Не теряют актуальность вопросы оптимизации работы специалистов, работающих с SIEM, как в количественном, так и в качественном аспекте.
Валерий Горбачев, ДиалогНаука
Специалистов, работающих с SIEM, надо разделять по функционалу: администрирующий персонал (поддержание работоспособности, управление пользователями и т.д.), операторов, работающих с событиями (подключение источников, написание правил корреляции, нормализации и т.д.) и SOC/CERT (расследование инцидентов, реагирование). И уже отталкиваясь от такого разделения, следует определять требования по количеству и подготовке персонала.
Роман Назаров, Лаборатория Касперского
Для эффективной работы SIEM нужны три роли: аналитик, инженер и исследователь. Инженер занимается поддержкой работоспособности SIEM, внесением изменений. Минимальное количество SIEM-инженеров – 2, для обеспечения отказоустойчивости. Аналитики разбирают срабатывания SIEM, их потребуется от 2 до 5, в зависимости от режима работы (8х5 или 24х7), а далее количество масштабируется в зависимости от потока алертов и инцидентов. Исследователь занимается разработкой новых и отладкой существующих методов детектирования. Для начала хватит одного исследователя.
Анна Андреева, Лаборатория информационной безопасности
Количество сотрудников необходимо выбирать исходя из требуемого временного режима реагирования и SLA, а также предполагаемого объема, типа и глубины разбора инцидентов. Если вы не готовы выделять целый рабочий день аналитика на исследование потенциально зараженного хоста, а поручите ИТ перезалить хост, то вам не нужна L3. А если нет необходимости вручную подтверждать каждый вход в критичный сегмент, то не нужна и L1. Для L1 достаточно любого технического образования, обучать их придется самостоятельно, для остальных линий требуется опыт расследований.
Максим Степченков, RuSIEM
Количество и специализация сотрудников, необходимых для работы с SIEM, зависит от множества факторов, в том числе и от самой системы. Минимальное количество персонала для работы с нашей системой начинается от одного сотрудника, а точное число зависит от условий заказчика: размера компании, потока поступающих событий, филиальной сети, типов источников и необходимости разрабатывать кастомные правила. В нашей системе вся работа ведется в едином веб-интерфейсе, а необходимые парсеры мы при необходимости готовы разработать за заказчика. В нашей SIEM предусмотрены элементы реагирования, а также нет необходимости в дополнительных знаниях, например языков программирования. И работа с системой становится легкой.
Павел Пугач, СёрчИнформ
По специализации сотрудников вам подскажет вендор: один скажет, что специалист должен быть профессиональным программистом и, скажем, к тому же изучить два новых языка разработки. Другой – что для работы с SIEM достаточно среднего уровня пользователя ПК с пониманием, что такое ЛВС, а остальному "научим сами за два часа по удаленке". Требования к квалификации сотрудников, которые с ней работают, различаются для разных систем.
Вопрос о количестве сотрудников решать только компании. Границы очень условные: если у вас сто единиц сетевого оборудования, то может хватить и пары человек. Если имеется тысяча единиц оборудования и 6 тыс. сотрудников – наверное, двух сисадминов и одного безопасника вам будет маловато. Если аналитики в стандартное рабочее время справляются со своими задачами по SIEM и всеми остальными, скорее всего, вам их хватает. Если нет – расширяйте штат.
