Новый взгляд на SIEM-системы
#SIEM #SecurityInformationandEventManagement #AMLIVE
Запись прямого эфира онлайн-конференции AM Live (https://www.anti-malware.ru), проходившей 15 сентября 2021 года, на которой эксперты поговорили о функциональных возможностях SIEM-систем и их ключевых отличиях.
Модератор:
• Алексей Лукацкий, бизнес-консультант по безопасности Cisco
Участники:
• Антон Фишман, технический директор RuSIEM
• Евгения Лагутина, технический эксперт Micro Focus в России, СНГ и Восточной Европе
• Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ»
• Евгений Бударин, руководитель отдела предпродажной поддержки «Лаборатории Касперского»
• Олег Бакшинский, ведущий советник по вопросам информационной безопасности IBM в России и СНГ
• Павел Кузнецов, заместитель управляющего директора по технологиям кибербезопасности Positive Technologies
• Максим Жевнерев, ведущий аналитик отдела развития технологий и перспективных услуг Solar JSOC, «Ростелеком-Солар»
00:00:00 — Интро
00:01:03 — Открытие встречи и представление экспертов
00:02:37 — Рынок SIEM находится в стагнации?
00:10:27 — Чем обусловлен интерес к самописным SEIM-решениям?
00:16:56 — Есть ли давление на крупных вендоров со стороны новых игроков рынка?
00:22:04 — Результаты опроса и вопрос слушателя об альтернативах SIEM
00:25:12 — SIEMaaS в России
00:37:59 — Есть ли в России услуга по профессиональной работе с SIEM (Managed SIEM)?
00:45:16 — Сценарии применения SIEM помимо обеспечения безопасности
00:58:35 — Самописный, опенсорсный или коммерческий SIEM — куда идти?
01:03:34 — Как связать коммерческий SIEM и личные самописные наработки?
01:14:32 — Кто будет писать контент для обнаружения в платном SIEM?
01:23:40 — Результаты опроса и вопрос слушателя о сценариях использования
01:31:16 — Работает ли SIEM с потоками помимо дискретных событий?
01:35:58 — Как лицензируется SIEM?
01:47:43 — Вопрос Максима Жевнерева к коллегам о пиковой нагрузке на SIEM
01:52:36 — Какие жёсткие диски рекомендуются и как решается вопрос масштабирования?
02:02:17 — Вопрос слушателя о синхронизации SIEM между часовыми поясами
02:06:36 — Вопрос слушателя о контейнеризации SIEM и оптимизации ядра
02:12:00 — Встроенные возможности реагирования и результаты опроса
02:17:54 — Борьба с ложными срабатываниями и обогащение контента SIEM
02:33:32 — Исследовательские подразделения и компетенции вендоров SIEM
02:50:13 — Как заказчику протестировать SIEM перед покупкой?
03:06:13 — Результаты финального опроса и закрытие встречи
Ключевые вопросы:
1. Ситуация на рынке SIEM в России
• Какие задачи информационной безопасности решает современная SIEM-система?
• Кто и почему покупает SIEM-системы?
• Как меняются требования заказчиков к SIEM-системам?
• Умер ли SIEM в его первоначальном смысле?
• Что отличает NG SIEM (новое поколение SIEM)?
• SIEM без XDR, SOAR, SOC – деньги на ветер?
• Кому точно не нужна SIEM-система?
• Можно ли применять SIEM за пределами ИБ, какие сценарии существуют?
• Почему так много SIEM-систем, их так легко разрабатывать?
• Сравнима ли функциональность российских и зарубежных SIEM?
• Насколько важна сертификация SIEM-системы?
2. Разбираемся в функциональности SIEM-систем
• Есть ли разница в поддержке источников у популярных SIEM-систем?
• Как получить недостающий коннектор и часто ли с этим сталкиваются заказчики?
• Какие существуют различия в возможностях сбора и обработки событий?
• Насколько важны правила корреляции из коробки?
• Каковы методики уменьшения уровня ложных срабатываний?
• Насколько правильно коррелировать события в SIEM на базе матрицы MITRE ATT&CK?
• Каким образом можно применять машинное обучения в SIEM-системах?
• Зачем нужна ретроспективная корреляция событий?
• Что нужно от SIEM-системы для взаимодействие с НКЦКИ?
• Какая требуется интеграция с другими системами ИБ?
