соно
Читать нас в ТГ
Радар 2 мин чтения

Yandex Cloud показал, почему SIEM в России упирается в эксплуатацию

Yandex Cloud и Кибердом опросили 223 компании: SIEM уже есть у многих, но мешают ложные срабатывания, цена и нехватка людей

Зачем тебе Если выбираешь SIEM, считай не только лицензию: заранее проверь стоимость хранения, качество правил и кто будет разбирать алерты.
Первоисточник Yandex Cloud Blog

Yandex Cloud и Кибердом опросили 223 российские компании про SIEM - системы, которые собирают события безопасности и помогают расследовать инциденты.

Что произошло

В исследовании Yandex Cloud и Кибердома компании рассказали, как используют SIEM и что мешает внедрению. Среди частых сценариев - мониторинг событий безопасности, расследование инцидентов и корреляция событий из разных систем.

Главные барьеры тоже практические: ложные срабатывания, высокая стоимость владения и нехватка специалистов. Это не проблема “купить коробку”, а проблема ежедневной эксплуатации.

Зачем тебе

Если выбираешь SIEM, считай не только лицензию: заранее проверь стоимость хранения, качество правил и кто будет разбирать алерты.

Для небольшой компании SIEM может быстро стать дорогим журналом событий, если нет человека, который понимает, какие срабатывания важны, какие можно подавить и как доводить инцидент до решения.

Почему важно

Российский рынок кибербезопасности уже прошел этап “надо поставить SIEM”. Теперь главный вопрос другой: как сделать так, чтобы система помогала аналитикам, а не создавала бесконечную очередь шума.

Это полезный ориентир для всех, кто выбирает security-инструменты: автоматизация не заменяет процесс, если правила, ответственность и разбор инцидентов не настроены.

Кому полезно

  • IT-директорам и CISO;
  • security-командам;
  • B2B-сервисам, которым нужно проходить проверки клиентов;
  • фаундерам, которые впервые выбирают инфраструктуру безопасности.

Что проверить

  • сколько стоит хранение и обработка событий за месяц;
  • кто будет разбирать срабатывания каждый день;
  • можно ли быстро снижать ложные срабатывания;
  • какие источники событий подключены в первую очередь;
  • есть ли понятный процесс после найденного инцидента.

Ограничения

Исследование показывает состояние рынка и типовые боли, но не выбирает продукт за компанию. Перед покупкой SIEM все равно нужно считать объем событий, требования клиентов, нагрузку на команду и регуляторные ограничения.

Первоисточник

Yandex Cloud Blog: Yandex Cloud и Кибердом: компании все чаще используют SIEM для повышения эффективности кибербезопасности.