложными срабатываниями и обогащение контента SIEM
    02:33:32 - Исследовательские подразделения и компетенции вендоров SIEM
    02:50:13 - Как заказчику протестировать SIEM перед покупкой?
    03:06:13 - Результаты финального опроса и закрытие встречи

  • @RalexisRU
    @RalexisRU 2 года назад +1

    Сейчас тема с каждым днём ещё более актуализируется. Жаль только, что со звуком не учли. Уж как избавиться от эха можно было и продумать.

  • @MrEmityushkin
    @MrEmityushkin 2 года назад +1

    +