• Какую производительность и масштабируемость нужно требовать у производителей SIEM?
3. Внедрение SIEM-системы
• Как правильно тестировать функциональность SIEM-системы на этапе выбора?
• Как проверить реальную производительность SIEM, что нам скажет цифра EPS?
• Как можно сэкономить на внедрении SIEM-системы?
• Как продемонстрировать бизнесу экономическую эффективность внедрения SIEM?
• Сколько специалистов необходимо для эффективной работы с SIEM-системой?
4. Прогноз развития рынка SIEM-систем
• Что ожидает рынок в перспективе 2-3 года?
• Каковы перспективы SIEM из облака?
• Останутся ли отдельные SIEM-системы или они станут частями комплексных платформ управления ИБ?
• Может ли SIEM-система быть конкурентным преимуществом коммерческого SOC?
Записи других прямых эфиров AM Live
https://www.youtube.com/playlist?list=PLMyADXEr8l19SrdjCpwbIS1_QRpbzPSrh
Подписывайтесь на наш канал
https://www.youtube.com/channel/UCx16UjO5X3uQc9g6RMEH9Mw?sub_confirmation=1
Присоединяйтесь к нам в соцсетях!
https://t.me/anti_malware
https://www.facebook.com/antimalwareru/
https://twitter.com/Anti_Malware
https://vk.com/anti_malware
Видео Новый взгляд на SIEM-системы канала AM Live
Запись прямого эфира онлайн-конференции AM Live (https://www.anti-malware.ru), проходившей 15 сентября 2021 года, на которой эксперты поговорили о функциональных возможностях SIEM-систем и их ключевых отличиях.
Модератор:
• Алексей Лукацкий, бизнес-консультант по безопасности Cisco
Участники:
• Антон Фишман, технический директор RuSIEM
• Евгения Лагутина, технический эксперт Micro Focus в России, СНГ и Восточной Европе
• Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ»
• Евгений Бударин, руководитель отдела предпродажной поддержки «Лаборатории Касперского»
• Олег Бакшинский, ведущий советник по вопросам информационной безопасности IBM в России и СНГ
• Павел Кузнецов, заместитель управляющего директора по технологиям кибербезопасности Positive Technologies
• Максим Жевнерев, ведущий аналитик отдела развития технологий и перспективных услуг Solar JSOC, «Ростелеком-Солар»
00:00:00 — Интро
00:01:03 — Открытие встречи и представление экспертов
00:02:37 — Рынок SIEM находится в стагнации?
00:10:27 — Чем обусловлен интерес к самописным SEIM-решениям?
00:16:56 — Есть ли давление на крупных вендоров со стороны новых игроков рынка?
00:22:04 — Результаты опроса и вопрос слушателя об альтернативах SIEM
00:25:12 — SIEMaaS в России
00:37:59 — Есть ли в России услуга по профессиональной работе с SIEM (Managed SIEM)?
00:45:16 — Сценарии применения SIEM помимо обеспечения безопасности
00:58:35 — Самописный, опенсорсный или коммерческий SIEM — куда идти?
01:03:34 — Как связать коммерческий SIEM и личные самописные наработки?
01:14:32 — Кто будет писать контент для обнаружения в платном SIEM?
01:23:40 — Результаты опроса и вопрос слушателя о сценариях использования
01:31:16 — Работает ли SIEM с потоками помимо дискретных событий?
01:35:58 — Как лицензируется SIEM?
01:47:43 — Вопрос Максима Жевнерева к коллегам о пиковой нагрузке на SIEM
01:52:36 — Какие жёсткие диски рекомендуются и как решается вопрос масштабирования?
02:02:17 — Вопрос слушателя о синхронизации SIEM между часовыми поясами
02:06:36 — Вопрос слушателя о контейнеризации SIEM и оптимизации ядра
02:12:00 — Встроенные возможности реагирования и результаты опроса
02:17:54 — Борьба с ложными срабатываниями и обогащение контента SIEM
02:33:32 — Исследовательские подразделения и компетенции вендоров SIEM
02:50:13 — Как заказчику протестировать SIEM перед покупкой?
03:06:13 — Результаты финального опроса и закрытие встречи
Ключевые вопросы:
1. Ситуация на рынке SIEM в России
• Какие задачи информационной безопасности решает современная SIEM-система?
