Gartner:克服SIEM部署失败的通病
2014年8月21日,Gartner发布了一份新的SIEM报告:Overcoming Common Causes for SIEM Deployment Failures。作者是一位刚从HP跳到Gartner的新人Oliver,目前跟Mark Nicolett在一个team。
报告提出了当前SIEM部署失败的6个常见原因:计划不周、范围不清、期望过高、噪声过大、情境不够、资源不足。 原文是:Failure to Plan Before Buying,Failure to Define Scope,Overly Optimistic Scoping,Monitoring Noise,Lack of Sufficient Context,Insufficient Resources。
Oliver表示,尽管SIEM技术在近几年已经大有改观,但当前在Gartner调研过的客户中,依然有20%~30%失败的案例,有的没有达到预期的目标,有的甚至束之高阁。
当然,Oliver在报告中不是贬低SIEM,而是总结了SIEM失败的原因,并认为很多失败其实都是可以避免的。
Oliver提出了解决之道(最佳实践):一套程式化的SIEM规划、选型、采购、部署、实施流程。其实,这套最佳实践也不是什么新理论,一直我也都在宣传。
我的观点:在购买之前,很重要的一点就是客户自身要搞清楚自己想要什么?不是简单的愿望(Vision)和一些虚泛的需要(need),而应该先成立一个项目组,能够involve项目的关键资源和人。然后这个项目组要制定一份较为清晰的项目需求(requirement),包括确定管理的对象(业务、资产、关键设备)——界定范围,设计要实现的典型场景(scenairo)——还是界定范围,找到当前最需要解决也最有可能解决的问题点——依然是界定范围。有了较清晰的需求,就可以进行选型和采购。购买符合需求的产品比购买一个技术先进的产品往往更难。技术先进与否往往容易比较,无论是横向对比,还是产品测试。但评估是否满足自身需求却不易,因为很可能你自己都不知道你自己需要什么?这也凸显了自身需求分析的重要性。在实施阶段,一直要保持一个谨慎的心态,对管理层也要传达一个审慎乐观的信息。一个基本的方法就是根据规划阶段既定的方针路线,逐个落实使用场景和用例。Oliver说在实施的头半年实现5到7个用例就不错了。我认为能实现3个在国内都很棒了。当然,这又回到的项目立项之时,从管理层到执行层是否已经建立好了对SIEM/安管平台项目的正确认知和合理预期。在维护阶段,人是关键因素,我已经说过N遍了,无论如何,好的,一定数量的安全分析师是必不可少的。
看完之后,是否觉得害怕SOC/SIEM?倒也不必,在国内,我一直倡导的最佳实践总结一下就是:
规划阶段——整体规划、分布实施、逐步落实;
建设阶段——技术与服务并重,建设与运维并举;
使用阶段——充分借助外脑,利用代维服务。
Oliver最后说道:不是所有组织都适合上SIEM,这与该组织整体的安全建设成熟度有关。我觉得,这里的成熟度不仅包括物质上的,技术上的,也包括意识上的、机制上的。
Gartner:克服SIEM部署失败的通病相关推荐
- SIEM部署失败的五大原因
TT安全上的这篇文章谈及了SIEM实施的负面问题,指出了四个可能存在的主要原因.实际上,这篇文章源自DarkReading在2010年9月27日发表的这篇文章<Five Reasons SIEM ...
- SIEM部署的几条最佳实践
2010年11月12号,NetworkWorld发表了一篇文章--<SIEM部署的最佳实践>,业界同仁给出了他的一些建议. 这些建议主要是针对Verizon2010年的那个DBIR报告中提 ...
- Xamarin.Android部署失败
Xamarin.Android部署失败 项目编译.生成没有错误信息,并且可以找到生成的APK包,但部署失败.提示信息如下: "apksigner.BAT"已退出,代码为1. 这是由 ...
- IdentityServer4环境部署失败分析贴(一)
前言: 在部署Idv4站点和其客户端在外网时,发现了许多问题,折腾了许久,翻看了许多代码,写个MD记录一下. 1.受保护站点提示错误: Unable to obtain configuration f ...
- 针对github权限导致hexo部署失败的解决方案
针对github权限导致hexo部署失败的解决方案 参考文章: (1)针对github权限导致hexo部署失败的解决方案 (2)https://www.cnblogs.com/xsilence/p/6 ...
- Kubernetes部署失败的10个最常见原因
1. 错误的容器镜像/非法的仓库权限 其中两个最普遍的问题是:(a)指定了错误的容器镜像,(b)使用私有镜像却不提供仓库认证信息.这在首次使用 Kubernetes 或者绑定 CI/CD 环境时尤其棘 ...
- 普元 AppServer 部署时页面提示部署失败,后台报错:Unable to load class org.apache.cxf.ws.policy.AssertionBuilder
[问题] 部署时页面提示部署失败,在server.log中显示异常信息如下: Unable to load class org.apache.cxf.ws.policy.AssertionBuilde ...
- OVF部署失败:找不到文件ds:///vmfs/volumes/uuid/_deviceImage-0.iso原因和解决方法
最近在部署完环境,导出ovf,再导入ovf时,提示找不到文件ds:///vmfs/volumes/uuid/_deviceImage-0.iso 经过查找原因,是因为如果当时使用iso连接虚拟机后,虚 ...
- hp服务器pe系统安装win7系统安装系统安装失败,使用硬盘安装系统出现pGptRestore部署失败怎么解决?...
使用硬盘安装系统出现pGptRestore部署失败怎么解决?最近有不少用户在安装系统的时候都出现了这种问题,那么当我们在安装系统的时候要怎么解决呢?下面小编就为大家讲解一下吧! 操作方法: 首先我们需 ...
最新文章
- html手机端全屏显示和溢出问题
- linux怎么进入gnu grub_十项Linux常识,你知道吗?
- ux和ui_他们说,以UX / UI设计师的身份加入一家初创公司。 他们说,这会很有趣。
- python编程a的x次方_「Python 面试」第四次更新
- 这款能够生成文档的接口测试软件,为什么越来越受欢迎?
- android wifi 问题是什么意思,Android应用开发之wifi连接问题:密码正确但连接时supplicant state返回的是ERROR_AUTHENTICATING...
- 怎么检测mysql查询是否慢_MySQL慢查询查找和调优测试
- 数据库查询之内连接,左连接,右连接
- 使用计算机时应先按,自考试题及答案《计算机应用基础》
- 最大子段和(动态规划算法)
- 天空的颜色 363
- Hive实现同比环比计算
- ARM9开发板Qt环境的搭建
- 【小强推歌】---奥斯卡金曲MP3[下载]
- 厦门大学353卫生综合考研参考书目
- (第五章) UI--PS基础 调色与校色
- java实现生成SVG格式的二维码
- MySQL 数据类型
- 我的自白--道路与梦想
- ajax获取上传文件的类型,ajax上传文件类型