شش نکته برای استفاده حداکثری از سرمایه گذاری SIEM

اطلاعات امنیتی و مدیریت رویداد (SIEM) یکی از شناخته شده ترین دسته نرم افزارهای امنیتی است که برای اولین بار حدود 20 سال پیش معرفی شد. با این وجود، در مورد ارزیابی و مدیریت فروشنده SIEM نوشته شده است.

برای پر کردن این شکاف، در اینجا شش نکته اصلی در مورد تهیه و اجرای یک راه حل SIEM برای حداکثر ارزش آورده شده است.

ارزیابی و خرید راه حل SIEM

هزینه های خود را اندازه کنید

راه‌حل‌های نرم‌افزاری SIEM قیمت‌های متفاوتی دارند: یا بر اساس تعداد کارمندان در سازمان مشتری، بر اساس نرخ رویدادها در هر ثانیه، یا بر اساس حجم ورود به سیستم. مهم است که زودتر این موضوع را بفهمید تا تصوری کلی از آنچه در طول زمان پرداخت خواهید کرد به دست آورید. شما همچنین منابع داده های مختلف را که برای مرکز عملیات امنیتی خود (SOC) معنی دارند، شناسایی خواهید کرد.

خرید SIEM یک تعهد بزرگ است: شما و سازمانتان باید سال ها با تصمیم خود زندگی کنید.

اگر قبلاً یک SIEM در محل دارید، موارد استفاده و مصرف فعلی خود را به فروشنده بدهید و آنها باید بتوانند آن را تکرار کنند. اگر این کار را نکنید، باید کمی کار پا انجام دهید. یک نقطه شروع خوب، ارزیابی حجم گزارش هایی است که به SIEM ارسال می کنید. حجم واقعی گزارش روزانه را از هر منبع با بررسی گزارش‌های ذخیره شده محلی برای یک روز عادی و جمع‌آوری نتایج اندازه‌گیری کنید.

اگر فروشنده SIEM بر اساس تعداد کارمندان شما شارژ می کند، مراقب باشید. این معمولاً راهی برای دریافت هزینه بیشتر برای SIEM با شمارش کارکنانی است که هیچ داده مرتبطی تولید نمی کنند.

شیوه های فروشنده خود را ارزیابی کنید

مرحله بعدی انجام یک اثبات مفهوم (POC) است. این باید نقطه شروعی برای اجرای نهایی باشد، نه یک تمرین مستقل و کنسرو شده. در طول این فرآیند، فروشنده شما باید سطح خدماتی را که می‌خواهید پس از فروش حفظ کنید، نشان دهد. در اینجا چند سوال کلیدی وجود دارد که در طول این فرآیند باید در نظر گرفته شود:

  • چه کسی حساب شما را پرسنل خواهد کرد؟ در حالت ایده‌آل، یک فروشنده کارکنان فنی ماهر را متعهد می‌کند تا هم ارزیابی اولیه شما را انجام دهند و هم اجرای آن را انجام دهند.
  • چه کسی از تیم شما رهبری فنی ارزیابی را بر عهده خواهد گرفت و در نهایت چه کسی آن را اجرا خواهد کرد؟ در حالت ایده آل، این همان فرد یا گروه کوچکی از افراد خواهد بود.
  • بعد از خرید SIEM، نقشه راه بعدی شما چیست؟ اوج گرفتن؟ CSPM؟ اطمینان حاصل کنید که فروشنده شما می تواند با طیف وسیعی از فناوری ها ادغام شود.
  • درک کامل معماری نرم افزار جلویی و پشتیبان فروشنده بسیار مهم است. برخی از فروشندگان که خود را “True SaaS” یا “Cloud-Native” می نامند، چنین نیستند. وقتی نمی‌دانید زیر کاپوت چه خبر است، خود را در یک قرارداد 12 ماهه قفل نکنید.

گول نخورید: هزینه کل اجرا را بدانید