I sistemi di cybersecurity coinvolgono molte tecnologie e possono essere costruiti con varie opzioni, ma le grandi aziende dovrebbero implementare una soluzione di gestione delle informazioni e degli eventi di sicurezza (SIEM) per aumentare la sicurezza complessiva del sistema.

Un SIEM è una soluzione software progettata per documentare l'attività di rete, memorizzare i log di sicurezza e scoprire eventi di sicurezza. La tecnologia è un componente centrale di molti sistemi operativi di cybersecurity ed è incredibilmente utile per memorizzare informazioni di rete e gestire incidenti di sicurezza.

Poiché i sistemi di cybersecurity sono altamente complessi, specialmente per le imprese, gli strumenti possono essere difficili da definire, implementare e infine distribuire. Questa guida passo-passo aiuterà i team che stanno considerando un nuovo SIEM a documentare correttamente l'implementazione.

L'implementazione di ogni azienda sarà diversa, ma questi passaggi sono cruciali per un'efficace performance dopo la distribuzione. Le seguenti quattro aree chiave sono una parte importante della pianificazione di un'implementazione completamente integrata e di un processo di transizione.

Migliori pratiche per l'implementazione di SIEM

1. Definire il progetto e i requisiti

Il primo passo per avviare un processo di implementazione SIEM è pianificare la timeline del progetto. Questo comporta delineare l'ambito del progetto insieme alle risorse informative, di bilancio e fisiche necessarie. Qui, le aziende dovrebbero definire i loro obiettivi e identificare tutte le risorse necessarie.

La maggior parte delle aziende ha obiettivi simili, tutti relativi alla costruzione di un sistema di gestione della sicurezza di rete centralizzato al punto di un nuovo SIEM. Le aziende devono stabilire regole di base, identificare i requisiti di conformità e politica necessari e strutturare il loro piano di gestione SIEM post-implementazione.

I prodotti SIEM richiedono connessioni a praticamente tutta la vostra infrastruttura di rete e ai beni software per prestazioni ottimali, quindi definire le fonti di log è un buon punto di partenza. I log provengono da diverse località all'interno della rete della vostra azienda.

Questi sono alcuni componenti di base che la maggior parte delle aziende include mentre definisce i requisiti SIEM e le fonti di log:

2. Ricercare i prodotti

La ricerca dei prodotti è un passaggio che ogni azienda affronta in modo unico. Ci sono tre principali risorse informative da considerare prima di prendere una decisione finale su un SIEM per la vostra azienda.

Analisi dei fornitori — L'analisi dei fornitori viene tipicamente condotta in due o tre modi. Il primo è attraverso l'utilizzo delle informazioni dai fornitori stessi. Un numero di risorse online, così come i motori di ricerca stessi, possono aiutare a identificare rapidamente i principali fornitori di SIEM. Le aziende possono quindi contattare il fornitore per ulteriori informazioni relative alla loro situazione specifica.

Le società di analisi del software e i test empirici possono anche essere utilizzati come risorse per la valutazione. I fornitori di servizi di ricerca e test producono approfondimenti sui mercati e sugli strumenti. Tuttavia, bisogna essere cauti, poiché alcuni di questi fornitori potrebbero mancare di trasparenza nei loro criteri di valutazione e classificazione.

Recensioni dei prodotti — I siti di recensioni come G2 sono ottimi posti per leggere resoconti di prima mano degli strumenti SIEM utilizzati nel mondo reale. Le aziende possono facilmente visitare la categoria SIEM di G2 e vedere i prodotti che variano in popolarità e soddisfazione. Forniamo anche valutazioni per le singole funzionalità e informazioni relative al ruolo dell'utente, alla dimensione dell'azienda e all'industria.

Valutazione del caso d'uso — Valutare il caso d'uso in relazione alla vostra azienda richiederà probabilmente la comunicazione con i fornitori nella vostra lista ristretta di potenziali prodotti. Molti di loro forniranno scenari specifici per l'industria, studi di caso e dimostrazioni del prodotto su richiesta.

I team che soddisfano tutti e tre i requisiti usciranno con una lista di potenziali prodotti. Questa lista renderà più facile scegliere una soluzione basata su come ogni strumento soddisferebbe o meno i requisiti che hanno già delineato e le risorse che hanno a disposizione.

