Вторая часть серии программ посвященных мониторингу и управлению событиями Ит и ИБ.
В этот раз три Интегратора (Айти, Инфосистемы Джет и Ланит) и «одна из ресурсодобывающих компаний» обсудили сами SIEM-решения:

1) на каком уровне развития ИБ компании стоит приобрести SIEM.

2) Как помочь руководству понять, что им нужен SIEM, и на что опираться при выборе продукта?
3) как правильно посчитать количество событий в секунду в сети?
4) по опыту какой объективный срок хранения логов необходим для расследования инцидентов?

5) коннекторы: писать самому или покупать разработку с поддержкой?

6) Учет информации о сетевой архитектуре в SIEM, должен ли вестись?
7) Расчет «серьезности» инцидентов.
8) Какую информацию выводить на DashBoard?

9) Какие уровни проходит информация в SIEM решение. (сбор, нормализация, корреляция, анализ, визуализация)
10) Краткие резюме продуктов: IBM QRadar, HP ArcSight, Комрад, Splunk, McAffee, RSA.
11) Каким компаниям подойдет: ibm qr, arcsight, комрад, splunk, mcafee?
12) какие подводные камни ждут новичков при внедрении и как их обойти?

эти и другие вопросы мы рассмотрели

Большое спасибо за участие:
Инфосистемы джет, Эльман Бейбутов
Ланит, Иван Бондарец
Ресурсодобывающая компания, Денис Хлебородов

Длительность 72 минуты.