Новый взгляд на SIEM-системы

#SIEM #SecurityInformationandEventManagement #AMLIVE
Запись прямого эфира онлайн-конференции AM Live (https://www.anti-malware.ru), проходившей 15 сентября 2021 года, на которой эксперты поговорили о функциональных возможностях SIEM-систем и их ключевых отличиях.

Модератор:
• Алексей Лукацкий, бизнес-консультант по безопасности Cisco

Участники:
• Антон Фишман, технический директор RuSIEM
• Евгения Лагутина, технический эксперт Micro Focus в России, СНГ и Восточной Европе
• Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ»
• Евгений Бударин, руководитель отдела предпродажной поддержки «Лаборатории Касперского»
• Олег Бакшинский, ведущий советник по вопросам информационной безопасности IBM в России и СНГ
• Павел Кузнецов, заместитель управляющего директора по технологиям кибербезопасности Positive Technologies
• Максим Жевнерев, ведущий аналитик отдела развития технологий и перспективных услуг Solar JSOC, «Ростелеком-Солар»

00:00:00 — Интро
00:01:03 — Открытие встречи и представление экспертов
00:02:37 — Рынок SIEM находится в стагнации?
00:10:27 — Чем обусловлен интерес к самописным SEIM-решениям?
00:16:56 — Есть ли давление на крупных вендоров со стороны новых игроков рынка?
00:22:04 — Результаты опроса и вопрос слушателя об альтернативах SIEM
00:25:12 — SIEMaaS в России
00:37:59 — Есть ли в России услуга по профессиональной работе с SIEM (Managed SIEM)?
00:45:16 — Сценарии применения SIEM помимо обеспечения безопасности
00:58:35 — Самописный, опенсорсный или коммерческий SIEM — куда идти?
01:03:34 — Как связать коммерческий SIEM и личные самописные наработки?
01:14:32 — Кто будет писать контент для обнаружения в платном SIEM?
01:23:40 — Результаты опроса и вопрос слушателя о сценариях использования
01:31:16 — Работает ли SIEM с потоками помимо дискретных событий?
01:35:58 — Как лицензируется SIEM?
01:47:43 — Вопрос Максима Жевнерева к коллегам о пиковой нагрузке на SIEM
01:52:36 — Какие жёсткие диски рекомендуются и как решается вопрос масштабирования?
02:02:17 — Вопрос слушателя о синхронизации SIEM между часовыми поясами
02:06:36 — Вопрос слушателя о контейнеризации SIEM и оптимизации ядра
02:12:00 — Встроенные возможности реагирования и результаты опроса
02:17:54 — Борьба с ложными срабатываниями и обогащение контента SIEM
02:33:32 — Исследовательские подразделения и компетенции вендоров SIEM
02:50:13 — Как заказчику протестировать SIEM перед покупкой?
03:06:13 — Результаты финального опроса и закрытие встречи

Ключевые вопросы:

1. Ситуация на рынке SIEM в России

• Какие задачи информационной безопасности решает современная SIEM-система?
• Кто и почему покупает SIEM-системы?
• Как меняются требования заказчиков к SIEM-системам?
• Умер ли SIEM в его первоначальном смысле?
• Что отличает NG SIEM (новое поколение SIEM)?
• SIEM без XDR, SOAR, SOC – деньги на ветер?
• Кому точно не нужна SIEM-система?
• Можно ли применять SIEM за пределами ИБ, какие сценарии существуют?
• Почему так много SIEM-систем, их так легко разрабатывать?
• Сравнима ли функциональность российских и зарубежных SIEM?
• Насколько важна сертификация SIEM-системы?

2. Разбираемся в функциональности SIEM-систем

• Есть ли разница в поддержке источников у популярных SIEM-систем?
• Как получить недостающий коннектор и часто ли с этим сталкиваются заказчики?
• Какие существуют различия в возможностях сбора и обработки событий?
• Насколько важны правила корреляции из коробки?
• Каковы методики уменьшения уровня ложных срабатываний?
• Насколько правильно коррелировать события в SIEM на базе матрицы MITRE ATT&CK?
• Каким образом можно применять машинное обучения в SIEM-системах?
• Зачем нужна ретроспективная корреляция событий?
• Что нужно от SIEM-системы для взаимодействие с НКЦКИ?
• Какая требуется интеграция с другими системами ИБ?
• Какую производительность и масштабируемость нужно требовать у производителей SIEM?

3. Внедрение SIEM-системы

• Как правильно тестировать функциональность SIEM-системы на этапе выбора?
• Как проверить реальную производительность SIEM, что нам скажет цифра EPS?
• Как можно сэкономить на внедрении SIEM-системы?
• Как продемонстрировать бизнесу экономическую эффективность внедрения SIEM?
• Сколько специалистов необходимо для эффективной работы с SIEM-системой?

4. Прогноз развития рынка SIEM-систем

• Что ожидает рынок в перспективе 2-3 года?
• Каковы перспективы SIEM из облака?
• Останутся ли отдельные SIEM-системы или они станут частями комплексных платформ управления ИБ?
• Может ли SIEM-система быть конкурентным преимуществом коммерческого SOC?

Записи других прямых эфиров AM Live
   • Трансляции AM Live  

Подписывайтесь на наш канал
   / @antimalwarerus  

Присоединяйтесь к нам в соцсетях!
https://t.me/anti_malware
  / antimalwareru  
  / anti_malware  
https://vk.com/anti_malware