3.考察信息将如何进行关联。
所有SIM产品都能获得来自网络上许多信息源的信息。有些产品可以收集来自外部信息源的信息,这些外部信息源包括公共威胁识别服务和专有的关联网络。有了 SIM产品,安全工程师不需要为了查看日志文件而在工作站上打开93个窗口;另外,在很大程度上,SIM产品还能查找网络流量模式,由此增添了新价值。这项工作需要SIM的两大功能:一是能够收集来自不同地方的数据;二是具有智能,可以把所有这些数据转变成有意义的信息,两者缺一不可。正如SIM产品获得来自网络上所有重要设备的信息一样,关联数据也会来自你信任的信息源。
4.考察报告是如何生成的。
接到通知、得知网络上出现了未授权活动是一回事,说服不大精通安全的网络管理员对此采取相应的行动则完全是另一回事。你希望SIM产品能够生成报告来支持你要采取的行动——而且能迅速生成报告。如果产品本身带有内置的报告,你只要修改一下,就能提供专门针对公司及相应事件的信息,那么你就大大领先了一步。
说到审计以便遵守法规,内置的报告是极其重要的,因为这可以大大节省时间。如果你知道审计部门需要的格式,那么无论如何都要事先问一下这些报告是否包含在你所考虑购买的SIM当中。某些审计报告可用于法规遵从,这本身就证明有必要购买SIM系统。
5.考察SIM如何查看重点事件。
报告在许多情况下都很重要,不过说到日常的安全分析,人们会把大量的时间用于分析SIM显示的数据。界面整洁、组织有序的窗口以及深入分析按时间、严重性和类型报告的事件等功能,将关系到是否能提高用户的工作效率?关系到按照指定的标准来分析流量有多容易?关系到客户端中的引擎在指定的时间段内查找信息有多容易?关系到查看某些地址之间或某些客户端之间的信息交流是容易还是困难?
正如任何产品一样,你希望产品拥有易于定制的屏幕,能自动进行分析,以满足你的要求。
6.考察SIM如何与其他应用共享信息。
毫无疑问,SIM产品是安全基础架构中的一个重要部分,但它无法单独使用。你需要其他软硬件来处理SIM产品发现的事件;如果SIM产品本身能够处理与网络中其他安全设备之间的关系,用户的任务就会轻松一些。你在物色SIM产品时,要考虑以下的事情:希望安全人员如何使用自动化系统?系统如何处理尽可能多的事情?系统能通知工作人员采取什么动作?是否希望系统提供智能帮助的同时,能让工作人员负责控制?
有些SIM产品采用其中的一种工作方式,或者多种方式兼而有之:开始由人员来控制;等人员对产品功能越来越熟悉后,慢慢地将更多的权力交给系统。因此要问一下厂商将采用哪种方式,以便采购的产品能符合部署的目标。
7. 考察SIM产品的安装及配置有多容易。
这方面根本无法预知。与几乎任何一类硬件或者软件一样,有些SIM产品安装起来比较容易;而有些则需要大量时间才能安装完成。在大多数情况下,部署SIM产品需要两项耗时的任务:让SIM产品收集来自网络的信息;让人员收集来自SIM产品的信息。
把信息提供给SIM产品的难度并不一样,这取决于SIM产品是否收集日志文件、是否收集来自自身探测程序的数据,或者同时收集来自两者的信息。最初的工作量或多或少依赖于SIM产品收集信息的程度:SIM产品对网络上的所有设备进行扫描吗?还是只探测网络信息流来查找事件、资产和可疑的流量?
同样,对安全监控及分析进行配置的工作量可能也大不一样,具体取决于每款SIM产品的自动化功能有多强。有些SIM产品能够自行完成配置,基本上不需要人员干预。有些产品却需要你逐步完成冗长的配置。后者需要更多的时间,不过好处是,这种系统从开始就能帮助获得专门针对自己需要的信息。
|
