el otro día estaba hablando con un proveedor de servicios (MSSP) que tiene experiencia con el funcionamiento del SOC (centro de operaciones de seguridad) 24x7. Su precio era bastante elevado (en el rango de millones). No entiendo por qué sería tan empinada. Mi impresión de un SOC es:
a) getting a log collector such as HP arcsight
b) implement IDS on different locations, eg snort which is low cost.
c) forward the logs from these IDS (and other devices) to Arcsight
d) Let ARcsight do the magic of correlating events.
e) 2-3 Analysts on the Arcsight console monitoring 24x7 (on shifts) and
doing incident response. this I could probably do in-sourcing as I don't
have the staff to do this.the console could use vmware or some other
virtual technology, thus I save on the hardware cost?
Con lo anterior, no creo que mi SOC costaría millones. ¿O no es tan sencillo configurar un SOC?
Desventaja que se me ocurre al usar MSSP:
a) Lack of resource to monitor full time as MSSP may use shared resources for different clients
b) Slow response to incident?
c) Could not customize the way I want to run the show
¿Qué piensas de comprometer a MSSP? ¿Qué otras cosas debo tener en cuenta si deseo configurar mi propio SOC de bajo costo?
gracias