• Кто и почему покупает SIEM-системы?
• Как меняются требования заказчиков к SIEM-системам?
• Умер ли SIEM в его первоначальном смысле?
• Что отличает NG SIEM (новое поколение SIEM)?
• SIEM без XDR, SOAR, SOC – деньги на ветер?
• Кому точно не нужна SIEM-система?
• Можно ли применять SIEM за пределами ИБ, какие сценарии существуют?
• Почему так много SIEM-систем, их так легко разрабатывать?
• Сравнима ли функциональность российских и зарубежных SIEM?
• Насколько важна сертификация SIEM-системы?
2. Разбираемся в функциональности SIEM-систем
• Есть ли разница в поддержке источников у популярных SIEM-систем?
• Как получить недостающий коннектор и часто ли с этим сталкиваются заказчики?
• Какие существуют различия в возможностях сбора и обработки событий?
• Насколько важны правила корреляции из коробки?
• Каковы методики уменьшения уровня ложных срабатываний?
• Насколько правильно коррелировать события в SIEM на базе матрицы MITRE ATT&CK?
• Каким образом можно применять машинное обучения в SIEM-системах?
• Зачем нужна ретроспективная корреляция событий?
• Что нужно от SIEM-системы для взаимодействие с НКЦКИ?
• Какая требуется интеграция с другими системами ИБ?
• Какую производительность и масштабируемость нужно требовать у производителей SIEM?
3. Внедрение SIEM-системы
• Как правильно тестировать функциональность SIEM-системы на этапе выбора?
• Как проверить реальную производительность SIEM, что нам скажет цифра EPS?
• Как можно сэкономить на внедрении SIEM-системы?
• Как продемонстрировать бизнесу экономическую эффективность внедрения SIEM?
• Сколько специалистов необходимо для эффективной работы с SIEM-системой?
4. Прогноз развития рынка SIEM-систем
• Что ожидает рынок в перспективе 2-3 года?
• Каковы перспективы SIEM из облака?
• Останутся ли отдельные SIEM-системы или они станут частями комплексных платформ управления ИБ?
• Может ли SIEM-система быть конкурентным преимуществом коммерческого SOC?
Записи других прямых эфиров AM Live
https://www.youtube.com/playlist?list=PLMyADXEr8l19SrdjCpwbIS1_QRpbzPSrh
Подписывайтесь на наш канал
https://www.youtube.com/channel/UCx16UjO5X3uQc9g6RMEH9Mw?sub_confirmation=1
Присоединяйтесь к нам в соцсетях!
https://t.me/anti_malware
https://www.facebook.com/antimalwareru/
https://twitter.com/Anti_Malware
https://vk.com/anti_malware
Видео Новый взгляд на SIEM-системы канала AM Live
Показать
Комментарии отсутствуют
Информация о видео
Другие видео канала
Максим Бронзинский, «РТК-Солар»: особенности Vulnerability Management и подходы к его организации
DCAP: Управление доступом к неструктурированным данным
Что дает сертификат ФСТЭК?
Выбор российской SIEM-системы | Анонс AM Live
Анонс онлайн-конференции «Системы XDR» (31 марта (среда) в 11:00)
Импортонезависимая кибербезопасность в России: мифы и реальность
Анонс конференции: "AM Camp: Национальная платформа кибербезопасности"
Что такое экосистемы продуктов и сервисов? Какова зрелость экосистем кибербезопасности в России?
Технологии и продукты оснащения SOC: version 2023 / Анонс
Александр Веселов, «Ростелеком-Солар»: как выглядит услуга «Ростелеком-Солар», в чём её преимущество
Автоматизация процессов информационной безопасности предприятия | Анонс AM Live
Какими инструментами пользуются расследователи киберинцидентов?
Самый надежный способ взлома
Два способа создавать новые продукты
Анонс онлайн-конференции «Выбор Web Application Firewall (WAF)» (12 мая (среда) в 11:00)
Команда звезд или звездная команда?
Контроль и защита неструктурированных данных
Open Source в сетевых песочницах (Network Sandbox)?
Как выбрать лучший Web Application Firewall в 2023 году / Анонс
Кибербезопасность промышленных предприятий / АСУ ТП/ Анонс AM Live
AM Camp: Summer 2021. Изменение карты рисков кибербезопасности (пленарная дискуссия)