¿Cómo diseñar SIEM RFP, teniendo en cuenta los grandes requisitos de la base de datos?

Parece un buen comienzo desde una vista externa de base de datos al analizar los registros. Tendrá la inevitable compensación de rendimiento frente a la cantidad de registro, por lo tanto, indique los requisitos numéricos reales en su RFP. También debe tener en cuenta el entorno alrededor de la base de datos. Un ejemplo es validar el software que accede a la base de datos donde se realizó un escaneo estático para encontrar vulnerabilidades de inyección de SQL. Otro es asegurarse de que el SIEM también esté monitoreando los sistemas circundantes para que los eventos se puedan correlacionar. El SIEM también debe aceptar entradas de herramientas de seguridad de terceros.

enlace recomienda que no escriba un rfp en absoluto, y sugerencias si tiene que hacerlo. Los que más me gustaron fue explicar la misión (por ejemplo, cumplimiento frente a la gestión de riesgos). Otra es ser específico: las especificaciones vagas solo obtendrán respuestas de "sí" que no se pueden hacer cumplir.

Tal vez llego un poco tarde a la discusión, pero alguien podría necesitar esto más adelante.

Mi empresa está en negocio de SIEM durante 5 años y hemos estado leyendo muchos RFP hasta el momento. Lo que me gustaría señalar es que lo que necesitaría a largo plazo es siempre escalabilidad, así que busque una solución que tenga en mente algún tipo de agrupación en clústeres. Ese por lo general, significa programar trabajos en nodos remotos, su propia base de datos que admite algún tipo de agrupación en clústeres sensible y rápida (por favor, evite mysql y bases de datos similares). Además, dado que existe la posibilidad de que tenga administradores perezosos a largo plazo para mantener ese SIEM en funcionamiento (así es como se ve por lo general después de algunos años) buscaría funciones de detección automática de origen de registros y un proveedor que actualice periódicamente sus indexadores de seguridad / alertas. .