Come progettare la SIEM RFP, tenendo conto dei grandi requisiti del database?

Sembra un buon inizio da una vista in uscita db analizzando i registri. Avrai l'inevitabile compromesso tra prestazioni e quantità di registrazione, quindi dai requisiti numerici reali alla tua richiesta di offerta. Dovresti anche prendere in considerazione l'ambiente attorno al database. Un esempio è la convalida del software che accede al database con la scansione statica eseguita per trovare le vulnerabilità di SQL injection. Un altro è assicurarsi che il SIEM stia anche monitorando i sistemi circostanti in modo che gli eventi possano essere correlati. Il SIEM dovrebbe anche accettare input da strumenti di sicurezza di terze parti.

link ti consiglia di non scrivere un rfp del tutto e suggerimenti se necessario. Quello che mi è particolarmente piaciuto è stato spiegare la missione (es. Compliance vs risk management). Un altro è specifico: le specifiche vaghe avranno risposte "sì" inapplicabili.

Forse sono un po 'in ritardo alla discussione ma qualcuno potrebbe aver bisogno di questo più tardi.

La mia azienda si trova in attività SIEM per 5 anni e abbiamo letto molte richieste di RFP finora. Quello che vorrei sottolineare è che ciò di cui avresti bisogno a lungo termine è sempre la scalabilità, quindi cerca una soluzione che abbia in mente qualche tipo di clustering. Quello di solito significa pianificare i lavori su nodi remoti, il proprio database che supporta alcuni tipi di cluster ragionevoli e rapidi (si prega di evitare mysql e database simili). Inoltre, poiché è possibile che a lungo andare si facciano amministratori di sistema pigri per mantenere attivo il SIEM (questo è il modo in cui di solito viene utilizzato per alcuni anni), cercherò le funzionalità di rilevamento automatico della sorgente del registro e il fornitore che aggiorna regolarmente gli indicizzatori di sicurezza / avviso .