Analytická fáze

Analytická fáze

Před pořízením konkrétního nástroje by měla být iniciována analytická fáze, jejíž výstupy nám pomohou z široké nabídky typů a výrobců produktů SIEM vybrat takový, který bude vyhovovat skutečným potřebám vycházejícím z problematiky řízení bezpečnosti informací v naší organizaci. Pro výběr vhodného řešení SIEM potřebujeme znát alespoň přibližně následující parametry.

Počet EPS (events per second) – hodnota vyjadřující, kolik událostí za sekundu generovaných připojenými systémy bude SIEM zpracovávat. Zajímá nás průměrný stav a také hodnota ve špičce. Získané údaje bychom měli navýšit o dostatečnou rezervu určenou pro připojení nových systémů v budoucnu.
Velikost logů za období např. jednoho dne – tato hodnota nám pomůže určit velikost úložiště potřebného pro ukládání a archivaci normalizovaných (metadatových) a surových (raw) logovacích záznamů po požadované časové období (např. jednoho roku) vyplývající z retenční politiky.
Počet a typ zařízení (operačních systémů, databází, aplikací, síťových prvků apod.), ze kterých chceme sbírat logy – důležité je určit systémy, které jsou nativně podporovány konkrétními produkty SIEM a současně identifikovat ty, pro které bude nutné vytvořit tzv. parsery (definice pro normalizaci logovacích záznamů), alerty a reporty vlastními silami. Při výběru zařízení pro napojení do SIEM bychom se měli řídit úrovní jejich kritičnosti ideálně vyplývající z procesu analýzy rizik.
Uveďme ještě další otázky, které bychom si měli zodpovědět před výběrem konkrétního řešení SIEM.

Na základě jakých standardů či norem budeme generovat reporty pro účely auditu? V českém prostředí je nejvíce využívanou normou ISO/IEC 27001. Mezi další běžné standardy patří např. PCI DSS, HIPAA či SOX.
Požadujeme, aby SIEM fungoval v režimu HA (vysoké dostupnosti)? Pokud ano, pak musíme počítat s dodatečnými, a to až dvojnásobnými, náklady za celé řešení.
Součástí analytické fáze může být také nasazení SIEM v režimu tzv. proof of concept, který spočívá v možnosti otestovat si konkrétní typ nástroje v reálném prostředí výpočetní infrastruktury organizace.