SIEM
SIEM потрібен тоді, коли клієнт хоче бачити, що відбувається в його інфраструктурі. Не окремо на firewall, не окремо в endpoint, не окремо в cloud, а в одному місці, де можна звʼязати події між собою.
Для партнера SIEM цікавий не тільки як продукт. Його можна продавати як сервіс: підключення джерел логів, правила кореляції, dashboards, інцидентний triage, регулярні звіти і розвиток use cases.
Яку задачу вирішує SIEM
Більшість клієнтів має набір різних security tools. Проблема в тому, що ці tools часто не дають єдиної картини. Подія в endpoint може бути повʼязана з подією в Active Directory, VPN, пошті або cloud-сервісі. Без централізованого збору й аналізу логів це важко побачити.
SIEM допомагає:
- збирати security logs з різних джерел;
- знаходити підозрілі звʼязки між подіями;
- формувати alerts для SOC або відповідальної команди;
- зберігати історію подій для розслідування;
- готувати регулярну звітність для керівництва або compliance.
Чому це може бути сервісом
Клієнту не завжди потрібна ще одна консоль. Йому потрібен результат: щоб хтось підключив джерела, налаштував правила, дивився на alerts і пояснював, що з цим робити.
Саме тут партнер може заробляти на сервісній моделі. SIEM-сервіс може включати:
- первинний аудит джерел логів;
- підключення critical systems;
- побудову базових use cases;
- регулярний перегляд alerts;
- щомісячну звітність;
- рекомендації щодо покращення security posture.
Це не обовʼязково має бути великий SOC з першого дня. Часто старт починається з обмеженого набору джерел і зрозумілої зони відповідальності.
NetWitness як SIEM-платформа
NetWitness SIEM підходить для сценаріїв, де потрібні log analytics, investigation і побудова SOC-процесів. Платформа може бути основою для сервісів, де партнер бере на себе не тільки впровадження, а й регулярну операційну роботу.
Для MSSP-моделі важливо, що SIEM можна перетворити на повторюваний сервіс. Клієнт платить не тільки за технологію, а за контроль, видимість і регулярну роботу з подіями безпеки.
З чого почати партнеру
Найкращий старт: вибрати один тип клієнта і один типовий набір джерел логів.
Наприклад:
- Active Directory;
- VPN;
- firewall;
- endpoint security;
- cloud або email security;
- critical servers.
Після цього можна сформувати перший service package: підключення, базові правила, monthly report і консультація за результатами.