信息安全专家分享了成功实现SIEM的4个技巧。
1.首先要对安全事件有基本的了解。“在选择工具之前,你必须做一个风险评估,以知道你需要什么。看看你所处环境中的每一个事件,问问它是否正常,然后在一定的时间范围内临界值是多少,”宾夕法尼亚州特雷沃斯市TruMark金融信贷联盟的基础设施和信息安全副总裁马特·罗德尔说。此外,他说,你要确保了解自己的警报和缓解策略。跳过此步骤将使您的安全信息和事件管理(SIEM)产品变得无用,他补充道。(比较SIEM产品。)
本文是《安全趋势观察》特刊的一部分,以PDF格式出版。现在下载。
2.不要贪多嚼不烂。富国银行(Wells Fargo Bank)位于亚利桑那州钱德勒(Chandler)的高级信息安全工程师丹尼斯•海因(Denis Hein)表示,关于IT部署的“慢慢开始”建议绝对适用于SIEM。“首先,将产品放在公司内部进行测试。它在纸上的样子与在你的环境中运行是完全不同的,”他说。接下来,解决周边安全问题,他建议:“保持保守,以确保在扩展和增加更多端点时能够坚持下去。”
3.建立一个处理警报的系统。高德纳(Gartner)首席研究分析师凯利•卡瓦纳(Kelly Kavanagh)表示:“如果你还没有处理日志的流程,那么SIEM将无法改善你的安全状况。”他补充说,除非你在部署前有一个适当的计划,否则你肯定会浪费你的SIEM投资。
4.确保高管参与其中。芝加哥金融服务巨头荷兰银行(ABN AMRO)信息安全业务全球主管阿伦•麦克米兰(Arlan McMillan)表示:“正确定义你的任务,并让你的高管们予以认可。”“IT团队将不得不跨越内部组织边界,以确保敏感或机密日志的安全,因此在开始部署之前,您需要清楚地安排所有治理问题。”
——桑德拉Gittlen