首页 > 闲聊杂谈 > SIEM 抛砖引玉

SIEM 抛砖引玉

2012年8月10日 baoz 阅读评论

今天有个老大在qq上批评我偷懒博客更新很慢了,检讨一下。

近期思考了一下SIEM相关的事情,分享下:

项目目标决定了验收标准,也决定了事情的成败,如果没把目标想清楚,往下走容易迷失在产品的功能之中 :)

回答三个对象的若干个问题:

A、

对象:老板

问题:我们安全吗?

B、

对象:领导

问题:我们安全吗?何以见得?还有什么问题?严重不?(当然了,老大还会问其他的问题,例如啥时候搞定?但这些问题SIEM照顾不到)

C、

对象:其他部门

问题:我们付出了,改进了,大家(老板、领导、同事、审计人员)咋看到啊?我们的付出值得吗?

D、

对象:外部合规审查机构

问题:具体情况具体分析。前面三个对象的问题已经覆盖这个对象的问题

A、自研

这种方式要么是大家都不重视安全部门或者SIEM这个事,要么你是腾讯阿里,有大量的日志,大量的个性化需求,还有大量威武的开发人员。

这种方式不做太多讨论,有想法有资源有power的自然能做好,没想法或没资源或没power的闲着就闲着吧,别瞎折腾。

B、产品

走这个路线,要求我们自己有想法,涉及面也比较窄,控制力比较强,并且资金方面有一定的支持,结合一个合适的产品,即可碰撞出火花。由于我们走的是这个路线,所以不方便说太多。简而言之,小步快跑,快速迭代;小事做大,快速收获。抓住核心诉求,快速解决主要矛盾是关键。切忌盲目追求80分。

C、咨询+产品

这个路线是相对高端的玩法,也是大型审计类项目的常见玩法。咨询开路,产品落地。项目管理者各方面控制的不错的话,效果会是最好的,但投入的资源也是最多的:人+钱。这种方法做下来的项目我觉得挑战是最大的,因为这种下大棋的玩法,项目肯定也是大项目,人员和资金投入很多,控制大家的预期比较困难,调动资源的面也很广,涉及的东西很多。所以项目可能更多的选择“大步,快走”的模式,里程碑都挺让人期待,鸭梨会比较大。如何把大事做小,快速输出是关键。  当然。。。这是我YY的,哈哈,有机会找咨询类的人才在审计类项目合作几把。我对咨询这种文绉绉的事情的实在是不感冒。

A、收集

最折腾

B、分析

最需要经验

C、告警

最考验运营能力

D、汇报

最需要换位思考

点到即止,抛砖引玉。

分类: 闲聊杂谈 标签: ,
  1. 2012年8月13日09:16 | #1

    第二部分,方式上,最适合甲方的我认为还是第二种。咨询先行产品落地的方式,难免会遇到把握不好项目目标,或者公司内部上下对项目预期太高的问题,风险太大了。
    文章很棒,经验很宝贵,包子总方便的时候,还希望更多分享!感谢!