充分利用 SIEM 投资的六个技巧 – 搞英语 → 看世界

埃里克托马斯贡献者

Eric Thomas是Logz.io的安全 GTM 副总裁，Logz.io 是 DevOps 团队的开源可观察性平台。

安全信息和事件管理 (SIEM) 是最成熟的安全软件类别之一，大约在 20 年前首次推出。尽管如此，关于 SIEM 供应商评估和管理的文章却很少。

为了填补这一空白，这里有六个关于采购和实施 SIEM 解决方案以获得最大价值的重要提示。

评估和购买 SIEM 解决方案

SIEM 软件解决方案定价不同：根据客户组织中的员工数量、每秒事件发生率或基于摄取的日志量。重要的是尽早弄清楚这一点，以便大致了解您将随着时间的推移支付多少费用。您还将确定对您的安全运营中心 (SOC) 有意义的各种数据源。

购买 SIEM 是一项巨大的承诺：您和您的组织将需要在未来几年内接受您的决定。

如果您已经有 SIEM，请向供应商提供您当前的用例和消费情况，他们应该能够复制它。如果你不这样做，你需要做一些腿部工作。一个好的起点是评估您将发送到 SIEM 的日志量。通过检查本地存储的“正常”日日志并统计结果，测量每个来源的实际每日日志量。

如果 SIEM 供应商按您的员工人数收费，请当心。这通常是一种通过计算不生成任何相关数据的员工来为 SIEM 收取更多费用的方法。

下一步是进行概念验证 (POC)；这应该是最终实施的起点，而不是独立的固定练习。在此过程中，您的供应商应展示您希望在售后维持的服务水平。以下是在此过程中需要考虑的一些关键问题：

谁将为您的帐户配备人员？理想情况下，供应商将委托熟练的技术人员来执行您的初始评估并进行实施。
您团队中的谁将负责评估的技术领导，谁将最终实施评估？理想情况下，这将是同一个人或一小群人。
购买 SIEM 后，您的路线图下一步是什么？翱翔？客户服务管理委员会？确保您的供应商可以集成广泛的技术。
充分了解供应商的前后端软件架构至关重要。一些自称为“真正的 SaaS”或“云原生”的供应商并非如此。当您不知道幕后发生的事情时，不要将自己锁定在 12 个月的合同中。