IT-säkerhet Verksamhetsnytta

Att införa en SIEM-lösning: Vad ska du tänka på när du väljer SIEM-verktyg?

Del 2 i vår serie med tips och råd för organisationer som planerar att införa en SIEM-lösning.

I del ett av denna tvådelade artikelserie diskuterade vi varför organisationer bör införa en SIEM-lösning för att garantera nätsäkerhet. I denna artikel (del 2) kommer vi att titta närmare på de kritiska funktionerna i ett SIEM-verktyg och ge dig råd på vad du ska tänka på när ni väljer lösning. 

Budget spelar en avgörande roll

När ni köper en SIEM-lösning är budgeten viktig. Vissa SIEM-leverantörer licensierar sin lösning baserat på volymen bearbetade loggdata vilket innebär att produktens pris tenderar att fluktuera. Om å andra sidan licensieringen baseras på antalet loggkällor som läggs till för övervakning (utan volymgräns för bearbetade loggdata) tenderar kostnaden att förbli konstant. Dessa prismodeller hjälper dig att bättre anpassa er SIEM-lösning när nätverket byggs ut.

Bortsett från budgetbegränsningarna behöver den SIEM-lösning ni väljer erbjuda vissa funktioner.

Sju funktioner att ha i åtanke när ni väljer SIEM-lösning

  1. Skalbarhet
    Oavsett licensmodell måste den SIEM-lösning ni väljer kunna skalas efter era behov. När organisationen växer ska också SIEM-lösningen växa. Ta reda på hur många loggkällor en enda instans av lösningen kan hantera och kontrollera om det ligger inom ramen för nätverkets storlek. Se också till att kontrollera SIEM-lösningens toppkapacitet för händelsehantering, som bör ligga inom ramen för loggenereringens gränser.
  2. Kompatibilitet för loggdata
    Ert nätverk har sannolikt ett stort antal typer av enheter, var och en med sin egen loggningstyp. Ni har sannolikt en blandning av perimeterenheter inom nätverket, t.ex. routrar, switchar, brandväggar och säkerhetssystem som IDS/IPS, liksom program, servrar, arbetsstationer och även hela molnmiljöer. Den SIEM-lösning ni väljer bör kunna ta in loggdata från alla dessa plattformar utan särskilda anpassningar. Det ska inte behövas mer än en minimal ansträngning att konfigurera logginsamling och analys av nätverkets enheter.
  3. Intuitiv och interaktiv visualisering
    Analys är den viktigaste delen av varje SIEM-lösning. SIEM-lösningar är utformade för att automatisera logghanteringsprocessen och specifikt för att utvinna meningsfull information från dessa loggar och presentera denna som åtgärdbara insikter. Därför är det viktigt att leta efter effektiva rapporteringsfunktioner som hjälper er att uppfylla era behov av säkerhet, revision och efterlevnad. Lösningen bör också ha en interaktiv gränssnitt som visar exakt vad ni behöver, inklusive kapacitet för djupanalys.
  4. Effektiv forensisk analys
    Säkerhetsdriftcenter (SOC) ansvarar för att utföra snabb och korrekt forensisk analys av varje detekterad händelse för att lära av dem och i slutändan förhindra nya hot och avvärja pågående angrepp. Hur snabbt ni kan avvärja ett angrepp beror på hur lång tid det tar att upptäcka det. Se därför till att er SIEM-lösning har snabba och effektiva forensiska analysfunktioner. Dessutom är möjligheten att bygga sökfrågor utan att behöva använda ett särskilt frågespråk ett måste för den SIEM-lösning ni väljer.
  5. Användningsklara och skräddarsydda komponenter
    Även om alla SIEM-lösningar levereras med färdiga auditrapporter, varningsprofiler, korrelationsregler och rapportmallar för efterlevnad kan dessa funktioner vara svåra att använda. Det uppstår alltid ett behov av anpassning för att finjustera tröskelvärden för varningsprofiler, ändra rapportelement och ändra kriterierna för korrelationsregler så att de passar ert nätverk. Se till att den SIEM-lösning ni väljer levereras med både en uttömmande uppsättning fördefinierade komponenter liksom möjligheten att anpassa dem.
  6. Säkerhetssamordning
    Ert SIEM-verktyg bör fungera tillsammans med övriga IT-lösningar i nätverket. Nätverket kan innehålla lösningar som underlättar IT-driften, till exempel övervakningsverktyg som har uppsikt över prestanda och hälsa för klienter och servrar, eller helpdesk-lösning som hjälper till att lösa IT-relaterade frågor. SIEM-lösningen ni väljer bör effektivt kunna ta in och mata ut data till era andra IT-hanteringslösningar. Till exempel bör SIEM-lösningen kunna ta emot varningar om driftstopp i servrar och validera om dessa varningar innebär en DDoS-attack. När SIEM-verktyget identifierar ett angrepp bör det kunna eskalera denna incident till ett ärende i helpdesk och tilldela det en säkerhetsadministratör för effektiv hantering av incidenten.
  7. Prediktiv intelligens
    Den prediktiva intelligensen gör att SIEM-lösningar skiljer sig från andra lösningar för nätverkssäkerhet. Den SIEM-lösning ni väljer bör kunna lägga till verksamhetskontext till händelser i nätverket, kartlägga trender för användare och enheter, identifiera avvikelser från typiska trender och avisera om avvikelser i realtid. Ert SIEM-verktyg bör levereras med regler och algoritmer baserade på maskininlärning som kan identifiera misstänkt beteende i nätverket.

Vill du ha mer tips?

Läs vår e-bok The absolute guide to SIEM för att lära dig mer om hur en SIEM-lösning kan stärka ert nätverksskydd.

I första delen av denna artikelserie diskuterar vi varför organisationer bör införa en SIEM-lösning för att garantera nätsäkerhet. 

The Absolute guide to SIEM  Ladda ner

 

Tobias Wedin

Tobias är Pre Sales Engineer med inriktning på säkerhet på Inuit.

tobias.wedin@inuit.se

Prenumerera på bloggen

Håll koll på senaste nytt genom att prenumerera. Vi levererar nyheterna direkt i din inkorg!