חברה קנתה Splunk ב-₪2 מיליון. שנה לאחר מכן, המערכת מלאה בלוגים שאיש אינו קורא, אין Use Cases מוגדרים, ושני אנליסטים שפרשו. זהו הכישלון הקלאסי של SIEM. לא מחוסר כוונה – אלא מחוסר הכנה. המדריך הזה יגרום לכם לעשות את זה אחרת.
מה זה SIEM?
Security Information and Event Management – פלטפורמה שאוספת לוגים ממקורות שונים, מתאמת אירועים, ומייצרת התראות על חריגות. הערך האמיתי אינו באיסוף – אלא בתהליך ה-Detection שמאחוריו.
לפני שקונים: 5 שאלות שחייבים לענות
- 1מה ה-Use Cases העסקיים? (Login anomalies? Lateral movement? Data exfil?) – ללא תשובה, אין טעם.
- 2מי יפעיל את ה-SIEM? האם יש לכם SOC Analyst? תקציב ל-MSSP?
- 3כמה לוגים (EPS – Events Per Second) אתם מייצרים? זה קובע עלות.
- 4אילו Data Sources נדרשים? AD, Firewall, EDR, Cloud, Apps.
- 5מה ה-MTTD (Mean Time to Detect) שאתם מכוונים אליו?
כלים מובילים – השוואה מהירה
- Microsoft Sentinel – Cloud-native, מחיר לפי GB, אינטגרציה מצוינת עם Azure/M365. מומלץ לארגוני Microsoft.
- Splunk Enterprise Security – הכי עוצמתי, הכי יקר. מתאים ל-Enterprise גדול עם SOC.
- IBM QRadar – חזק ב-Compliance Reporting, מורכב להטמעה. פופולרי בבנקאות.
- Elastic SIEM – Open Source עם קומרשיאל. גמיש, זול יחסית, דורש מומחיות.
- Wazuh – Open Source מלא, מצוין ל-SMB, קהילה גדולה.
Use Cases שחייבים לבנות ביום הראשון
- 1Brute Force Detection – N פניות כושלות ב-X דקות מאותה IP → Alert.
- 2Impossible Travel – Login מישראל ואחרי 10 דקות מגרמניה → Critical Alert.
- 3Off-Hours Admin Activity – פעילות Admin מחוץ לשעות עסקים → Investigation.
- 4Large Data Transfer – העברת +1GB החוצה בשעה אחת → Potential Exfiltration.
- 5New Admin Account Created – בכל מקרה שנוצר חשבון Admin, alert.
SIEM מצליח כשה-SOC Analyst שמפעיל אותו יודע להגיד: "הצלנו את הארגון ממתקפה X". זה דורש Use Cases ברורים, Runbooks, ותרגול. בלי זה, SIEM הוא רק "log vacuum" יקר.
SIEMSOCLog ManagementSplunkMicrosoft Sentinel