Analytická fáze
Před pořízením konkrétního nástroje by měla být iniciována analytická fáze, jejíž výstupy nám pomohou z široké nabídky typů a výrobců produktů SIEM vybrat takový, který bude vyhovovat skutečným potřebám vycházejícím z problematiky řízení bezpečnosti informací v naší organizaci. Pro výběr vhodného řešení SIEM potřebujeme znát alespoň přibližně následující parametry.
Počet EPS (events per second) – hodnota vyjadřující, kolik událostí za sekundu
generovaných připojenými systémy bude SIEM zpracovávat. Zajímá nás průměrný stav
a také hodnota ve špičce. Získané údaje bychom měli navýšit o dostatečnou
rezervu určenou pro připojení nových systémů v budoucnu.
Velikost logů za
období např. jednoho dne – tato hodnota nám pomůže určit velikost úložiště
potřebného pro ukládání a archivaci normalizovaných (metadatových) a surových
(raw) logovacích záznamů po požadované časové období (např. jednoho roku)
vyplývající z retenční politiky.
Počet a typ zařízení (operačních systémů,
databází, aplikací, síťových prvků apod.), ze kterých chceme sbírat logy –
důležité je určit systémy, které jsou nativně podporovány konkrétními produkty
SIEM a současně identifikovat ty, pro které bude nutné vytvořit tzv. parsery
(definice pro normalizaci logovacích záznamů), alerty a reporty vlastními
silami. Při výběru zařízení pro napojení do SIEM bychom se měli řídit úrovní
jejich kritičnosti ideálně vyplývající z procesu analýzy rizik.
Uveďme ještě
další otázky, které bychom si měli zodpovědět před výběrem konkrétního řešení
SIEM.
Na základě jakých
standardů či norem budeme generovat reporty pro účely auditu? V českém prostředí
je nejvíce využívanou normou ISO/IEC 27001. Mezi další běžné standardy patří
např. PCI DSS, HIPAA či SOX.
Požadujeme, aby SIEM fungoval v režimu HA
(vysoké dostupnosti)? Pokud ano, pak musíme počítat s dodatečnými, a to až
dvojnásobnými, náklady za celé řešení.
Součástí analytické fáze může být také
nasazení SIEM v režimu tzv. proof of concept, který spočívá v možnosti otestovat
si konkrétní typ nástroje v reálném prostředí výpočetní infrastruktury
organizace.