Quoting Marco Ermini <[email protected]>:
sì. Ovviamente se vuoi vedere cose che hanno senso e non semplicemente
un solo schermo con milioni di allarmi accumulati da differenti
tecnologie, la fase di setup (che in realtà non finisce mai, come gli
esami di De Filippo...) è cruciale.
Appunto :)
Credo che chiunque abbia avuto esperienza di SIEM sia d'accordo. O ci
lavori sopra, o sono una voragine di soldi di licenze.
(Come d'altronde, gli IDS stessi... :-))
Oppure, un grande affare per i Manager Outsourced Security Services.
Quello sarà il mio prossimo lavoro quando mi licenzierò da qua ;-)
Sarà per deformazione professionale, ma un vedo una grossa differenza
fra la gestione di un SIEM e quella di un IPS:
Mediamente ho visto realtà con dietro l'IPS sistemi "abbastanza"
standard; in questo caso puoi accontentarti di una configurazione
consigliata dal vendor e fare un po' di tuning per le tue esigenze
specifiche: rilevi un migliaio di attacchi noti e aggiungi le tue
10-15 personalizzazioni in più o meno.
Un SIEM nasce vuoto e devi fare tutto da solo (a parte le due o tre
correlazioni standard che propone come esempio).
PS: Se scegli come prossimo lavoro la strada dell'outsourced, alla
fine proporrai come fanno adesso quelli sul mercato la rilevazione del
migliaio di attacchi SENZA la 10-15 personalizzazioni di sopra :-)
My 2 cents,
Samuele
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
