Vous êtes-vous déjà demandé combien de temps il faudra pour que les cas d'utilisation et les playbooks développés pour les opérations de sécurité soient prêts et commencent à prouver leur valeur à votre organisation ? Dans le passé, j'ai beaucoup travaillé avec des systèmes de gestion des informations et des événements de sécurité (SIEM ), qui sont au cœur des opérations de sécurité de nombreuses organisations.
In my experience I’ve found that one of the key challenges facing security operations has been around the time to value. Questions like, How quickly can the investment prove any return-on-investment (ROI)? Why is it taking so long to implement? What log sources are we monitoring and are they giving us the right visibility? Is it a threat-oriented use case (insider threat, threat hunting…), control-oriented use cases (privileged access abuse…), asset-oriented use cases (crown jewel programs…) or compliance-oriented use cases (HIPAA, GDPR, PCI etc.…)? frequently come up during discussions with security operation teams.
Bien qu'un SIEM occupe une place fondamentale au sein d'une équipe chargée des opérations de sécurité en tant que point central ou référentiel, avez-vous déjà réfléchi à la manière d'accélérer l'investissement SIEM que vous avez déjà réalisé afin de l'améliorer encore davantage ? Ou comment accélérer et simplifier le nombre de cas d'utilisation d'un SIEM, tout en réduisant les coûts de développement et de maintenance ?
Pour mettre en œuvre un nouveau cas d'utilisation, une organisation doit passer par plusieurs étapes. Confirmer l'outil de surveillance que vous souhaitez utiliser (par exemple, quelle source de données doit être utilisée) ; déterminer les exigences en matière de sources de données ; comprendre le contexte du cas d'utilisation et les exigences en matière de données ; identifier les processus et les procédures opérationnelles nouveaux ou affectés par la mise en œuvre du cas d'utilisation ; développer, tester et exécuter le contenu vers la production ; tester et examiner les performances ; et ajuster continuellement le cas d'utilisation tout au long de sa durée de vie.
Avec tous les outils et les cas d'utilisation, le SIEM génère souvent beaucoup de bruit pour l'équipe chargée des opérations de sécurité. Cela se traduit par une conversation sur la pénurie de compétences, les technologies cloisonnées qui ne fonctionnent pas bien ensemble, la surcharge d'informations et un coût total de possession élevé avec un (re)recrutement, une formation et une habilitation constants des équipes de sécurité.
Et s'il existait un moyen d'accélérer la création de valeur, d'augmenter les investissements déjà réalisés et de simplifier la notion de cas d'utilisation ?
Lors d'un récent engagement, le client souhaitait que 89 cas d'utilisation soient développés par un partenaire externe gérant le SIEM. Le coût moyen de développement d'un cas d'utilisation s'élève à 10 000 dollars pour le client. Le coût de maintenance de ce cas d'utilisation est de 2 500 dollars par an, soit un coût de maintenance annuel total de 222 500 dollars dans cet exemple (il s'agit du coût de la main-d'œuvre pour effectuer des validations continues, etc.)
En exploitant détection et réponse aux incidents (NDR) de Vectra pour se concentrer sur la détection du comportement des attaquants, en combinant la recherche en sécurité et la science des données, un grand nombre de ces cas d'utilisation SIEM tombent dans les familles de détection de Vectra, avec le résultat suivant :
- Prise en charge directe de 66 des 89 cas d'utilisation, ce qui équivaut à un coût de développement des cas d'utilisation de 590 000 dollars.
- Une grande partie de l'investissement technologique dans Vectra est immédiatement compensée par les économies réalisées dans le développement des cas d'utilisation (un travail sans fin).
- Vectra simplifie l'approche des cas d'utilisation en passant des technologies aux comportements des attaquants et réduit encore la complexité en ramenant 59 cas d'utilisation à 22 familles de détection, ce qui se traduit par 37 cas d'utilisation de moins à maintenir - près de 100 000 dollars d'économies par an en termes de maintenance des cas d'utilisation.
- En outre, Vectra aide à réduire les inefficacités, l'inefficience et le bruit dans le centre d'opérations de sécurité (SOC), en tirant parti de la hiérarchisation des alertes et en accélérant l'adhésion aux besoins de conformité.
Exemple de simplification des cas d'utilisation en familles de détection Vectra :
En bref, combiner SIEM et Vectra devient rapidement une conversation sur le temps de retour sur investissement, sur la façon d'augmenter la valeur des technologies existantes et d'améliorer la vie d'un analyste des opérations de sécurité et, en fin de compte, d'aider votre installation SIEM à devenir plus fructueuse.
Pour en savoir plus sur les valeurs techniques de la NDR par rapport à la détection et à la réponse des endpoint (EDR) et au SIEM, cliquez ici. Visite d'une démonstration de la NDR.