📊 Исследование CISOCLUB с участием iTPROTECT Редакция CISOCLUB собрала 17 экспертов рынка, чтобы обсудить главный вопрос: как понять, нужен ли вашей компании SIEM или это будет выброшенный бюджет? Участие в дискуссии принял Андрей Новиков, руководитель отдела систем и сервисов iTPROTECT. Спойлер: SIEM нужен не всем, и это нормально Многие до сих пор воспринимают SIEM как обязательный атрибут «взрослой» безопасности. Но эксперты сходятся во мнении: внедрение без реальной потребности превращает систему в дорогое хранилище логов, которое никто не анализирует. Кому и когда SIEM действительно нужен 📍Когда есть регуляторные требования Для объектов КИИ, госорганов, операторов ПДн требования 152-ФЗ, 187-ФЗ и приказов ФСТЭК прямо предписывают собирать и анализировать события. В этом случае SIEM — не вопрос выбора. 📍Когда инфраструктура перестает поддаваться ручному контролю Если у вас сотни серверов, распределенные филиалы, облачные сегменты и разнородные СЗИ — вручную связать инцидент из разных источников уже невозможно. SIEM становится инструментом, который дает целостную картину. 📍Когда бизнесу нужны ответы на сложные вопросы На низком уровне зрелости ИБ и в простых инфраструктурах можно обойтись и без SIEM. 💡 «В однородных инфраструктурах с контроллером домена и несколькими серверами мониторинг проще настроить встроенными средствами ОС или бесплатными утилитами. Помимо этого, в отсутствие зрелых процессов ИБ SIEM превратится в «игрушку», генерирующую тонны бесполезных срабатываний», — считает Андрей Новиков. А если есть потребность коррелировать события и выявлять комплексные атаки, то SIEM будет действительно полезна для быстрого реагирования на инциденты и автоматического выявления подозрительных паттернов. ➡️ Резюме SIEM — это мощный инструмент для агрегации и корреляции информации с нескольких разных источников, но без выстроенных процессов работы с инцидентами он не будет достаточно эффективным. Важно осознанно подходить к этому процессу, иметь понимание, для чего система внедрена и кто будет с ней работать.