Почему ценообразование на основе устройств идеально подходит для решений SIEM

Опубликовано: 30 Марта, 2023
Почему ценообразование на основе устройств идеально подходит для решений SIEM

Когда речь идет о безопасности информации и решениях по управлению событиями, ценообразование является важным фактором. В конце концов, SIEM включает в себя множество данных, которые текут в каждый момент, и эти данные нужно где-то хранить и анализировать — обычно на платформе поставщика SIEM. Из-за высоких затрат многие организации в конечном итоге компрометируют данные, которые они собирают. Они не учитывают объемные источники и надеются, что их операции с SIEM останутся такими же надежными. В этой статье мы рассмотрим различные модели ценообразования SIEM, доступные сегодня. Если вы ищете решение SIEM, вы найдете здесь несколько полезных советов.

Три модели лицензирования SIEM

Хотя сегодня существует множество поставщиков SIEM, все они попадают в одну из трех категорий ценообразования на свои решения. Вот категории:

  1. Событий в секунду (EPS): Каждое устройство в организации генерирует события, которые передаются в SIEM. Этот метод учитывает оценку количества событий, поступающих в SIEM в секунду. Это традиционный способ расчета размера требуемой лицензии.
  2. Объем в день/объем в месяц: этот метод вычисляет фактический размер событий (ГБ/ТБ), сгенерированных и переданных в сборщик SIEM за месяц/день.
  3. На основе устройств: размер лицензии зависит от фактического количества устройств, интегрированных с SIEM. Идеально подходит для малых и средних установок, поскольку не зависит от количества и объема событий, генерируемых устройствами в сети.

Проблемы с ценообразованием на основе объема

С каждым методом есть разные проблемы, о которых вам нужно знать, выбирая между ними.

При использовании модели «события в секунду» вам необходимо следить за тем, чтобы объем данных никогда не превышал ваш EPS, установленный поставщиком SIEM. Например, если ваш лимит составляет 5000 EPS, и если вы испытываете пик 6000 EPS в течение одного часа дня, дополнительные 1000 событий будут полностью удалены или будут отложены для добавления в более позднее время. Это не идеально, поскольку не дает целостного представления о ваших данных SIEM.

Точно так же с моделью объема в день / месяц вы рассчитаете, сколько ГБ данных генерируется вашими системами, и купите соответствующую лицензию. Здесь снова, если вы остаетесь в пределах этого предела в ГБ, все работает нормально, но в ту минуту, когда ваши данные пересекают этот порог, вы рискуете потерять или задержать доступ к своим данным SIEM.

Политики лицензирования, основанные на EPS и объеме журнала, позволяют оптимизировать данные, загружаемые в инструмент SIEM. Это означает, что ваши требования значительно занижаются, чтобы соответствовать вашему бюджету, а затем приходится платить за дорогостоящие обновления.

Лицензии SIEM часто определяются без учета каких-либо журналов на уровне приложений. Однако в современных условиях сбор и анализ этих журналов является обязательным. Часто организации могут учитывать только минимальные события, собираемые из стандартных технологий. Это предполагает наилучший сценарий, который, как известно, никогда не оказывается правдой. Это означает, что большая часть TTP платформы MITRE (тактики, методы и процедуры), основанные на этих журналах, не могут быть выполнены с помощью инструмента SIEM.

Еще одна проблема с обеими вышеупомянутыми моделями заключается в том, что вы неизбежно в конечном итоге будете выделять больше ресурсов и покупать больше емкости, чем вам нужно в обычные дни.

Лучшая альтернатива — ценообразование на основе устройства

Модель ценообразования SIEM, основанная на количестве устройств, более предсказуема. Это связано с тем, что количество устройств в организации является более постоянным и предсказуемым, чем объем данных, генерируемых каждую секунду, день или месяц. Да, по-прежнему будут добавляться новые устройства и удаляться существующие устройства, но это гораздо меньше изменений, чем данные, которые могут в один момент резко подняться, а в следующий упасть до нормального уровня.

Ценообразование на основе устройств работает хорошо, если нет никаких предостережений. Например, если стоимость одного устройства неоправданно высока, эта модель не подойдет. Или если есть негласный лимит на данные, захваченные на одно устройство, то опять же, эта модель не будет работать.

Однако идеальным сценарием было бы, если бы цены на SIEM были указаны за устройство, а объем данных не ограничен или не ограничен. Это дает вам уверенность в том, что все данные SIEM будут собираться в режиме реального времени, независимо от того, сколько данных поступает, и, во-вторых, затраты будут оставаться предсказуемыми из месяца в месяц.

