Pourquoi la tarification basée sur l'appareil est idéale pour les solutions SIEM

Lorsqu’il s’agit de solutions de gestion des informations de sécurité et des événements, la tarification est un facteur important. Après tout, SIEM contient beaucoup de données qui circulent à un moment donné, et ces données doivent être stockées et analysées quelque part – généralement sur une plate-forme de fournisseur SIEM. En raison du coût élevé, de nombreuses organisations en viennent à des compromis sur les données qu’elles collectent. Ils quittent les grosses sources et espèrent que leurs fonctions dans SIEM continueront à être tout aussi puissantes. Dans cet article, nous examinons les différents modèles de tarification SIEM disponibles aujourd’hui. Si vous êtes à la recherche d’une solution SIEM, vous trouverez ici des informations utiles.

Les trois modèles de licence SIEM

Bien qu’il existe aujourd’hui de nombreux fournisseurs de SIEM, ils appartiennent tous à l’une des trois catégories pour la façon dont ils apprécient leurs solutions. Voici les catégories :

  1. Événements par seconde (EPS) : chaque appareil au sein de l’organisation génère des événements qui sont absorbés dans le SIEM. Cette méthode prend en compte l’estimation du nombre d’événements reçus en SIEM par seconde. C’est la façon traditionnelle de calculer la taille de la licence requise.
  2. Volume par jour / Volume par mois : Cette méthode calcule la taille réelle des événements (Go/To) générés et absorbés par le collecteur SIEM par mois/jour.
  3. Basée sur l’appareil : la licence est dimensionnée en fonction du nombre réel d’appareils intégrés au SIEM. Idéal pour les petites et moyennes installations, car il est indépendant de la variation du nombre et du volume d’événements générés sur tous les périphériques réseau.

Les défis de la tarification au volume

Il y a des problèmes différents avec chaque méthode dont vous devez être conscient lorsque vous décidez entre eux.

Avec le modèle d’événement par seconde, vous devez vous assurer que le volume de données ne dépasse jamais l’EPS que vous avez défini avec votre fournisseur SIEM. Par exemple, si votre limite est de 5 000 EPS et que vous rencontrez un pic de 6 000 EPS pendant une heure de la journée, les 1 000 événements supplémentaires seront complètement supprimés ou retardés pour être ajoutés plus tard. Ce n’est pas idéal car cela ne vous donne pas une vue holistique de vos données SIEM.

De même, avec le modèle de volume par jour/mois, vous calculerez combien de Go de données sont générés par vos systèmes et achèterez une licence en conséquence. Encore une fois, si vous restez dans cette limite de Go, les choses s’arrangeront, mais une fois que vos données dépassent cette limite, vous risquez de perdre ou de retarder l’accès aux données SIEM

Les politiques de licence basées sur votre EPS et votre volume de journalisation conduisent à l’optimisation des données que vous recevez dans l’outil SIEM. Cela signifie réduire considérablement la taille de vos besoins pour l’adapter à votre budget et payer plus tard pour des mises à niveau coûteuses.

Les licences SIEM sont souvent dimensionnées sans tenir compte des logs au niveau de l’application. Cependant, la collecte et l’analyse de ces journaux sont obligatoires dans l’environnement actuel. Les organisations peuvent souvent supposer que des événements minimaux sont collectés à partir de technologies standard. Cela présuppose le meilleur des cas, qui, on le sait, ne s’avère jamais vrai. Cela signifie que de nombreux TTP du cadre MITRE (tactiques, techniques et procédures) basés sur ces journaux ne peuvent pas être exécutés à l’aide de l’outil SIEM.

Un autre problème avec les deux modèles ci-dessus est que vous vous retrouverez inévitablement avec une offre excédentaire et que vous achèterez plus de capacité que nécessaire les jours normaux.

La meilleure alternative – Tarification basée sur l’appareil

Le modèle de tarification SIEM basé sur le nombre d’appareils est plus prévisible. En effet, le nombre d’appareils dans une organisation est plus cohérent et prévisible que la quantité de données générées chaque seconde, chaque jour ou chaque mois. Oui, de nouveaux appareils seraient toujours ajoutés et les appareils existants supprimés, mais c’est beaucoup moins un changement que les données qui peuvent atteindre une hauteur et retomber à des niveaux normaux la suivante.

La tarification des appareils fonctionne bien, à condition qu’il n’y ait pas d’avertissements. Par exemple, si le coût par appareil est trop élevé, ce modèle ne fonctionnera pas. Alternativement, s’il existe une limite non spécifiée sur les données enregistrées par appareil, encore une fois, ce modèle ne fonctionnera pas.

Cependant, un scénario idéal serait que la tarification SIEM soit par appareil et que le volume de données soit illimité ou illimité. Cela vous donne la tranquillité d’esprit en sachant que toutes les données SIEM seront enregistrées en temps réel, quel que soit le flux de données et, d’autre part, le coût restera prévisible chaque mois.

Quel est l’appareil dans SIEM ?

Aide à clarifier ce qu’est un appareil sous SIEM. Certes, il existe de nombreux types d’appareils et chaque fournisseur de SIEM aura sa propre définition de ce qu’il considérerait comme un appareil. En termes plus simples, chaque entité de transfert de journal est un appareil. Voici quelques exemples de types d’appareils :

  • Un serveur Linux avec un serveur web Apache et une base de données Oracle
  • Un pare-feu de périmètre qui fait circuler le trafic pour l’ensemble du datacenter
  • Un serveur de gestion de pare-feu qui gère cinq pare-feu différents
  • Une instance de serveur AWS EC2 ou une base de données RDS

Chacun de ces appareils nécessite une licence distincte. Comme le montre la liste, chacun de ces appareils générera une quantité différente de données. Il est important de vérifier si un fournisseur de SIEM a des valeurs différentes pour chaque type d’appareil. Obtenez une liste de tous les types de périphériques auprès d’un fournisseur SIEM que vous envisagez et assurez-vous de prendre en compte tous les périphériques de votre système lors de l’estimation des coûts.

Avantages d’une licence basée sur l’appareil

Le meilleur type de tarification basée sur l’appareil est une licence basée sur l’appareil. Cela signifie simplement qu’il n’y a pas de limite à la quantité de données pouvant être stockées ou traitées par appareil.

Avec une licence non couverte par l’appareil, vous pouvez vous assurer qu’il n’y a aucune limite à :

  • Volume de journal / EPS des fichiers journaux transmis par chaque appareil individuel
  • Nombre d’utilisateurs utilisant l’outil SIEM
  • Nombre de requêtes ou de panneaux de contrôle créés pour analyser les données absorbées
  • Nombre de copies de données SIEM
  • Durée de conservation des données SIEM

Lorsque vous atteignez ce niveau de détail, vous remarquerez d’énormes variations entre les modèles de tarification de chaque fournisseur. Mais comme le dit le proverbe, le diable est dans les détails. Ces détails sont importants lorsque vous investissez dans une solution de sécurité critique sur laquelle votre organisation s’appuiera pour les années à venir.

Fournisseurs SIEM et modèles de tarification

Vous trouverez ci-dessous une liste de fournisseurs SIEM, grands et petits, organisés par type de modèles de tarification qu’ils proposent :

Tarification SIEM EPS

  • IBM QRadar, ArcSight, RSA NetWitness, McAfee

Ces vendeurs sont parmi les plus anciens du marché. Ils suivent le modèle de tarification le plus courant dans SIEM aujourd’hui – EPS. Leurs plateformes sont largement utilisées et sont très appréciées dans les grandes entreprises. Si votre organisation est une entreprise avec des exigences très spécifiques, ces vendeurs peuvent répondre à tous les besoins, comme ils l’ont vu au fil des ans.

Volume SIEM par jour/mois

Splunk est l’un des outils les plus populaires sur le marché. Ils tarifent principalement leur offre en fonction du volume. Splunk est une offre puissante avec toutes les fonctionnalités d’un SIEM moderne.

DNIF n’est pas aussi connu que les autres ici, mais c’est une offre SIEM capable offrant une tarification basée sur le volume, bien que ce ne soit pas le seul modèle de tarification.

Tarification basée sur l’appareil SIEM

  • Splunk, DNIF, FireEye Helix

Venant à une tarification intéressante basée sur l’appareil, Splunk propose un modèle de licence basé sur l’appareil, mais est accompagné d’un avertissement indiquant que les volumes sont “soumis à des limites de service

Le modèle de tarification principal de DNIF est basé sur l’appareil. Ils offrent une véritable UDL (licence basée sur l’appareil sans restrictions) qui ne limite pas la quantité de données reçues de chaque appareil. De plus, ils ont un prix unique pour chaque type d’appareil. DNIF a récemment publié un Version communautaire du logiciel SIEM qui a toutes les capacités et est un excellent moyen d’évaluer si la plate-forme est adaptée à votre organisation.

FireEye Helix est un fournisseur relativement nouveau dans le domaine. Ils offrent un modèle de tarification basé sur les appareils et ont des prix compétitifs.

DNIF et FireEye Helix valent la peine d’être pris en compte si vous recherchez une tarification basée sur l’appareil et que Splunk est toujours très cher ou restrictif pour vous.

Fournisseurs et prix SIEM : beaucoup de choix

Comme vous pouvez le voir, il existe de nombreuses options parmi lesquelles choisir en ce qui concerne les fournisseurs de SIEM. Vous devez regarder les détails des prix et choisir celui qui convient le mieux à vos besoins. Avec une licence basée sur l’appareil, vous pouvez profiter de la prévisibilité de vos coûts SIEM et intégrer tous les types d’enregistrement pour assurer une visibilité totale.

Image suggérée : Pixabay


Vues de la publication :
4


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *