Информационная безопасность. Как работать с SIEM-системой?

Максим Якубов, "Газинформсервис"
Так, как же работать с SIEM-системами? Так вот, мы подошли к тому, что все-таки мало купить саму SIEM-систему, мало ее внедрить – ею надо еще и грамотно управлять.
По большому счету работать с SIEM-системой сможет только специалист, но, честно говоря, я не знаю, как долго его хватит на работу под такой нагрузкой.
Для того, чтобы эффективно использовать хотя бы 50% возможностей SIEM-системы, требуется несколько специалистов, это целая команда.
На данном слайде представлены типовые роли.
То есть, администратор - данный специалист с этой ролью - он осуществляет, как вы уже, наверное, догадались, поддержание работоспособности основных компонентов всей SIEM-системы: настройку, управление, восстановление при необходимости.
Авторы разрабатывают сценарии использования SIEM-системы, так называемые кейсы.
Оператор – это, собственно, специалист, который все время сидит у монитора, осуществляет мониторинг событий, которые происходят в IT-структуре в режиме реального времени.

Давайте общаться: