Информационная безопасность. Как работать с SIEM-системой?

https://www.security-bridge.com/forum/oborudovanie_i_po_po_bezopasnosti/informacionnaya_bezopasnost/informatsionnaya_bezopasnost_kiberbezopasnost/#message_46281

Информационная безопасность. Как работать с SIEM-системой?

Максим Якубов, "Газинформсервис"

Так, как же работать с SIEM-системами? Так вот, мы подошли к тому, что все-таки мало купить саму SIEM-систему, мало ее внедрить – ею надо еще и грамотно управлять.

По большому счету работать с SIEM-системой сможет только специалист, но, честно говоря, я не знаю, как долго его хватит на работу под такой нагрузкой.

Для того, чтобы эффективно использовать хотя бы 50% возможностей SIEM-системы, требуется несколько специалистов, это целая команда.

На данном слайде представлены типовые роли.

То есть, администратор - данный специалист с этой ролью - он осуществляет, как вы уже, наверное, догадались, поддержание работоспособности основных компонентов всей SIEM-системы: настройку, управление, восстановление при необходимости.

Авторы разрабатывают сценарии использования SIEM-системы, так называемые кейсы.

Оператор – это, собственно, специалист, который все время сидит у монитора, осуществляет мониторинг событий, которые происходят в IT-структуре в режиме реального времени. 

Error

Anonymous comments are disabled in this journal

default userpic

Your reply will be screened

Your IP address will be recorded