Что такое устройство в SIEM?

Это помогает прояснить, что такое устройство в контексте SIEM. Безусловно, существует несколько типов устройств, и у каждого поставщика SIEM будет свое определение того, что они считают устройством. Проще говоря, каждый отдельный объект пересылки журналов представляет собой устройство. Вот несколько примеров типов устройств:

  • Сервер Linux с веб-сервером Apache и базой данных Oracle.
  • Брандмауэр периметра, обрабатывающий трафик для всего центра обработки данных
  • Сервер управления брандмауэром, управляющий пятью различными брандмауэрами.
  • Сервер AWS EC2 или экземпляр базы данных RDS.

Для каждого из этих устройств требуется отдельная лицензия. Как видно из списка, каждое из этих устройств будет генерировать разное количество данных. Важно проверить, не устанавливает ли поставщик SIEM разные цены для каждого типа устройств. Получите список всех типов устройств от поставщика SIEM, которого вы рассматриваете, и обязательно учитывайте все устройства в вашей системе при оценке затрат.

Преимущества неограниченного лицензирования на основе устройств

Лучший тип ценообразования на основе устройства — это неограниченная лицензия на основе устройства. Это просто означает, что нет ограничений на объем данных, хранящихся или обрабатываемых на одном устройстве.

С неограниченной лицензией на основе устройства вы можете быть уверены, что нет ограничения на:

  • Объем журнала/EPS для журналов, пересылаемых каждым отдельным устройством
  • Количество пользователей, использующих инструмент SIEM
  • Количество запросов или панелей мониторинга, созданных для анализа полученных данных.
  • Количество копий данных SIEM
  • Срок хранения данных SIEM

Когда вы дойдете до этого уровня детализации, вы заметите огромные различия между моделями ценообразования каждого поставщика. Но, как говорится, дьявол кроется в деталях. Эти детали важны при инвестировании в критически важное решение для обеспечения безопасности, на которое ваша организация будет полагаться в ближайшие годы.

Поставщики SIEM и их модели ценообразования

Вот список крупных и мелких поставщиков SIEM, упорядоченный по типам моделей ценообразования, которые они предлагают:

Цены на SIEM-EPS

  • IBM QRadar, ArcSight, RSA NetWitness, McAfee

Эти поставщики являются одними из старейших на рынке. Они следуют наиболее широко используемой сегодня модели ценообразования в SIEM — EPS. Их платформы широко используются и особенно популярны среди крупных предприятий. Если ваша организация представляет собой предприятие с очень специфическими требованиями, эти поставщики могут удовлетворить любые потребности, которые они видели на протяжении многих лет.

Стоимость SIEM в день/месяц

  • Спланк, ДНИФ

Splunk — один из самых известных инструментов на рынке. В первую очередь они оценивают свое предложение в зависимости от объема. Splunk — это надежное предложение со всеми прибамбасами современного SIEM.

DNIF не так известен, как другие представленные здесь, но представляет собой функциональное предложение SIEM, предлагающее ценообразование на основе объема, хотя это не единственная их модель ценообразования.

Цены на устройства SIEM

  • Splunk, DNIF, FireEye Helix

Что касается интересного ценообразования на основе устройства, Splunk предлагает модель лицензирования на основе устройства, но с оговоркой, что объемы «зависят от лимитов обслуживания».

Основная модель ценообразования DNIF зависит от устройства. Они предлагают настоящую UDL (неограниченную лицензию на основе устройства), которая не ограничивает объем данных, поступающих с каждого устройства. Кроме того, они имеют единую цену для любого типа устройств. DNIF недавно выпустил полнофункциональную версию своего программного обеспечения SIEM для сообщества, которая является отличным способом оценить, подходит ли платформа для вашей организации.

FireEye Helix — относительно новый поставщик в этой области. Они предлагают модель ценообразования на основе устройств по конкурентоспособным ценам.

Стоит обратить внимание на DNIF и FireEye Helix, если вы ищете цены на основе устройств, а Splunk по-прежнему слишком дорог или ограничивает вас.

Поставщики SIEM и цены: есть из чего выбрать

Как вы можете заметить, есть много вариантов, когда речь идет о поставщиках SIEM. Вам нужно изучить детали, когда дело доходит до ценообразования, и выбрать тот, который лучше всего соответствует вашим потребностям. С лицензией на основе устройства вы можете наслаждаться предсказуемостью расходов на SIEM и интегрировать все типы журналов, чтобы обеспечить полную прозрачность.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023