امروزه تکنولوژی SIEM ، قدرت و توانمندی بسیاری را به رخ می کشد اما بسیاری از سازمانها موفق به تحقق بخشیدنِ وعده های آن نمی شوند. در این مستند سوالات کلیدی که شما نیاز دارید به آن پاسخ دهید تا از راه کار انتخابی اطمینان حاصل کنید، آمده است. پیشنهاد می شود با بررسی محیط، خواسته ها و توانمندی های خود شروع کنید، سپس به انتخاب راه کار مورد نظر اقدام کنید.
- آیا SIEM فعلی شما مشکل ساز است؟
قطعاً بعضی از راه کارها بهتر از بقیه هستند، اما در مجموع SIEM بد، بسیار نادر یافت می شود. یک SIEM به شرطی می تواند به درستی کار کند که نیروهایی آموزش دیده، با تخصص و البته به عنوان کارشناس تمام وقت این راه کار برای اجرا و اصلاح، در نظر گرفته شده باشد. اگر تیم مناسبی برای این منظور در نظر نگرفته اید، تغییر ابزار SIEM مشکل را حل نمی کند.
- آیا استطاعت داشتنن و نگهداری آن را دارید؟
نگاهی به راه حل ها و ابزارهای امنیتی خویش بیاندازید. آیا توانایی راه اندازی و تجهیزات لازم را برای SIEM دارید؟
به راستی یکSIEM هر چند بد، واقعاً بد نیست. ممکن است شما به درستی آن را پیاده سازی و راهبری نکنید. اگر اشخاصی را برای مانیتور کردن آن ندارید، پتانسیل این ابزار ناچیز است.
- چه چیزی را می خواهم مانیتور کنم؟
قبل از مقایسه SIEM ها، شما نیاز دارید تا مشکلی را که می خواهید حل کنید، درک نمایید. از فروشنده نپرسید چه باید بخواهید، شما بایستی خودتان بدانید. از این شروع کنید: “چه چیزی بایستی مانیتور کنم و چرا؟” .
اگر مطمئن شدید راه حل مشکل شما SIEM است، به سوالات بعدی پاسخ دهید.
- الزام شما برای SIEM چیست؟
SIEM های بزرگ کاملا پایدار بوده و پشتیبانی خوبی دارند اما اگر به فروشنده کوچکتری می اندیشید، نیاز دارید بدانید که این راه حل چگونه با شمای کلی سازمان شما منطبق خواهد شد. چقدر سخت گیری برای ساخت پلتفرم در نظر گرفته شده است؟ آیا SIEM قسمت مهمی از سازمان خواهد بود و یا خیر؟
- چقدر نیاز به هزینه دارد؟
بعضی از لایسنس های SIEM ها به مقدار لاگی که SIEM پردازش می کند وابسته است. تجهیز و لاگ بیشتر هزینه بیشتری در بر خواهد داشت. این نکته را در نظر بگیرید.
- تحلیل امنیتی کجای “نقشه راه” سازمان شماست؟
انتخاب برند و فروشنده نیاز به بررسی های زیادی دارد چرا که که SIEM محصولی نسیت که چند سال یکبار آن را تعویض کنید،. بایستی بدانید که برند مورد نظر در تحلیل لاگ در چه جایگاهی قرار گرفته و برنامه های توسعه ای آن چیست.
- چگونه محیط های ابری را پشتیبانی می کنید؟
اگر سازمان شما در حال بررسی و یا انتقال به زیرساخت های ابری است، نیاز به اشرافیت کامل به رویدادهای محیط خواهید داشت. درست مشابه زمانی که در زیر ساخت قبلی خود بوده اید. این موضوع را مد نظر قرار دهید.
- در آینده چگونه قرار است ابزارهای اتوماسیون را فعال کنید؟
ضروری است نگاهی به آینده و برنامه های اتوماسیون نیز داشته باشید. بپرسید که برند مورد نظر چه راه هایی را برای تعریف پروسه های مختلف به صورت اتوماتیک برای شما فراهم خواهد کرد و چگونه؟
- پارتنرها چه کسانی هستند؟
پارتنرهای برند مورد نظر شما نمادی هستند از سختی و یا آسانی ادغام شدن با آنها.
- چگونه SIEM را به جلو می برید؟
SIEM های مختلف الگوریتم های درک و تحلیل را به مرور اضافه می کنند تا این ابزار به مغز واقعی تری تبدیل شود. خدمات و تعهدات برند مورد نظر بایستی مشخص باشد و همچنین برنامه بهره برداری شما نیز بایستی مشخص باشد.
- در صورتی که سازمان بخواهد SIEM را کنترل کند، چه منابعی از سمت فروشنده در دسترس است؟
دو دیدگاه امنیتی و مدیریتی در خصوص نگهداری SIEM ها، نگهداری توسط خود سازمان و یا برون سپاری آن است. در صورتی که سازمان فکر می کند بهتر از همه دانش نگهداری آن را می داند، چه ابزارها، پشتیبانی ها و چه منابعی برای نگهداری آن در دست خواهد داشت؟
- در صورت برون سپاری چه پشتیبانی هایی در دسترس است؟
برای جلوگیری از شکست پروژه و جلوگیری از یا استقرار ناقص، بایستی امکان برون سپاری مدیریت این ابزار بررسی شود. خدمات مشاوره ای نیز می تواند قسمتی از قراردادی باشد که در نهایت منعقد می گردد.
- چه آموزش هایی برای تیم قابل دسترس است؟
در خصوص تمامی آموزش هایی که لازم است برای مدیریت تجهیز ارائه شود سوال بپرسید. آیا انجمن یا فروم ای برای پرسش و پاسخ کاربران در نظر گرفته شده است؟
- آیا فروشنده می تواند موارد خاص سازمانی را حل کند؟
آیا توانایی حل مشکلات مانند مشکلات سازمانی شما توسط فروشنده وجود دارد؟ چگونه؟ آیا در محیط های مشابه فروشنده تجربه ای داشته است؟ فروشنده بایستی ثابت کند که مشکل شما را حل کرده و نیازهای شما را پاسخ می دهد. با سایر مشتریان و تجربیات آنها نیز حتی تلفنی، صحبت کنید.