Это сложный вопрос, но определить, какой SIEM лучше всего подходит для большой и сложной инфраструктуры, зависит главным образом от типа отрасли. Например, финансовые учреждения должны соблюдать государственные и отраслевые нормы, такие как FFIEC, GLBA и PCI-DSS. .

Лучшим SIEM для этих учреждений будет тот, который предлагает наиболее полные и автоматизированные возможности соблюдения нормативных требований.

Крупные предприятия сталкиваются с более изощренными угрозами по сравнению с небольшими организациями. У них большая рабочая сила, которая чаще обращается к цифровым ресурсам и с разных устройств. Управление журналами и информацией о безопасности оказывается сложной задачей.

Вручную управлять их мониторингом информации о безопасности и регистрировать события невозможно, поэтому им нужна Автоматизация и Искусственный интеллект.

Лучший SIEM для этой сложной структуры должен либо интегрироваться с платформами расширенной аналитики, такими как UEBA (User Entity Behavioral Analytics), либо применять методы машинного обучения.

Машинное обучение является частью общей области Искусственного интеллекта (ИИ) и может помочь системам безопасности распознавать закономерности и угрозы без предварительных определений, правил или сигнатур атак и с более высокой точностью.

Крупные организации также растут, поэтому идеальный SIEM должен быть гибким и масштабируемым.

Хотя общей тенденцией является переход к облаку, рынок локального программного обеспечения SIEM вырос с 944,00 млн долларов США в 2014 году до 1678,30 млн долларов США в 2019 году при среднегодовом темпе роста 12,20%. Почему?

Эти статистические данные свидетельствуют о том, что многие крупные компании не желают допускать, чтобы инфраструктура безопасности управлялась сторонней стороной.

Этот факт обусловил появление Hybrid SIEM. В гибридных решениях компания SIEM предоставляет облачную SIEM как услугу, а компания-пользователь отвечает за мониторинг, выявление событий безопасности, а также реагирование на угрозы.

Принимая во внимание все эти факты, мы можем сделать вывод, что искомая нами SIEM должна быть гибридной, масштабируемой и интегрировать UEBA (User Entity Behavioral Analytics ), а также хранить и сообщать данные для реагирования на инциденты, судебной экспертизы и соблюдения нормативных требований.

Тем не менее, на современном рынке есть несколько поставщиков, предлагающих SIEM, подходящие для большой и сложной инфраструктуры:

-AlienVault USM (Unified Security Management) — это платформа для обнаружения угроз, реагирования на инциденты и управления соответствием требованиям. Его можно развернуть локально, в облаке или в гибридной среде. Он обеспечивает быстрое развертывание и автоматизирует поиск угроз.

Машинная аналитика -LogRhythm основана на искусственном интеллекте, который анализирует данные в режиме реального времени, обеспечивая расширенный поведенческий и статистический анализ. Его легко развернуть, а встроенный FIM защищает конфиденциальные данные для соответствия требованиям.

-RSA Security Analytics обеспечивает соответствие требованиям и отчеты о тенденциях в автоматизированном процессе с помощью заранее определенных отчетов. Он обеспечивает поддержку долгосрочного криминалистического анализа. Усовершенствованная корреляция событий поддерживает большие объемы данных с анализом вредоносного ПО и сетевого поведения. UEBA оптимизирует сбор и корреляцию данных в режиме реального времени и долгосрочных данных.

Если вы ищете другие статьи, связанные с системой SIEM и кибербезопасностью, посетите этот сайт https://utmstack.com/