2同行回答
必须考虑的问题:
项目范围 – A. 整个企业,还是总部或者某个分公司,或是某个具体系统。B. 希望通过SIEM可以实现哪些威胁监控目标 C. 需要接入哪些日志或者网络流量
实施周期 – 多久完成系统建设上线?多久完成主要日志接入?多久完成威胁用力设计和规则上线?多久完成系统优化并投入日常运维?
人力和资金 – 这个是关键。主要取决高层对这个项目的看法。
产品选型 – 是否有充足的实施案例和支持人员?是否有快速部署并达到基本目标的能力?是否有良好的可扩展性?
我实际中主要碰到的限制在于人力较少和实施周期较短上。毫无疑问放弃开源自建方案选择商用方案,实际选择过程中着重考量了方案的快速部署能力和可扩展性。缺点主要是商用产品可定制能力较差,有经验的支持人员较少,解决故障响应周期较长。往往碰到故障的时候,需要自己摸索解决。
收起从企业安全建设同行业间多次交流来看,SIEM不是万能的,不要过多迷信于采购、建设SIEM平台后即可以实现安全能力的全部整合,对于攻击事件能够做到实时响应。一定要结合企业自身IT能力的成熟度、SIEM产品本身在同行业的案例能力、厂商技术支撑人员能力、金融机构企业的安全文化、以及人员投入等等,会有不同的结果而产出,是需要以上多维度的容和的满足才可行,这里面重要要考量的就是投入问题,包含人、财、物的投入,组织机构的资源倾斜能力和组织流程的变化,职责和内部管理流程的变化。
SIEM比较重视后期的持续运营,如果后续运营资源无法持续跟进,一方面会将前期的各类投入作为沉默成本,另一方面运营SIEM本身增加日常运维工作量,但很难产生效果,所以如何更好的在企业中使用和运维,是个现实问题。