… ¿Ellos no están?
Vale, vale, lo entiendo. Estás mirando el precio de un SEIM y el impacto de la pegatina está afectando tu cerebro y te preguntas cómo vas a lograr que el CEO firme algo que es más de la mitad del costo de sus Mercedees. (¡Bromeo, bromeo!)
La cuestión es … un SEIM es, si vas a hacer negocios usando computadoras, solo un gasto necesario, en estos días. Debe tener algo para leer esos archivos de registro y descubrir qué está sucediendo en su red, identificar anomalías y mantenerlo al menos informado mientras hace que su trabajo de detective sea más fácil. Un buen SEIM es un multiplicador de fuerza, que separa los eventos del registro de basura de los que le interesan, lo alerta cuando las cosas salen mal y hace que el tiempo de su administrador sea muchísimo más útil.
- ¿Cuál es el papel de la GPU en el descifrado de contraseñas?
- ¿Existe un software gratuito de seguridad de Internet para Windows?
- ¿Cómo debo elegir mi contraseña para que sea más segura?
- ¿Cuáles son los dos estándares clave WEP?
- ¿Cómo se autentica Secure Shell?
Sin embargo, lo que debe preguntar es … “¿Qué quiero que haga mi SEIM?” Todos ellos administran registros, así que eso es algo. Si eso es todo lo que desea: agregación y administración de registros básicos y simples para, digamos, menos de 100 servidores (¿dónde es común preocuparse por este precio?) Hay muchas soluciones razonables:
Windows Event Collector está integrado en cada sistema operativo Windows. Linux tiene una funcionalidad similar. Cree un servidor de recopilación de registros, dele mucho espacio y memoria, configure la funcionalidad de recopilación y listo … Pero esto no es un SEIM. Es solo la recopilación de registros.
Graylog (Open Source Log Management) te acerca. Úselo con Snort y OSSEC y tendrá un buen comienzo … pero esto todavía no es un SEIM.
Lo que hace un SEIM es mucho más amplio, y esencialmente cae en uno de los dos lados de su arquitectura. En el lado de las herramientas de implementación, tiene SEIM que incorporan sistemas que usan registros para hacer que sus sistemas sean más fáciles de administrar. La implementación completa de estos sistemas, como Kaseya (Soluciones de administración y monitoreo de TI) o ManageEngine (Operaciones de TI y software de administración de servicios) le permite controlar MUCHO más que solo registros. Estas alertas sobre estados de error comunes, le advierten cuando sus sistemas se están sobrecargando, manejan la administración de parches, implementan software, todo tipo de cosas que facilitan los trabajos de sus administradores de sistemas, lo que significa que sus muchachos obtienen ventajas en tiempo y utilización.
¿Vale la pena, digamos, US $ 30,000 para obtener un 30% más de tiempo utilizable (y menos agotamiento, mejor utilización y más procesos automáticos y más difíciles de corromper) de su personal de TI? Eso es más barato que un FTE de administrador de sistemas calificado, aproximadamente la mitad del precio, para liberar a un técnico de TI completo de un equipo de tres. Cuanto más grande sea su empresa, más rentable será.
OTOH, puede elegir un SEIM que funcione en el espacio de seguridad. Algo como AlienVault (AlienVault Unified Security Management & Threat Intelligence) o AlertLogic (
Seguridad como servicio – Proveedor de seguridad en la nube | Alert Logic): ofrecen increíbles beneficios en la detección de intrusos, la respuesta a amenazas y la recuperación del sistema, trabajando además de su IDS, HIDS e infraestructura de seguridad para reducir la charla y permitirle responder a amenazas reales. Estos a menudo tienen la gestión de inventario, las pruebas de vulnerabilidad y otros servicios de seguridad primarios en su núcleo, demonios, AlienVault observa, cada máquina en su infraestructura, para cualquier tipo de comportamiento anómalo, que va desde ‘Tengo 0 días’ hasta ‘Oye, este usuario instaló cosas nuevas en mí “.
Dado que los tipos de seguridad son caros, estos $ 30,000 recaudan recursos que te costarían $ 100,000k para contratarlos internamente. Puede obtener experiencia que es literalmente imposible de pagar para una pequeña empresa, a una fracción del precio real.
Entonces, ¿qué era eso de que era caro? Sí, tiene un precio de etiqueta, pero también el auto que conduces al trabajo. Elegiste eso como útil, para los atributos que te dieron valor: ¿por qué un SEIM sería diferente? Y, una vez que elige uno, hay formas de lograr un ROI en 5 años … a diferencia de la mayoría de los sistemas, este es un cálculo fácil si trabaja los beneficios, no los costos.
