从写作开始,我花了短短的时间(12个月;)。他专注于解决一组企业客户的单个用例。 随着来自非常满意的客户的订单即将来临,我认为现在是时候分享我们在过去两年中构建内部网络安全软件Promithius所学到的知识了。
首先,我要说明一个显而易见的事实-企业SOC(安全运营中心)喜欢SIEM提供的集中化和自定义报告功能。 但是SIEM旨在解决“哑数据”问题。 处理NetFlow,来自网络内部源(交换机/路由器)的日志,这些源在智能识别行为和威胁方面的能力有限。 因此,SIEM必须通过处理各种源(端点,内部网络设备,边缘设备等)中的数据来完成所有工作,并且已成为内部(东西方)安全威胁跟踪的首选解决方案和发病反应。
- 蓝光仍然值得抢购
- Me encantan los servicios流
- San Junipero怀旧。 《黑镜》专辑精选
- Cinco系列不可思议的物品
- Um nome a ser eternamente lembrado:Franca Sozzani
但是,SOC用户对他们的SIEM并不完全满意,我们经常听到的最大抱怨是:
莫数据,莫问题!
(这里是颂扬双关语的颂歌,RIP是臭名昭著的BIG)。
- SIEM非常昂贵= Mo Capex!
当企业喜欢其报告和数据处理功能时,SIEM正在处理日志,NetFlow信息,这是尽力而为和多余的,因为多个内部设备报告了相同的数据包。 SIEM处理一千兆字节数据的成本在500-900美元之间,因此,当您拥有更多数据源时,成本将显着增加。 我们与之合作的客户每周都在10GB的流量之上运行-便宜!
2. SIEM令人痛苦= Mo Opex!
由于SIEM从内部交换机和路由器吸收的原始流量非常庞大,因此有必要对企业内部进行深入的系统和人员培训,以不断地从噪声中识别出信号。 数据超载是一个严重的问题,随着来自SIEM和来自SIEM的新信息的不断涌入,这显然是一条追逐尾巴的狗。
