SIEM Solution. Cosa devo considerare.

SIEM Solution. Cosa devo considerare.

Nella prima parte abbiamo spiegato perché le aziende dovrebbero adottare una soluzione SIEM per garantire la sicurezza della rete. In questa seconda parte, sfateremo il mito delle capacità critiche degli strumenti SIEM e mostreremo cosa prendere in considerazione quando scegli una soluzione.

SIEM Solution. Il ruolo del budget.

Quando si acquista una soluzione SIEM, il budget gioca un ruolo importante. Alcuni fornitori SIEM offrono in licenza la loro soluzione in base al volume di dati che viene elaborato. Il prezzo del prodotto tende a fluttuare. Quando il licensing si basa sul numero di sorgenti di log che vengono aggiunte per il monitoraggio, senza alcun limite sul volume di dati, la spesa tende a rimanere costante. Questi modelli di licensing/pricing aiutano anche a gestire meglio la soluzione SIEM durante le espansioni di rete.

Oltre ai limiti di budget, la soluzione SIEM scelta deve fornire determinate funzionalità.

SIEM Solution. Funzionalità da considerare.

Come abbiamo detto, quando scegliamo una soluzione SIEM per la nostra azienda ci sono diverse cose da valutare. Prezzo, tipologia di licenza e funzionalità. Ci sono una serie di funzionalità che dovrebbero essere sempre presenti in una soluzione SIEM. Eccole di seguito.

Scalabilità.

Qualunque sia il modello di licenza, la soluzione SIEM scelta deve essere in grado di scalare sia orizzontalmente che verticalmente. Quando l’azienda cresce, anche la soluzione SIEM deve crescere. Scopri quante sorgenti di log può gestire una singola istanza della soluzione e controlla se rientra nelle dimensioni della tua rete. Assicurati di verificare la capacità di gestione degli eventi di punta della soluzione SIEM, che dovrebbe rientrare nei limiti di generazione dei registri.

Log data compatibility.

La tua rete ha una vasta gamma di dispositivi, ciascuno con il proprio tipo di log. Potrebbe esserci un mix di dispositivi perimetrali di rete come router, switch, firewall e IDS/IPS, oltre a applicazioni, server, workstation e persino interi ambienti cloud. La soluzione SIEM scelta dovrebbe essere in grado di assimilare i dati di log da tutte queste piattaforme, fin da subito. Dovrebbe essere sufficiente uno sforzo minimo per configurare la raccolta e l’analisi dei log dai dispositivi della rete.

Visualizzazione Intuitiva e interattiva.

Analytics è la key feature di ogni soluzione SIEM. Le soluzioni SIEM sono progettate per automatizzare il processo di gestione dei log e in particolare per estrarre informazioni significative da questi registri e presentarle come informazioni utili. Bisogna quindi individuare funzionalità di reporting efficaci che soddisfino le esigenze di sicurezza, controllo e conformità. Dovrebbe anche avere una dashboard interattiva che presenti esattamente ciò di cui hai bisogno, comprese le funzionalità di drill-down.

Analisi forense efficace.

I Security Operations Center (SOC) sono responsabili dell’esecuzione di analisi forensi rapide e accurate di tutti gli incident rilevati. Apprendono da essi, prevengono nuove minacce e contengono attacchi in corso. La velocità con cui si contiene un attacco dipende da quanto tempo occorre per scoprirlo. Pertanto, assicurarsi che la soluzione SIEM sia dotata di capacità di analisi forense ad alta velocità ed efficienza. La creazione di query di ricerca senza dover utilizzare un linguaggio di query è un must per qualsiasi soluzione SIEM scelta.

Ready-made and tailor-made components.

Sebbene tutte le soluzioni SIEM siano dotate di report di controllo prebundled, profili di avviso, regole di correlazione e modelli di report di conformità, è possibile che queste funzioni siano difficili da utilizzare. È sempre necessaria la personalizzazione per mettere a punto i valori soglia dei profili di avviso, modificare gli elementi del report e modificare i criteri per le regole di correlazione in modo che si adattino alla rete. Assicurati che la soluzione SIEM scelta sia dotata sia di un set completo di componenti predefiniti e della possibilità di personalizzarli con il minimo sforzo.

Security orchestration.

Lo strumento SIEM dovrebbe funzionare in armonia con le altre soluzioni di gestione IT. La rete potrebbe contenere soluzioni che facilitano le operazioni IT, come uno strumento di monitoraggio per le prestazioni e l’integrità di dispositivi e server o soluzioni di help desk per risolvere le query relative all’IT. La soluzione SIEM scelta dovrebbe essere in grado di ricevere input e feed dei dati in modo efficace alle altre soluzioni di gestione IT. Ad esempio, la soluzione SIEM dovrebbe essere in grado di ricevere avvisi di tempi di inattività del server dalla soluzione di monitoraggio e convalidare se questi avvisi segnalano un attacco DDoS. Quando lo strumento SIEM identifica un attacco, dovrebbe essere in grado di inviare l’incident come ticket all’help desk e assegnare tale ticket a un amministratore di sicurezza per la risoluzione.

Intelligenza predittiva.

L’intelligenza predittiva fa sì che le soluzioni SIEM si distinguano da altre soluzioni di sicurezza di rete. La soluzione SIEM scelta dovrebbe essere in grado di aggiungere il contesto aziendale agli eventi che si verificano sulla rete, tracciare le tendenze del comportamento degli utenti e delle entità, identificare le variazioni rispetto alle tendenze tipiche e fornire notifiche in tempo reale sulle deviazioni. Lo strumento SIEM deve disporre di regole e algoritmi basati sull’apprendimento automatico che possono identificare comportamenti sospetti nella rete.

Ti interesse avere maggiori informazioni sulla soluzione SIEM di ManageEngine e scaricare la versione demo gratuita? Vai sul nostro sito: http://www.manageengine.it/eventlog/

Se invece vuoi informazione di carattere tecnico o commerciale puoi contattare gli specialisti Bludis allo 0643230077 o invia una e-mail a sales@bludis.it