Fazy wdrożenia SIEM

Implementację systemów SIEM należy podzielić na fazy. Niewątpliwie najważniejszy jest etap analizy potrzeb. To tutaj określa się podstawowe cele do osiągnięcia, a na tej podstawie źródła, które zasilą system informacją, czy scenariusze korelacyjne, których materializacja doprowadzi do powstania incydentu. Tutaj wreszcie inicjuje się proces obsługi incydentów. Etap przygotowawczy z reguły traktowany jest po macoszemu i dość często spotykamy się z tzw. pójściem na żywioł. Potem przychodzi rozczarowanie. Istnieje duża szansa, że wyniki badania, które przeprowadziła niedawno firma eIQnetworks znajdują swoją przyczynę w zaniedbaniach poczynionych w tej właśnie fazie.

Patrząc od strony praktycznej, opierając się na doświadczeniu autora, pokusiliśmy się o wyróżnienie kilku najważniejszych etapów fazy przygotowawczej, nad którymi warto zapanować:

• FAZA: analiza potrzeb i przygotowanie do implementacji:

• Określenie celów - przypadków użycia

• Cel główny: wybór właściwej technologii/dobór funkcjonalności rozwiązania

• Oszacowanie skali:

• Cel główny: dobór właściwych parametrów technicznych rozwiązania, w tym:

• Zaprojektowanie architektury rozproszonej geograficznie (jeśli konieczne)

• Określenie wąskich gardeł np.

• identyfikacja źródeł danych generujących wolumen zdarzeń przekraczający możliwości komponentu zbierającego

• identyfikacja źródeł danych zlokalizowanych w odseparowanych segmentach sieci, gdzie konieczne staje się szczegółowe zarządzanie pasmem niezbędnych przekazania zdarzeń

• przestrzeni na dane

• konieczne określenie wymaganego czasu retencji

• określenie liczby oddzielnych repozytoriów zdarzeń - o ile takie podejście będzie konieczne i/lub możliwe do zrealizowania w danym rozwiązaniu

• Określenie źródeł informacji

• Cel główny: przeprowadzenie studium wykonalności, w tym oszacowanie możliwości podłączenia wymaganych źródeł informacji. Kluczowe będzie poprawne zidentyfikowanie wszystkich tzw. niestandardowych źródeł danych

• Przegląd procesów w organizacji, w które włączony zostanie system SIEM, a w szczególności proces obsługi incydentów

• Cel główny: uwzględnienie możliwości modyfikacji procesów w związku z toczącym się projektem

• Określenie struktury zarządzania rozwiązaniem:

• Cel główny: zaprojektowanie mechanizmu RBAC

• Przygotowanie listy oczekiwanych raportów i uzyskanie próbki z każdego z badanych rozwiązań

• Cel główny: określenie możliwości raportujących w interesujących nas obszarach

Zdecydowanie warto również pochylić się nad wyborem dostawcy. I to nie tylko od strony oferowanej technologii - ta w topowych narzędziach jest porównywalna (decydują konkretne przypadki użycia), ale przede wszystkim kompetencji wdrażającego. W naszych realiach normą jest, że organizacje poszukujące SIEM-a mają problem ze zdefiniowaniem najbardziej pożądanych przypadków testowych. Tutaj bezcenna jest wiedza (poparta doświadczeniem w boju) integratora.