セキュリティ情報や イベント管理 (SIEM) は、セキュリティ ソフトウェアの最も確立されたカテゴリの 1 つであり、約 20 年前に初めて導入されました。 それにもかかわらず、SIEM ベンダーの評価と管理についてはほとんど書かれていません。
そのギャップを埋めるために、最大の価値をもたらす SIEM ソリューションを調達して実装するための 6 つの重要なヒントをここに示します。
SIEM ソリューションの評価と購入
支出額を見積もる
SIEM ソフトウェア ソリューションの価格は、顧客組織の従業員数、1 秒あたりのイベントの割合、または取り込まれたログの量に基づいて異なります。 早期にこれを把握し、長期的に支払う金額を大まかに把握することが重要です。 また、セキュリティ オペレーション センター (SOC) にとって重要なさまざまなデータ ソースも特定します。
SIEM の購入は大きなコミットメントです。あなたとあなたの組織は、今後何年にもわたってその決定を受け入れる必要があります。
すでに SIEM を導入している場合は、現在のユースケースと使用状況をベンダーに伝えれば、ベンダーはそれを再現できるはずです。 そうでない場合は、少し工夫する必要があります。 良い開始点は、SIEM に送信するログの量を評価することです。 「通常の」日のローカルに保存されたログをチェックアウトし、結果を集計することで、各ソースからの実際の日次ログ量を測定します。
SIEM ベンダーが従業員の数に応じて料金を請求する場合は、注意してください。 これは通常、関連するデータを生成しない従業員をカウントすることで、SIEM に追加料金を請求する方法です。
ベンダーの慣行を評価する
次のステップは、概念実証 (POC) を実施することです。 これは、スタンドアロンの事前に準備された演習ではなく、最終的な実装の開始点である必要があります。 このプロセス中に、ベンダーは販売後に維持したいサービス レベルを実証する必要があります。 このプロセス中に考慮すべき重要な質問をいくつか示します。
- あなたのアカウントに誰がスタッフを配置しますか? 理想的には、ベンダーは、初期評価の実行と実装の両方に熟練した技術スタッフを派遣します。
- チームの誰が評価に関して技術的な主導権を握り、最終的に誰がそれを実装するのでしょうか? 理想的には、これは同じ人物または少人数のグループです。
- SIEM を購入した後、ロードマップの次は何ですか? 舞い上がる? CSPM? ベンダーが幅広いテクノロジーと統合できることを確認してください。
- ベンダーのフロントエンドおよびバックエンド ソフトウェア アーキテクチャを完全に理解することが重要です。 一部のベンダーは自らを「真の SaaS」または「クラウドネイティブ」と呼んでいますが、そうではありません。 内部で何が起こっているのかわからないときに、12 か月の契約に縛られないでください。