На конференции обсудим с экспертами SIEM-системы российского производства. Насколько зрелыми они являются относительно зарубежных аналогов, ушедших из России. Как выбирать отечественную сетевую песочницу, на какие технические параметры обратить внимание. И как сэкономить на миграции.

КЛЮЧЕВЫЕ ВОПРОСЫ

Ситуация на рынке SIEM в России

• Наступило ли золотое время для российских SIEM? 
• Сколько отечественных SIEM реально нужно для рынка? 
• Почему и зачем SIEM в России растут как грибы после дождя? 
• Как меняются требования заказчиков к SIEM-системам? 
• Существуют ли отечественные NG SIEM (новое поколение SIEM)? 
• Сравнима ли сейчас функциональность российских и зарубежных SIEM? 
• Насколько сейчас важна сертификация SIEM-системы? 
• Идея SIEM из облака умерла с уходом зарубежных поставщиков? Кто-то ее предлагает в России?
• Коммерческий SIEM vs. open source vs. самописная?

Разбираемся в функциональности SIEM-систем

• Какова производительность российских SIEM? (как ее правильно проверять) 
• Есть ли разница в поддержке источников у популярных SIEM-систем? 
• Готовы ли российские вендоры разрабатывать нужные коннекторы? Сколько это стоит? 
• Какой контекст должна поддерживать современная SIEM? 
• Иерархия SIEMов (главный/подчиненный). Насколько она важна? 
• Какие существуют различия в возможностях сбора и обработки событий? 
• Как обстоят дела с правилами и пакетами экспертизы из коробки? 
• Если заказчик не готов писать правила самостоятельно и его не устраивают правила из коробки, то какие варианты у него есть? 
• Какие методики снижения числа ложных срабатываний используются? 
• Как коррелировать события в SIEM на базе матрицы MITRE ATT&CK или ТТУ от ФСТЭК? 
• Применяется ли машинное обучение в российских SIEM-системах? 
• Есть ли ретроспективная корреляция событий? 
• Как реализуется взаимодействие с НКЦКИ? 
• С какими системами SOAR предусмотрена интеграция? 
• Какие российские SIEM поддерживают мультитенантность? 
• Есть ли в российских SIEM функциональность UEBA?
• Как выбирать оптимальный для себя SIEM? На какие ТОП-10 функций смотреть?

Внедрение SIEM-системы

• Какие сложности возникают при миграции на российские SIEM? 
• Развертывание SIEM занимает несколько месяцев. За счет чего сократить это время в условиях экстренного импортозамещения? 
• Как учесть возможность масштабирования инсталляции SIEM в будущем? 
• Как правильно тестировать функциональность SIEM-системы на этапе выбора? 
• Как проверить реальную производительность SIEM, что нам скажет цифра EPS? 
• Как тестировать и пилотировать SIEM в условиях дефицита ресурсов и времени? 
• Как лицензируются российские SIEM? В чем преимущества разных моделей лицензирования? 
• Выросли ли цены на российские SIEM после начала СВО? 
• Как сэкономить на миграции с иностранной системы? 
• Какие СХД необходимы для SIEM?
• Для хранения 1000 EPS (86 миллионов событий в день) и средней длине события в 300 байт нужно 26 Гб в день или 9 Тб в год. Как обеспечить индексирование и ретроспективный поиск в таком хранилище?