Доклад «Миграция SIEM‑системы. Годы идут, а задача проще не становится»

Миграция SIEM: как не нарушить безопасность при переходе на новую систему Миграция SIEM — это не просто замена коробки, а стратегический проект со своими рисками и подводными камнями. Узнайте, почему перенос правил и источников — это только 30 % успеха и как такие детали, как синтаксис корреляций или производительность операций, могут свести на нет весь проект. Владимир Зуев делится реальными кейсами: от планирования и тестирования до роли команды и управления контентом. Как избежать разрыва в мониторинге, правильно оценить нагрузку и внедрить SIEM как часть процессов, а не как «черный ящик» — в этом докладе для руководителей SOC, инженеров и архитекторов безопасности. 00:01:08 — Три этапа миграции SIEM: планирование, реализация, цикл совершенствования 00:03:25 — Важность изучения новой SIEM-системы: различия в архитектуре и производительности операций 00:05:08 — Перенос контента: почему это не копирование, а почти полная переработка правил 00:06:36 — Как работает корреляция: проверяем синтаксис и логику новой системы 00:07:27 — Значение сообщества SIEM: где искать решения, не описанные в документации 00:09:11 — Тестирование SIEM: более 150 чекбоксов и кейсов для конкретных процессов компании 00:12:13 — Будущее и текущее состояние: планируйте миграцию с учётом роста инфраструктуры 00:14:46 — Проверка сайзинга: воспроизведите нагрузку, чтобы избежать проблем с сетью и потери событий 00:16:12 — Люди важнее технологий: влияние миграции на аналитиков и необходимость их подготовки 00:19:38 — Управление корреляционным контентом: CI/CD, API, тестирование через SDK и Git-интеграцию