Круглый стол: «Анализируй это: технические аспекты SIEM»

ИТ-инфраструктура современных компаний весьма разнообразна. С развитием технологий основной проблемой построения защиты становится не отсутствие информации, а ее обработка. Число источников, обеспечивающих поступление актуальной информации по текущему состоянию защищенности, непрерывно растет. Из-за увеличения потока информации администраторам по информационной безопасности становится все сложнее отслеживать и анализировать возникающие угрозы. А если своевременно не предотвратить их, то любая система защиты окажется бесполезной. И здесь на помощь компаниям приходят системы класса Security Information and Event Management.

Журнал Information Security провел круглый стол на тему: «Анализируй это: технические аспекты SIEM», в рамках которого поднимались следующие вопросы:

• Почему большая часть внедрений SIEM не приносит ожидаемого результата?
• Какие источники должна поддерживать SIEM в первую очередь? Существует ли некий "базовый набор" для SIEM?
• Должна ли SIEM иметь собственные механизмы сбора информации?
• Как много данных нужно собрать, чтобы гарантировать выявление инцидентов?
• Кто должен писать правила корреляции: вендор, заказчик, интегратор?
• Как снизить количество ложных срабатываний на SIEM?
• Должны ли производители SIEM предоставлять какой-то обязательный набор сервисов своим заказчикам?
• Какими компетенциями и навыками должен обладать пользователь SIEM?

Своим мнением на поставленные вопросы поделились эксперты различных организаций, в том числе Роман Ванерке (руководитель отдела технических решений АО "ДиалогНаука") и Никита Цыганков (главный специалист отдела технических решений АО "ДиалогНаука").

PDF-версия вопросов и ответов круглого стола: «Анализируй это: технические аспекты SIEM».