大規模なデータベース要件を考慮しながら、SIEM RFPを設計する方法は?
SIEM要件の設計に関して助けが必要です。大規模なデータベースに関して、DBセキュリティに関連するカバレッジを提供するために提供する必要がある一般的な要件は何ですか?
私が考えることができるユースケースのいくつかは次のとおりです。
- 特権ロール/アカウントの使用DBA、sysadmin
- 特定のビュー/テーブルへの不正アクセス
- 特定の時間ベースのポリシーに対する特定のdbテーブルエントリの削除/追加に関するレポート(日付/時刻:xx-xx-2012/xx:yy:zzzz)
- セキュリティ改ざんベースラインポリシーに基づいてアラートを送信しますか?
- 特定の悪意のある変更によって影響を受けたデータ/エントリをログに記録できますか?
- SQLステートメントを描画するサービス/アプリケーションの属性を識別できます。
これらで十分ですか、それとも追加しますか?
ログを分析することにより、dbの外観から見ると良いスタートのように見えます。パフォーマンスとロギングの量のトレードオフは避けられないため、RFPで実際の数値要件を指定してください。データベース周辺の環境も考慮する必要があります。 1つの例は、データベースにアクセスするソフトウェアの検証で、SQLインジェクションの脆弱性を見つけるために静的スキャンが実行されました。もう1つは、SIEMが周囲のシステムも監視していることを確認して、イベントを相互に関連付けることができるようにすることです。 SIEMは、サードパーティのデータベースセキュリティツールからの入力も受け入れる必要があります。
http://chuvakin.blogspot.com/2010/11/how-to-write-ok-siem-rfp.html rfpをまったく作成しないことをお勧めします。作成する場合は、提案します。する必要がある。私が特に気に入ったのは、ミッションの説明でした(コンプライアンスとリスク管理など)。もう1つは具体的です-あいまいな仕様は強制できない「はい」の答えを得るだけです。
多分私は議論に少し遅れていますが、誰かが後でこれを必要とするかもしれません。
私の会社は SIEMビジネス に5年間携わっており、これまでに多くのRFPを読んでいます。私が指摘したいのは、長期的に必要なのは常にスケーラビリティであるため、何らかのクラスタリングを念頭に置いたソリューションを探してください。これは通常、リモートノード、ある種の賢明で高速なクラスタリングをサポートする独自のデータベースにジョブをスケジュールすることを意味します(mysqlや同様のデータベースは避けてください)。また、SIEMを継続するために長期的に怠惰なシステム管理者がいる可能性があるため(これは通常、数年後にどのように見えるかです)、セキュリティ/アラートインデクサーを定期的に更新するログソース自動検出機能とベンダーを探します。