Embed Size (px)
DESCRIPTION
Участвуют ТОП 5 по Gartner с небольшой поправкой на РФ - LogRhythm заменён на RSA Security Analitycs (enVision)
Citation preview
УПРАВЛЕНИЕ ИНФОРМАЦИЕЙ О СОБЫТИЯХ И ИНЦИДЕНТАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ SIEM SECURITY INFORMATION & EVENT MANAGEMENT
Пётр Кузеев, Системный архитектор
NVision Group
www.nvg.ru
ТОП ВЕНДОРОВ ГАРТНЕР
ТОП 5 ВЕНДОРОВ СЕГОДНЯ РФ
ArcSight – старт проекта в 2000, 2010 куплен HP
Q1 Labs QRadar –
старт в 2001, куплен IBM в
2011
Nitro Security – старт 1999,
куплен McAfee в
2011
RSA enVision – куплен в
2005, куплен EMC в 2011
Splunk – старт в 2006
СБОР ДАННЫХДанные собирает или получает агент и передаёт на сервер
Данные собирает или получает сервер
Splunk McAfee QRadar ArcSight enVision
Возможен любой вариант получения данных
Смешанная, зависит от типа источника
Смешанная, зависит от типа источника
Только агент или сервер агентов сбора
Только сервер сбора*
Серверанализа
Сервер сбора
Агент
-----------------------
----------------------------------
АРХИТЕКТУРА SPLUNK
Search Head
Indexer
Forwarder
АРХИТЕКТУРА MCAFEE
ESM
ELM, ACE, ADM, DEM, Receiver
Агент, GTI
АРХИТЕКТУРА QRADAR
SIEM
Log Management, Risk Management
Агенты, коллекторы
АРХИТЕКТУРА ARCSIGHT
ESM, Identity View, Data, Application,
Network Monitoring
Logger
Connector, Connector Appliance
АРХИТЕКТУРА ENVISION (SA)
ESP, Аналитика,
LIVE
Концентратор, брокер
Декодер
УСТАНОВКА
Вендор Тип установки Длительность
Splunk Софт под любую ОС 10 минут
McAfee Готовый образ VMWare
30 минут
QRadar Готовый образ VMWare
30 минут
Arcsight Софт, устанавливаемый на подготовленную ОС Red Hat
1 – 2 часа, включая установку ОС
enVision (SA) Софт, устанавливаемый на подготовленную ОС Windows 2003/2008
1 – 2 часа, включая подготовку образа
ПРОТОКОЛЫ ОБМЕНА ДАННЫМИ
Протокол получения данных
Описание
1. Syslog (Syslog TLS) 90% данных передаётся с использованием Syslog
2. Текстовый файл (scp, http, ftp, sftp, nfs, cifs)
Чтение произвольного текстового лога с последующей обработкой
3. WMI источник Сбор событий через WMI, например, с контроллера домена
4. Microsoft AD (LDAP) Использование службы каталогов
5. Таблица СУБД (ODBC) Сбор данных прямым подключением к СУБД
6. Netflow Сбор потоков с сетевых устройств
7. SNMP Получение и отправка данных по SNMP
8. OPSEC/LEA, SDEE Использование фреймворков
9. JDBC, IPFix, … Остальные протоколы
ПАРСИНГ И ТИПЫ ИСТОЧНИКОВ «ИЗ КОРОБКИ»
Вендор Уровень парсинга
Splunk Готовых практически нет, есть модули от «сообщества», но имеет мощный встроенный конструктор для обработки логов
McAfee Много готовых, для добавления новых встроенный редактор – Advanced Syslog Parser
QRadar Собственные 90%, остальные партнёрские, для добавления новых – LSX (Log Source Extension)
ArcSight Самый большой набор готовых, новые добавляются через Flex Connector
enVision (SA) Собственные 70%, остальные партнёрские, создание новых с помощью консольного редактора Universal Device Support Console
СОЗДАНИЕ ДАШБОРДОВ
Вендор Работа с дашбордами
Splunk Готовых нет, есть с модулями от «сообщества» и от вендора, но имеет простой редактор
McAfee Много готовых, достаточно гибкий конструктор для добавления новых
QRadar Готовые под любую выборку, конструктор с привязкой к обработанным данным
ArcSight Большой набор готовых, удобный редактор для создания новых
enVision (SA) Есть минимальный набор готовых, возможность добавления новых
КОРРЕЛЯЦИЯ
Вендор Возможности корреляции
Splunk Отдельный пакет с правилами, правил мало, политика вендора – вы лучше знаете свою сеть, вы сможете сами написать правила
McAfee Много готовых, удобный редактор, готовые политики
QRadar Связка с базой данных уязвимостей, требуется создание политики
ArcSight Большой набор готовых, удобный редактор, готовые политики
enVision (SA) Есть набор готовых, сложный конструктор, отход от стандартной модели*
ПОДДЕРЖКА
Вендор Уровень поддержки
Splunk Все материалы вендора в открытом доступе, мощное сообщество, отлично помогает дистрибутор RRC, дистрибутив доступен для изучения
McAfee Хороший уровень у вендора в РФ, дистрибутив доступен под пилот без ограничений, есть сообщество,
QRadar Достаточной высокий уровень вендора в РФ, дистрибутив доступен под пилот – ограничен по времени
ArcSight Высокий уровень у вендора в РФ, есть сообщество, отлично помогает дистрибутор Axoft, ограничение дистрибутива под пилот по времени
enVision (SA) Низкий уровень у вендора в РФ, низкий уровень у дистрибуторов – демо-версия продукта продаётся
СОЗДАНИЕ ДАШБОРДОВ
ВендорПараметр
Splunk McAfee QRadar ArcSight enVision
1. Интерфейс Web Flash (HTML5)
Web Flash Web HTML5 Web и приложение
Web и приложение
2. Язык интерфейса Английский (русский XML*)
Английский
Русский (Частичные вставки на английском)
Английский Английский
3. Образ VMWare Нет Да Нет Нет Нет
4. Лицензирование Мб/Сутки, количество одновременных запросов
Устройства или параметры VM
Устройства и Мб/Сутки
Все варианты, количество одновременных пользователей консоли
Устройства или параметры сервера
5. Соответствие стандартам
PCI DSS > 10 >10 >10 >10
