À un moment donné de la dernière décennie, Siems s'est transformé en un seul ami qui promet toujours de vous aider à bouger, puis se présente tard, mange toute votre pizza et s'attend toujours à de l'argent au gaz.
Ils étaient censés offrir une visibilité centralisée et des enquêtes plus rapides. Au lieu de cela, la plupart des équipes de SOC se sont retrouvées avec des alertes sans fin, des factures alléguantes et des tableaux de bord qui ont l'air impressionnants sur grand écran, mais n'arrêtent pas vraiment les attaquants.
Alors, comment nous sommes-nous retrouvés ici?
À l'époque où les pare-feu étaient toujours excitants, Siems a résolu un vrai problème: les journaux dispersés partout, les auditeurs respirant votre cou, et aucun moyen de répondre "qui s'est connecté à quoi, quand?"
Puis vint l'ère "de nouvelle génération". Les vendeurs ont promis une détection plus intelligente, des corrélations à travers votre pile et même une pincée de menace. La promesse était moins de faux positifs et une réponse plus rapide.
Mais au lieu de l'apprivoisement, Ng Siems l'a simplement amplifié. C'était comme augmenter le volume sur une radio cassée et l'appeler un concert.
Les SIEMS se chargent généralement sur la base du volume de données brutes. Cela signifie que plus la visibilité est large, plus votre budget saigne. De nombreux dirigeants de la sécurité luttent avec ce dilemme: "Faut-il ingérer des journaux DNS ou simplement payer le loyer ce mois-ci?"
Les fournisseurs profitent lorsque le volume d'ingestion augmente, favorisant l'idée que plus de journaux = plu...
[Courte citation de 8% de l'article original]