5个步骤实现平稳的SIEM实施

SIEM迁移不必陷入混乱。明智的规划和分阶段部署可以防止坎坷的推出过程，为平稳过渡铺平道路。以下是您的实施路线图。

安全信息和事件管理技术长期以来一直是安全运营中心的基石——收集、关联和集中安全数据，以实现更高效、更有效的威胁检测和事件响应。

SIEM与整个组织的工具、服务和端点集成，并处理大量数据，这使得迁移成为一项重大任务。好消息是，周到和战略性的规划可以在坎坷和平稳的部署之间产生天壤之别。如果您最近购买了SIEM技术或正在购买过程中，让我们来研究一些实施的最佳实践。

关键SIEM部署步骤

虽然每个部署都是独特的，但以下关键步骤在大多数或所有SIEM实施中都是可取的。

SIEM架构包括SIEM依赖并与之交互的所有支持系统。在此阶段，仔细考虑平台当前和未来的性能、弹性和安全需求。

识别并优先考虑组织的顶级SIEM用例，这应为架构决策提供信息。如果您有SIEM本身无法解决的用例，请考虑采用额外的补充技术或方法。例如，如今组织通常将SIEM与其他工具（如SOAR和XDR）结合使用。

在设计SIEM架构和规划其部署时，请注意主要成本和附带成本。可能的意外成本包括以下内容：

由于与SIEM交互的系统数量庞大，规划阶段可能异常复杂。例如，SIEM平台必须与其依赖的所有技术集成以获取信息，包括日志、情报源、漏洞和资产管理系统，以及任何其他提供关键输入的技术。

部署还需要包括SIEM本身所供给的所有技术——例如，安全编排、自动化和响应；端点检测和响应；以及其他事件响应工具。

如果您已有旧版SIEM，则还需要考虑以下事项：

哪些自定义仪表板、配置和工作流需要迁移，以确保连续性并确保重要的安全警报不会遗漏。
您的组织是否需要保留旧版日志数据，例如以满足监管要求或建立性能基线。如果需要，确定旧数据将如何以及在哪里存储——例如，在旧SIEM、新SIEM或第三方数据管理平台中。
除了安全运营之外，是否存在已知或未知的用户，其用例可能会扩大迁移范围并引入额外的挑战。

快速切换到新的SIEM可能导致混乱和困惑，使得几乎不可能 pinpoint 给定问题的原因并及时修复。

因此，最好并行运行旧的和新的SIEM，并逐渐测试更多系统与新平台的集成。在出现任何故障时及时解决。测试SIEM以评估其性能、弹性和安全性。

一个注意事项：在生产环境中长时间运行两个SIEM可能会使员工超负荷。安全领导者需要在有条不紊的部署和高效的部署之间取得平衡。

SIEM需要大量的初始手动配置——并随着时间的推移不断重新配置——以将误报和漏报警报保持在合理水平。创建和完善规则集和过滤器；调优警报、阈值和触发器；以及开发和改进仪表板和报告以满足组织的需求。

理想情况下，这项工作在前面的步骤中开始，并在SIEM接近全面生产推出时结束。培训人员使用和维护新的SIEM。

Karen Scarfone是一位通用网络安全专家，帮助组织通过书面内容传达其技术信息。她合著了网络安全框架2.0，并曾担任NIST的高级计算机科学家。