Eric Thomas adalah wakil presiden keamanan GTM di Logz.io, sebuah platform observasi sumber terbuka untuk tim DevOps.
Informasi keamanan dan manajemen acara (SIEM) adalah salah satu kategori perangkat lunak keamanan yang paling mapan, pertama kali diperkenalkan sekitar 20 tahun yang lalu. Namun demikian, sangat sedikit yang telah ditulis tentang evaluasi dan manajemen vendor SIEM.
Untuk mengisi celah itu, berikut adalah enam tip utama tentang pengadaan dan penerapan solusi SIEM untuk nilai maksimum.
Mengevaluasi dan membeli solusi SIEM
Ukur pembelanjaan Anda
Solusi perangkat lunak SIEM diberi harga berbeda: baik berdasarkan jumlah karyawan di organisasi pelanggan, berdasarkan tingkat kejadian per detik, atau berdasarkan volume log yang diserap. Penting untuk mengetahui hal ini lebih awal untuk mendapatkan gambaran kasar tentang apa yang akan Anda bayar dari waktu ke waktu. Anda juga akan mengidentifikasi berbagai sumber data yang berarti bagi Pusat Operasi Keamanan (SOC) Anda.
Membeli SIEM adalah komitmen besar: Anda dan organisasi Anda harus hidup dengan keputusan Anda untuk tahun-tahun mendatang. Jika Anda sudah memiliki SIEM, berikan kasus penggunaan dan konsumsi Anda saat ini kepada vendor, dan mereka harus dapat mereplikasinya. Jika tidak, Anda harus melakukan sedikit latihan kaki. Titik awal yang baik adalah menilai volume log yang akan Anda kirim ke SIEM. Ukur volume log harian aktual dari setiap sumber dengan memeriksa log yang disimpan secara lokal untuk hari “normal” dan hitung hasilnya.
Jika vendor SIEM mengenakan biaya berdasarkan jumlah karyawan Anda, berhati-hatilah. Ini biasanya merupakan cara untuk menagih lebih banyak untuk SIEM dengan menghitung karyawan yang tidak menghasilkan data yang relevan.
Evaluasi praktik vendor Anda
Langkah selanjutnya adalah melakukan proof-of-concept (POC); ini harus menjadi titik awal untuk implementasi akhir, bukan latihan kalengan yang berdiri sendiri. Selama proses ini, vendor Anda harus menunjukkan tingkat layanan yang ingin Anda pertahankan pascapenjualan. Berikut adalah beberapa pertanyaan kunci untuk dipertimbangkan selama proses ini:
- Siapa yang akan mengelola akun Anda? Idealnya, vendor akan melibatkan staf teknis yang terampil untuk melaksanakan evaluasi awal dan melakukan implementasi.
- Siapa dari tim Anda yang akan memimpin teknis evaluasi, dan siapa yang pada akhirnya akan menerapkannya? Idealnya ini adalah orang yang sama atau sekelompok kecil orang.
- Setelah Anda membeli SIEM, apa rencana Anda selanjutnya? MELONJAK? CSPM? Pastikan vendor Anda dapat berintegrasi dengan berbagai teknologi.
- Sangat penting untuk sepenuhnya memahami arsitektur perangkat lunak front dan backend vendor. Beberapa vendor menyebut diri mereka “SaaS sejati” atau “cloud-native” tidak. Jangan mengunci diri Anda dalam kontrak 12 bulan saat Anda tidak tahu apa yang terjadi di bawah tenda.
Tinggalkan Balasan