3. Pianificazione dell'implementazione

Una volta selezionato un prodotto, delineare una serie di procedure di implementazione per garantire una transizione fluida ed efficace. Questi sono alcuni componenti da includere nel vostro piano.

Progettare l'architettura — Diagrammare tutte le fonti di dati relative alle fonti di log e agli input di dati. Distribuire i collettori di informazioni per garantire che tutte le fonti di log siano connesse. Oltre all'aggregazione dei dati da tutti i dispositivi connessi, i sistemi SIEM integrano sia i dati sulle minacce e le vulnerabilità interni che quelli di terze parti. I sistemi di archiviazione e allerta garantiscono anche la corretta funzionalità dopo la distribuzione.

Creare regole — Assicurarsi che i motori di correlazione funzionino con politiche di base e determinare le regole e le politiche più personalizzate da implementare a lungo termine. Queste regole sono destinate a ottimizzare la documentazione e l'allerta senza danneggiare le prestazioni della rete. Dovrebbero anche essere personalizzate per soddisfare eventuali requisiti di conformità precedentemente delineati.

Definire il processo — Prima della distribuzione, mettere in atto un piano di passaggio per trasferire il controllo dal team di implementazione al team di operazioni di sicurezza o di gestione IT. Regolare in base alle capacità di personale della vostra azienda per garantire che i team possano gestire efficacemente il SIEM in futuro.

Qualsiasi altro processo di gestione a lungo termine dovrebbe essere delineato. Le aziende devono formare il personale sulla gestione generale del SIEM così come sui processi di logging e sui piani di gestione dei dati del loro team. Potrebbe essere necessario regolare per evitare sottodimensionamenti, tassi di logging ingestibili e problemi di capacità di archiviazione.

4. Distribuzione e revisione

Quando la distribuzione diventa una realtà, alcune azioni immediate devono essere intraprese. Ecco su cosa concentrarsi una volta che un nuovo SIEM è stato operativizzato.

Raccolta — Esaminare i sistemi SIEM recentemente implementati per garantire che i dati siano raccolti e crittografati correttamente. A seconda della vostra soluzione, i sistemi basati su agenti dovrebbero essere esaminati e monitorati durante la distribuzione preliminare per garantire che stiano raccogliendo dati correttamente. Coloro che implementano soluzioni senza agenti dovrebbero semplicemente garantire che tutti i punti di monitoraggio stiano comunicando correttamente con il SIEM.

Archiviazione — Una volta che le informazioni vengono raccolte correttamente, i team devono garantire che tutte le attività, i log e gli eventi siano archiviati correttamente. Le aziende che utilizzano sistemi di archiviazione esterni devono assicurarsi che i trasferimenti e le integrazioni siano sicuri e funzionali, che i database siano formattati correttamente e che le informazioni siano interrogabili una volta archiviate.

Test — Testare il sistema per visualizzare i dispositivi connessi e mostrarli a quelli pianificati. Gli utenti possono testare una nuova soluzione SIEM simulando eventi. La modellazione delle minacce e i test simulati dovrebbero essere condotti. Questi imitano le minacce alla sicurezza del mondo reale per verificare che tutte le operazioni siano funzionali. I team dovrebbero anche confrontare i dati sugli eventi correlati e gravi con le loro cifre pre-implementazione.

Una volta completati i processi di test e revisione, i team di implementazione dovrebbero passare la gestione ai team di sicurezza per la gestione a tempo pieno.

Consigli post-implementazione per la gestione del SIEM

Le soluzioni SIEM richiedono aggiornamenti e monitoraggio continui. I team dovrebbero continuare a testare le loro soluzioni contro i tipi più recenti di attacchi. Qualsiasi attività per testare e ridurre i falsi positivi è anche prudente.

I team dovrebbero mantenere il loro SIEM connesso a fonti di dati sulle minacce, come feed di intelligence sulle minacce e honeypot, per garantire che siano preparati a identificare tutti i tipi di minacce emergenti, anche quelle non presenti durante l'implementazione.

Regolazioni e aggiornamenti sono inevitabili, e le politiche probabilmente evolveranno. Il processo di gestione è complicato quanto il processo di implementazione. Se seguite questi passaggi e monitorate continuamente le prestazioni del SIEM, la vostra rete, l'infrastruttura IT e l'azienda nel suo complesso ne trarranno beneficio.