עשרת הדיברות לבחירת שירות ניהול אבטחת מידע ואירועים ושירות מרכז תפעול אבטחה (SIEM - SOC)
1
צורך ארגוני- בדקו את הצרכים שלכם. האם אתם זקוקים לשירות ניהול אבטחת מידע ואירועים (SIEM) כדי לוודא ציות רגולטורי או לצורך חיזוק ההגנה על רשת התקשורת שלכם ולספק לנכסים החיוניים שלכם עוד שכבת הגנה חשובה מפני מתקפות סייבר?
2
מוצרי SIEM - רוב המוצרים המובילים בשוק אבטחת המידע והסייבר, זהים במהותם מבחינת יכולות. ההבדל הוא ברמות המחיר ואיכות השירות. לכן, אחד ההיבטים החשובים ביותר שיש לבדוק הוא איכות ומיומנות האנליסטים במרכז תפעול אבטחת המידע (SOC), אלו אנשי המקצוע העוקבים אחר אירועים ומספקים את התוצרים שאתם מקבלים מהשירות המנוהל שרכשתם.
3
דו"חות ולוחות בקרה - חשוב לבדוק האם הדו"חות שאתם מקבלים מופקים אוטומטית משירות ה-SIEM או נבנים בהתאמה אישית ע"י אנליסטים, במיוחד עבור הדרישות והצרכים שלכם. בנוסף, בדקו האם אתם מקבלים גישה לממשק ה-SIEM ובאילו לוחות בקרה (דשבורד) אתם יכולים לצפות. האם ספק השירות המנוהל יפיק כל דו"ח שתבקשו?
4
כללים וקורלציות (התאמות)- כל מערכת ניהול אבטחת מידע ואירועים (SIEM) מגיעה עם כללים מוכנים ומוגדרים מראש ע"י הספק. אך חשוב לבדוק האם ספק השירות המנוהל שרכשתם יכול ליצור כללים מותאמים אישית עבור הארגון שלכם, בהתבסס על מדיניות הארגון, זרימת התעבורה, ארכיטקטורת הרשת וכיוצא באלו.
5
הטמעת SIEM- מוצרים שונים עשויים לא להיות מתאימים ועשויים ליצור בעיות בחיבור לממשק ה-SIEM. האם לספק השירות המנוהל יש היכולות והידע לחלק ולקטלג מוצרים ב-SIEM? בנוסף, האם שירות ה-SIEM יכול להתממשק לשירותי הענן שלכם?
6
עדכונים / דו"חות שבועיים- האם הדו"חות כוללים מידע תקופתי שוטף לגבי מצב אבטחת המידע בארגון, או האם ספק השירות המנוהל מעדכן רק כאשר מזוהה אירוע אבטחת מידע או סייבר חמור?
7
התרעות (התרעות כוזבות)- בדקו האם אנליסטים חוקרים את ההתרעות והאירועים הקשורים אליהן כדי לבדוק האם ההתרעה כוזבת לפני שמרכז תפעול אבטחת המידע יוצר איתכם קשר או לפני שממשק ה-SOC/SIEM שולח התרעות אוטומטיות. בנוסף לכך, אלו התרעות אתם רוצים לקבל? האם אתם מעוניינים לקבל התרעות נפרדות לגבי פעילויות ברשת, אשר משנות את הנחיות הציות הרגולטורי? או רק התרעות לגבי איומים בדרגת חומרה גבוהה?
8
סביבת SIEM- האם אתם מעוניינים בסביבת ניהול אבטחת מידע ואירועים נפרדת ופרטית או בסביבה מרובת משתמשים (משותפת עם עוד צרכנים ומשתמשים, על אותו שרת)? זה חשוב הן מבחינת סוג והיקף השירות ובנוסף השיקול הכספי לגבי המחיר החודשי שתידרשו לשלם על שירותי SIEM , כל זה יושפע מהסביבה הנבחרת.
9
מיקום ה-SIEM- האם יש השפעה למיקום הגיאוגרפי של מערכת ניהול אבטחת המידע והאירועים? (מיקום בסיס הנתונים של הלוגים הנאספים).
10
תגובה אירועי אבטחה- מומלץ לבדוק האם ספק השירות המנוהל מציע צוות תגובה לאירועים המזוהים, כדי לספק תמיכה ותגובה מיידית לאירועי אבטחת מידע וסייבר וגם כדי לבדוק התאמה לזמני התגובה כפי שהם מפורטים בהסכם תנאי השירות (SLA).