7 aspects à considérer pour évaluer une solution SIEM - RSA

More documents

Recommendations

Info

telles que les informations sur les menaces émergentes, les données de vulnérabilité, les ressources, les informations de niveau applications et les informations de gestion des identités. Par exemple, un événement de sécurité tel qu'un échec d'authentification sur un serveur Windows peut être considéré comme ayant une haute priorité. Cependant, cet événement combiné à la ressource concernée donnera une indication contextuelle supplémentaire. Si les données sur cette ressource indiquent que celle-ci n'a que peu de valeur, l'échec de l'authentification résulte sur un événement de faible priorité. Recommandation n°6 : Administrer le cycle de vie des informations journalisées Le stockage des données de logs est l'un des éléments critiques de toute solution SIEM. Au fil du temps, les données des logs vont s'accumuler à un rythme accéléré, causé par deux principaux facteurs : – L'augmentation du nombre de périphériques et d'applications sur votre réseau – Les contraintes réglementaires pour la rétention des données d'événements de sécurité Et augmentant potentiellement vos soucis de stockage, certaines solutions exigent des prétraitements lourds, de l'indexation et la définition de métadonnées pour supporter l'analyse des événements. Autant d'opérations qui peuvent multiplier les besoins de stockage (par un facteur de dix) et augmenter d'autant les coûts de gestion de stockage au cours de la durée de vie de votre solution. Vous devez vous assurer que la solution que vous choisissez possède des options adaptées de cycle de vie des données. Il existe au moins un fournisseur d'appliance majeur qui propose uniquement un stockage embarqué des données d'événements. Ainsi une solution bien conçue doit supporter les réseaux de stockage SAN et NAS. Ceci vous permet d'avoir une solution plus flexible, moins coûteuse et qui sera également plus résistante d'un point de vue disponibilité et reprise après incident. 6 Livre Blanc RSA En tant que Division Sécurité d'EMC - leader mondial dans la fourniture et le développement de technologies et solutions d'infrastructure des informations - RSA apporte son expertise inégalée en matière de stockage et d'innovations aux solutions SIEM. Par exemple, une approche de stockage multi-niveau vous permet de stocker les données d'événements sur des périphériques de stockage moins coûteux au fil du temps, à mesure que le besoin d'accès à ces données diminue, tout en vous garantissant toujours une visibilité complète et une extraction aisée de ces données, pour des besoins juridiques, de découverte, réglementaires ou de forensics. En offrant une compression allant jusqu'à 70 %, sans pour autant altérer les performances, la solution EMC/RSA réduit encore plus vos coûts de stockage sur la durée de vie. Recommandation n°7 : Comprendre les véritables coûts de la solution Avant de vous engager sur le choix d'une solution spécifique, vous devez comprendre quels en seront les coûts initiaux et sur le long terme. La solution doit répondre à vos besoins initiaux pour un coût minimal - afin de vous assurer que vous n'engagez pas des frais disproportionnés par rapport aux bénéfices que vous allez en retirer - tout en vous permettant d'élargir le déploiement à l'ensemble de l'entreprise à un coût raisonnable. Outre le coût de stockage précédemment évoqué, vous devez être certain de maîtriser parfaitement les divers éléments facturés : – Matériel Serveur. Pour les solutions composées uniquement de logiciels, il s'agit presque toujours d'un coût complémentaire. – Frais de licence logicielle. Quels sont les coûts initiaux et les coûts récurrents pour le cœur de la plate-forme, le logiciel agent et les produits tiers tels que les bases de données? – Support des sources événementielles. Quelles sources sont supportées, et quel est le coût pour l'ajout de sources complémentaires en type et en nombre?
– Modules optionnels. Quels sont les modules de reporting, d'alerte et d'audit inclus dans le prix proposé, et quel est le coût de tout module optionnel dont vous pourriez avoir besoin pour répondre à vos objectifs en terme de fonctionnalités attendues de la solution? – Coût de personnel. Tout particulièrement lorsque vous parlez à une référence fournie par le vendeur, explorez franchement et très précisément quelles sont les ressources humaines spécialisées nécessaires au déploiement et au support de la solution. Cela peut inclure les analystes sécurité, les consultants travaillant à l'intégration, les ressources de support des bases de données et des plates-formes, et un support permanent de milliers d'agents logiciels. Les coûts de personnel représentent une portion significative de tout projet et les besoins d'opérations complexes et d'intégration peuvent conduire à beaucoup de frais imprévus (et non budgétés). – Evolutivité et logiciels. Quels sont les coûts associés à l'expansion de votre capacité à gérer un plus gros volume de données d'événements ou à la mise à jour d'une solution 100% logicielle? Afin de réduire les risques du projet, demandez à votre fournisseur un devis ferme et définitif incluant ces éléments de coût, et statuant clairement que la configuration initiale proposée prendra en charge de manière fiable le volume d'événements que vous anticipez. RSA, enVision et RSA Security sont des marques ou marques déposées de RSA Security Inc. aux États-Unis et/ou dans d'autres pays. EMC est une marque déposée d'EMC Corporation. Tous les autres produits et services mentionnés sont des marques appartenant à leurs détenteurs respectifs. © 2008 RSA Security Inc. Tous droits réservés. 7SIEM WP 0708 Certaines solutions exigent des prétraitements lourds, de l'indexation et la définition de métadonnées pour supporter l'analyse des événements. Autant d'opérations qui peuvent multiplier les besoins de stockage - par un facteur de dix. À propos de RSA RSA, la Division Sécurité d'EMC, est le premier fournisseur de solutions de sécurité pour l'accélération métier et le partenaire privilégié des plus grandes entreprises mondiales pour résoudre leurs challenges de sécurité les plus pressants, complexes et sensibles. L'approche de la sécurité centrée sur l'information prônée par RSA garantit l'intégrité et la confidentialité de l'information tout au long de son cycle de vie - quels que soient ses cheminements, ses consommateurs ou ses modalités d'utilisation. RSA propose des solutions leaders d'assurance des identités et de contrôle d'accès ; de prévention des pertes de données ; de cryptage et de gestion des clés ; de gestion de la conformité et des informations de sécurité et enfin de protection contre la fraude. Cette large gamme de solutions certifie l'identité de millions d'utilisateurs dans le monde et des données qu'ils génèrent lors de leurs transactions quotidiennes. Pour plus d'informations, veuillez consulter www.RSA.com et www.EMC.com. Livre Blanc RSA 7
Page 1 and 2: Livre blanc 7 aspects à considére
Page 3 and 4: Quel que soit le modèle employé a
Page 5 and 6: Les outils de workflow doivent êtr
Page 7: Recommandation n°5 : Compléter la

7 aspects à considérer pour évaluer une solution SIEM - RSA

Create successful ePaper yourself

Delete template?

Save as template?