SIEM RFP:新时代的新问题
SIEM RFP在新时代面临着新的问题。传统的安全监控技术已经无法满足最新的威胁。攻击者经过精确设计,可以绕过大多数现有技术的预先构建的规则和固定关联。因此,最佳解决方案应通过结合预先构建的数据视图和临时分析来提供敏捷的威胁响应,以支持和培养安全从业者的想象力和知识。
在选择合适的安全监控技术的过程中,有三个重要的考虑因素:核心技术将以多快的速度过时?RFP 中有多少问题与安全团队实际使用的产品功能有关?选择供应商“X”是否最终会让我看起来很糟糕?这些考虑因素代表了客户购买风险,但在整个 RFP 过程中经常被忽视。这些问题应该浮出水面并讨论早在投标过程开始之前,因为它们对SIEM项目的长期成功有影响。
以下是需要添加到标准列表中的关键问题,以帮助“面向未来”这一重要的购买决策。这些问题可以帮助避免买方在采购过程中和签订合同后感到懊悔。最重要的是,这五个问题解决了由坚定的攻击者组成的不断变化的威胁形势的现实。
1.该解决方案是否帮助我执行“规范统计分析”以帮助确定什么是正常的,什么是不正常的?
2.我是否会花更多的时间将数据导入系统而不是分析数据?
3.该解决方案是否会支持和培养独创性和创造力?
4.该解决方案是否支持 IT 运营、应用程序管理和安全用例的融合?
5.该解决方案能否扩展以应对不断增加的数据量(大数据)的挑战?
这些问题中的每一个都对RFP决策过程至关重要。例如,第一个问题涉及“规范统计分析”,以帮助确定什么是正常的,什么是不正常的。这是数据驱动的方法,以帮助创建数据访问的基线。促进分析以确定什么是正常的,什么是不正常的活动。完成此操作后,下一步是使用统计分析和标准差确定标准异常值。这通常取决于正在监视的内容(或人员)及其对组织的重要性,以及了解业务风险容忍度。