Come progettare la SIEM RFP, tenendo conto dei grandi requisiti del database?

3

Ho bisogno di aiuto per quanto riguarda la progettazione dei requisiti SIEM. Per quanto riguarda i grandi database, quali sono i requisiti generali che devo fornire per fornire una copertura relativa alla sicurezza dei DB?

Alcuni dei casi d'uso che posso pensare sono:

  1. uso di ruoli / account di privilegi DBA, sysadmin
  2. Accesso non autorizzato a determinate viste / tabelle
  3. Rapporto sulla cancellazione / aggiunta di alcune voci della tabella db rispetto ad una determinata politica basata sul tempo (data / ora: xx-xx-2012 / xx: yy: zzzz)
  4. Invio dell'avviso in base al criterio di base della manomissione della sicurezza?
  5. In grado di registrare i dati / le voci effettuate da determinati cambiamenti dannosi?
  6. In grado di identificare gli attributi di servizio / applicazione che disegna istruzioni SQL.

Sono sufficienti o ne aggiungo di più?

    
posta Saladin 09.09.2012 - 10:23
fonte

2 risposte

3

Sembra un buon inizio da una vista in uscita db analizzando i registri. Avrai l'inevitabile compromesso tra prestazioni e quantità di registrazione, quindi dai requisiti numerici reali alla tua richiesta di offerta. Dovresti anche prendere in considerazione l'ambiente attorno al database. Un esempio è la convalida del software che accede al database con la scansione statica eseguita per trovare le vulnerabilità di SQL injection. Un altro è assicurarsi che il SIEM stia anche monitorando i sistemi circostanti in modo che gli eventi possano essere correlati. Il SIEM dovrebbe anche accettare input da strumenti di sicurezza di terze parti.

link ti consiglia di non scrivere un rfp del tutto e suggerimenti se necessario. Quello che mi è particolarmente piaciuto è stato spiegare la missione (es. Compliance vs risk management). Un altro è specifico: le specifiche vaghe avranno risposte "sì" inapplicabili.

    
risposta data 10.09.2012 - 00:01
fonte
0

Forse sono un po 'in ritardo alla discussione ma qualcuno potrebbe aver bisogno di questo più tardi.

La mia azienda si trova in attività SIEM per 5 anni e abbiamo letto molte richieste di RFP finora. Quello che vorrei sottolineare è che ciò di cui avresti bisogno a lungo termine è sempre la scalabilità, quindi cerca una soluzione che abbia in mente qualche tipo di clustering. Quello di solito significa pianificare i lavori su nodi remoti, il proprio database che supporta alcuni tipi di cluster ragionevoli e rapidi (si prega di evitare mysql e database simili). Inoltre, poiché è possibile che a lungo andare si facciano amministratori di sistema pigri per mantenere attivo il SIEM (questo è il modo in cui di solito viene utilizzato per alcuni anni), cercherò le funzionalità di rilevamento automatico della sorgente del registro e il fornitore che aggiorna regolarmente gli indicizzatori di sicurezza / avviso .

    
risposta data 28.07.2013 - 16:57
fonte

Leggi altre domande sui tag