Внедрение SIEM ≠ его эффективная эксплуатация
Автор статьи: Роман Спицын, System Engineer, Presale UserGate
Всем привет!
В последнее время моя работа сосредоточена на проектах, цель которых — максимально расширить охват источников событий, оптимизировать процессы и улучшить состояние уже внедрённых SIEM, VM и других решений, а также запустить изменения в инфраструктуре клиентов, для того чтобы существенно повысить шансы обнаружения и нейтрализации злоумышленников в сети.
«У нас стоит SIEM, но атаку не видели» — одна из самых частых проблем, с которой сталкиваются коллеги, использующие решения этого класса. Внедрение системы анализа событий информационной безопасности (SIEM) — лишь старт, но настоящая ценность появляется, когда система начинает эффективно обнаруживать угрозы и помогать их нейтрализовать. Для этого требуется не просто внедрение, а целая экосистема процессов, компетенций и вовлечённости.
В этой статье я делюсь опытом реализации масштабных проектов по повышению зрелости ИБ, включая сложные кейсы с жёсткими сроками и высокими ожиданиями. Расскажу о типичных ошибках, системных подходах, которые действительно работают.
Короткие рекомендации для тех, кто не любит читать:
Читать далее