安全信息和事件管理(SIEM)设备在企业中得到安全的鸟瞰有价值的,但也有IT安全管理人员需要认识到部署的挑战。
芦苇史密斯LLP,经营四个数据中心和世界各地的约二十几办事处的大型律师事务所,已通过HP的S2020欧洲杯预赛IEM产品的ArcSight的企业级部署的进展。它整合并从防火墙,入侵预防系统,服务器,防病毒,漏洞扫描器,路由器和更多,包括捕获NetFlow数据相关因素输入。该公司越来越网络活动的一个更好的实时画面,而不仅仅是威胁,但服务器可用性,例如。
报告:对SIEM部署的最佳实践
然而,像运动变得更强壮,SIEM有一些“没有痛苦就没有收获”方面。工作已进入正常激活SIEM,根据埃里克Mazurak,在里德·史密斯的网络和安全工程师。
“将会有一个较高的假阳性率,如果你不这样做微调,” Mazurak补充说,“更多的记录你做什么,更多的调整是参与。”基本上,包括获得SIEM接口的透彻理解,并更改外的箱子规则,使SIEM正在最准确的评估就可以了。玛祖卡建议测试驾驶SIEM在生产网络中,同时承诺在购买前。一旦SIEM是,它需要持续的维护,他补充道。
一个SIEM依赖于数据将在不断地从通过收集和“归一化”的信息,因此SIEM可以处理它暹连接器支持的任何来源中流动。如果SIEM厂商已经具备了各种你监视网络资源,这很好,这些软件连接器。但事实并非总是如此。有时你可能要付出SIEM厂商编写连接器,或自己做,你使用支持特定网络或安全产品。所以,重要的是要找出一个SIEM厂商能够支持自定义编码工作。ArcSight可也有一个设备的形式提供SIEM连接器,他补充道。
暹连接器收集和一系列其他产品的“正常化”输入提出了另一个问题,Mazurak指出。这些连接器只要产品本身更新或更改进行更新和改变。因此,了解了SIEM供应商的记录在这样做的,是有信心的供应商将在未来的软件更新的角度来进行这些调整是很重要的。
SIEM有助于解决“太多控制台”的防火墙,IPS等安全监视器,笔记Mazurak的问题。它打破了被孤立的是那些支持安全管理可以有意识。SIEM引入了一种新的关于什么是企业发生的事情的认识。正因为如此,有可能需要一个新的团队建设带来的各种IT支持人员与SIEM协助。
“只是将数据传输到管它需要与团队一起工作,并让他们在暹理解的方式发送数据,” Mazurak说。
SIEM,从理论上讲,也许能够对威胁的自动还是劝响应不够好进行关联和分析。惠普最近宣布它所做的工作,HP ArcSight可集成了HP TippingPoint的IPS执行自动阻断。
里德Smith还没有尝试过在其SIEM部署,但预计这一点自动化响应尝试这种类型的能力,出的未来。