Next Generation SIEM: другое поколение, другие приоритеты?

Российский рынок SIEM переживает трансформацию. Вместо тяжеловесных решений появляются гибкие и умные продукты, которые фокусируются на автоматизации, корреляции без кода, удобстве интерфейсов и интеграции с ИИ. В эфире AM Live: — Обсуждаем, чем Next Gen SIEM отличаются от привычных решений — Разбираем архитектуру, подходы к сбору и обработке событий — Показываем, как low-code и AI снижают нагрузку на SOC — Отвечаем, стоит ли менять свою систему — и в каких случаях — Демонстрируем реальные кейсы миграции и сценарии использования Полезно архитекторам SOC, руководителям ИБ, инженерам, вендорам и всем, кто работает с SIEM. Модератор:  Лев Палей, директор по информационной безопасности, Вебмониторэкс Участники: 1) Виктор Никуличев, руководитель продукта R-Vision SIEM, R-Vision 2) Вячеслав Атласов, технический директор, САВРУС 3) Иван Прохоров, Руководитель продуктов MaxPatrol SIEM / MaxPatrol IM, Positive Technologies 4) Евгения Лагутина, старший менеджер по продукту, «Лаборатория Касперского» Тайм-коды: 00:00:00 Введение 00:04:06 Обсуждение терминологии 00:05:37 Эволюционные шаги в решениях 00:07:25 Причины появления новых функций 00:08:47 Качественные изменения 00:10:04 Зрелость отечественных решений 00:12:02 Изменения на рынке 00:12:34 Архитектурные изменения в SIEM 00:14:12 Новые технологии и потребности 00:14:50 Роль технологий в SIEM 00:16:50 Функции SIEM и реагирование 00:18:56 Ограничения SIEM 00:21:45 Комплексные решения 00:23:49 Адаптация SIEM к инфраструктуре 00:25:24 Сравнение с западными игроками 00:34:23 Технологические изменения 00:36:56 Ожидания от новых решений 00:37:50 Автомобильные аналогии 00:41:04 Технологические изменения 00:43:32 Централизация и управление 00:45:34 Новые данные и аналитика 00:47:30 Методы атак и детекция 00:48:01 Преимущества нового поколения решений 00:48:51 Гибкость анализа событий 00:50:10 Простота настройки корреляции 00:52:02 Использование искусственного интеллекта 00:54:09 Детектирование и поведенческая аналитика 00:55:03 Расследование и рекомендации 00:56:17 Облачная обработка событий 00:57:56 Адаптивность и генеративные модели 00:59:04 ИИ как помощник 01:00:46 Опыт применения ИИ 01:01:06 Ограничения искусственного интеллекта 01:01:52 Маркетинговый аспект искусственного интеллекта 01:03:07 Риски чрезмерного использования ИИ 01:04:06 Будущее автоматизированных решений 01:04:58 Преимущества нового поколения SIEM 01:07:35 Профилирование SIEM для отраслей 01:09:42 Специфика атак в разных отраслях 01:11:44 Интенсивность событий и обработка данных 01:12:40 Архитектура сбора событий 01:13:30 Стриминговая обработка данных 01:14:24 Сбор данных и лог-менеджмент 01:15:23 Хранение данных в дата-лейках 01:15:53 Технологии хранения данных 01:18:23 Новые функции SIEM 01:20:22 Особенности обновления и масштабирования 01:24:08 Подходы к корреляции данных 01:26:48 Разделение правил на корреляционные и нормализации 01:27:47 Сложности реализации сложных правил 01:29:12 Оценка ценности кода 01:31:22 Препятствия для внедрения новых систем 01:34:16 Опыт внедрения модуля поведенческой аналитики 01:36:39 Недоверие к новым продуктам 01:37:31 Источники информации о продуктах 01:38:23 Сложность оценки продуктов 01:39:26 Миграция между системами 01:41:25 Проблемы миграции в распределённых инфраструктурах 01:42:17 Совместимость решений 01:44:26 Архитектурные решения для миграции 01:48:04 Проблемы с форматами данных 01:48:25 Стоимость владения решениями 01:49:15 Факторы, влияющие на стоимость владения SIEM 01:50:24 Выбор между локальным и облачным SIEM 01:51:08 Способы уменьшения стоимости SIEM 01:53:44 Оптимизация ресурсов и лицензий 01:56:24 Необходимость стандартов 02:00:21 Развитие технологий 02:01:10 Пример использования мемори дата бейс 02:01:37 Анализ прогресса 02:02:29 Текущее состояние рынка 02:03:08 Масштабирование мемори дата бейс 02:04:23 Роль человека и автоматизация 02:05:09 Итоги