根据最新的451调查,44%的受访者表示,专业知识的缺乏限制了他们充分利用他们的企业,28%的受访者提到了人手不足的问题。
Blackenship说,建立和管理SIEM需要很多专业知识。如果一名员工离开了公司,就会立即产生一个难以填补的空缺。
另外,让人们全天候关注问题也是个大问题。
Blackenship说,购买自己SIEM系统的中型公司可以利用服务提供商在非工作时间为系统提供帮助,或者填补休假、培训或职位空缺时的员工空缺。
他补充说:“而且你可以依靠外部的专业知识。”“这是他们赖以谋生的工作,他们投资于培训员工,保持平台的更新,并提供威胁情报和事件响应等其他服务。”
但越来越多的外部服务提供商正在提供SIEM系统以及相关的管理、监控和取证服务。
当然,当MSSP发现问题时,仍然有一个问题需要解决。
一个公司可以很容易地从被SIEM管理问题淹没到被来自MSSP的警报淹没。
这也是一些供应商正在寻求解决的问题。
例如,在Masergy Communications,当SIEM生成警报时,工程师首先查看日志、扫描、API数据和包数据,以排除误报。根据警报的严重程度,客户可以通过电子邮件或电话得到通知,而Masergy还可以介入并与外围设备进行交互,以阻止攻击。
“我们与客户就我们将如何在某些情况下进行和阻止某些类型的活动进行协商,”克雷格·D’abreo说,他是该公司安全行动的副总裁Masergy通信。
否则,所有补救都在客户端进行,而Masergy只提供有关攻击的取证信息。
但在通信中,Masergy不仅提供了问题的细节,还提供了如何解决问题的指示,并将其发送给客户的帮助台或it部门。
另一家向中型企业提供SIEM服务的公司是Arctic Wolf Networks。
它的客户之一、太阳镜制造商和分销商Costa Del Mar对于传统的SIEM部署来说太小了,但又足够大,需要那样的安全级别。
佛罗里达州代托纳海滩的信息技术总监Glenn Shapanka说:“我们有足够大的用户群,我们肯定需要在我们的系统中活跃这些服务。Costa Del Mar。“但雇人,让24-7小时的监控,对我们来说没有任何意义。”
包括Shapanka本人在内的IT部门有7个人,所以没有足够的人手。由于该公司不想购买和拥有SIEM系统,将整个事情外包是显而易见的选择。
“他们把设备寄给我们,告诉我们在哪里插入,并远程配置,”他说。“他们收集日志,分析日志,反应非常迅速。不仅可以检测不寻常的活动并提醒我们,还可以为我们提供修复建议。”
与Lewiston一样,契约一开始就有一长串需要解决的问题。
在那之后,Costa Del Mar每月都会收到关于新漏洞的报告。
沙潘卡说:“我们堵住了漏洞,降低了风险。”“后来报告变短了,所以我们把报告缩短到每季度一次。如果有紧急情况,我们会接到电话,但我们接到的电话并不多——它们足够聪明,知道什么是真正的问题,什么只是噪音。现在,补救是相当轻松的。”
这个故事“SIEMs-as-a-service解决中小型企业的需求”最初由方案 。