Чтобы SIEM выявлял угрозы, он должен понимать, как устроена защищаемая инфраструктура. Для этого нужны инженеры, которые будут постоянно адаптировать SIEM под изменения в сети. Это трудозатратно.
В основе MaxPatrol SIEM которой лежат технологии идентификации и управления IT-активами (security asset management). Благодаря им продукт собирает данные обо всем, что есть в сети и учитывает изменения в ней, делая IT-инфраструктуру прозрачной для оператора ИБ.
Внедрить SIEM сложно и долго. Чтобы получить работающую систему, нужно подготовить инфраструктуру, подключить все важные источники событий, качественно настроить их аудит, регулярно писать правила детектирования угроз и адаптировать их к новым видам атак.
Positive Technologies постоянно упрощает продукт, чтобы развернуть MaxPatrol SIEM, работать с ним и выявлять угрозы мог даже новичок. Например, за последние два года в продукте появились регулярная поставка пакетов экспертизы, чек-лист настройки системы, конструктор правил корреляции и функциональность для быстрого снижения числа ложных срабатываний.
Чтобы SIEM выявлял угрозы, нужна команда экспертов ИБ, которая будет следить за активностью хакеров, писать правила обнаружения угроз. Сформировать команду из таких профессионалов довольно сложно: это высокооплачиваемые и редкие на рынке труда специалисты.
Для построения SOC на основе SIEM и реагирования на выявленные угрозы необходимы организация многочисленных процессов внутри компании, найм и удержание специалистов для круглосуточного мониторинга и реагирования, экспертное расследование инцидентов.
MaxPatrol SIEM – единственная SIEM, с использованием которой компания Софтлайн оказывает сервис SOC по гибридной* схеме, когда SIEM располагается на территории обслуживаемой компании, а инфраструктура SOC с командами реагирования и расследования – в Софтлайн.
*кроме гибридной схемы возможна облачная схема оказания сервиса SOC, полностью базирующаяся в инфраструктуре Софтлайн
Positive Technologies постоянно пополняет базу знаний MaxPatrol SIEM новыми способами детектирования угроз, которыми может воспользоваться любой заказчик. Посмотрите, как это работает: