Практическое сравнение SIEM-решений для построения SOC
Информационная безопасность Информационная безопасность

Мы сравнили популярные SIEM-решения для создания SOC

Главная>Информационная безопасность>Сравнение SIEM-решений для построения SOC
Информационная безопасность Обзор

Сравнение SIEM-решений для построения SOC

Дата публикации:
14.09.2015
Посетителей:
9356
Просмотров:
9654
Время просмотра:
2.3

Авторы

Автор
Тимур Ниязов В прошлом - менеджер по продвижению SOC и защиты БД Центра информационной безопасности компании «Инфосистемы Джет»

Мы сравнили популярные SIEM-решения для создания SOC

 

Рынок SIEM-системсложился довольно давно. На нем представлены технические решения различных производителей. Все они отличаются по архитектуре, возможностям масштабирования, полноте функционала, спектру решаемых прикладных ИБ-задач. Большая часть этих решений пошла по пути развития систем сбора и централизованного хранения событий с различных устройств (Log Management). Со временем появились корреляция событий и выявление инцидентов. На данный момент каждый производитель старается дополнить функционал SIEM вспомогательными функциями, такими как управление уязвимостями, рисками, поиск аномалий в сетевых протоколах, формирование списков зараженных IP-адресов и т.д.

 

 

Мы обладаем большим опытом реализации проектов по созданию систем мониторинга событий ИБ и в их ходе выявляем наиболее гибкие, мощные и постоянно совершенствующиеся продукты, имеющие качественную техническую поддержку на территории России и стран СНГ. Мы решили сравнить функционал ряда SIEM-систем, чтобы дать обобщенное представление об их возможностях. При подготовке списка сравниваемых решений мы в том числе опирались на отчеты международных аналитических агентств, в первую очередь –компании Gartner , а также на популярность решений на российском рынке. (Для анализа «способности реализации» аналитики Gartner принимают во внимание семь критериев, связанных с опытом клиента при использовании продукта или сервиса. Эта оценка включает простоту установки, использования, администрирования и масштабирования, стабильность работы и последующую сервисную поддержку. Для сбора информации аналитики проводят интервью с потребителями услуг поставщиков, а также собирают отзывы клиентов Gartner, которые пользовались SIEM-системами. По шкале «полнота видения» оценивается способность организации понимать потребности клиента и воплощать это в своих продуктах и сервисах.)

 

Рис. 1. Gartner Magic Quadrant for Security Information and Event Management, July 20

 

Основными функциями SIEM являются корреляция событий и выявление инцидентов информационной безопасности. Ввиду малой распространенности на рынке России и СНГ таких продуктов, как Splunk и LogRhythm, мы решили не рассматривать эти платформы в нашей статье.

 

По нашему мнению, среди отечественных решений наиболее перспективной является платформа Positive Technologies. Несмотря на то, что платформа основана на Open Source, компания способна развивать свое решение самостоятельно.

 

Таким образом, в список сравниваемых нами решений попали:

 

  • HP ArcSight
  • IBM QRadar
  • Intel Security McAfee ESM
  • RSA Security Analytics
  • Positive Technologies MaxPatrol SIEM

 

Так как все компании разные, ожидания от SIEM-систем у них различны (мы говорим о компаниях X и Y из первой статьи нашего номера), соответственно, разнятся и приоритеты в части функциональных возможностей. Поэтому мы вводим весовую модель для определения оптимальной платформы для компаний X и Y, где значение 5 – это максимально важный критерий для организации, а 1 – соответственно, наоборот.

 

  1. Поддержка источников событий (5)
  2. Сбор событий (8)
  3. Корреляция (10)
  4. Поиск данных и аналитика (9)
  5. Визуализация и отчетность (5 и 5 соответственно)
  6. Оповещение и приоритизация (5 и 5 соответственно)
  7. Общие настройки и предустановленный функционал (5 и 3 соответственно)
  8. Масштабируемость, отказоустойчивость и хранение (8, 5 и 7 соответственно)
  9. Мониторинг компонентов системы и внутренний аудит (3)
  10. Удобство использования (10)
  11. Наличие сертификатов соответствия ФСТЭК (2)
  12. Дополнительные модули системы (5)

 

Для оценки степени выполнения критериев сравнения мы ввели следующие виды оценок:

 

0 – критерий не выполняется;

1 – критерий выполняется частично;

2 – критерий полностью выполняется.

 

Далее мы разбираем каждый блок. Результат тестирования по первому блоку – поддержка источников событий – представлен в табл. 1.

 

Табл. 1. Поддержка источников событий

  ВендорыPT SIEMIBM QRadarHP ArcSightRSA Security AnalyticsMcAfee ESM
КритерийПараметрыВес компания ХВес компания YОценки
Поддержка источников событийКоличество поддерживаемых источников событий4512211
Качество парсинга событий5511211
Частота обновлений коннекторов/парсеров событий5522211
Возможность автообновления парсеров событий5412022
Возможность подключения нестандартных источников (упоминание о количестве поддерживаемых транспортов)4522222
Автообнаружение источников событий (автоматическое заведение источников событий при получении логов по syslog)5522222

 

PT MaxPatrol SIEM. Количество поддерживаемых источников постоянно растет. Известные поддерживаемые источники – Syslog, Windows Event Log, Windows File log, Windows WMI log, NetFlow, ODBC Log, Checkpoint LEA, SNMP Traps, SSH File Log, Telnet File Log. Max Patrol SIEM – новый продукт на рынке SIEM, он не дотягивает до гигантов индустрии по количеству поддерживаемых систем, но очень динамично развивается. Российские корни вендора могут дать продукту поддержку отечественных источников событий, отсутствующих во всех его западных конкурентах. Для разработки правил нормализации используется SDK, собственный язык программирования позволяет гибко нормализовать практически любое событие. Автообнаружение источников событий в системе присутствует, база источников периодически пополняется.

 

IBM QRadar. Платформой поддерживается более 300 стандартных источников событий. Полноценная категоризация определена для большей части основных событий аудита, но довольно часто встречаются и события без категории. Качество парсинга обусловлено и используемой схемой хранения событий, включающей небольшое количество наиболее критичных полей. Обновления коннекторов/парсеров событий выпускаются вендором по мере выхода исправлений и дополнений. Присутствует автообновление парсеров событий. Для подключения нестандартных источников могут применяться часто используемые транспорты. Разработка собственных парсеров происходит по большей части в основном интерфейсе продукта, для описания событий используется regex.

 

HP ArcSight. Платформой поддерживается более 300 стандартных источников событий. Все события категоризированы, и их имена определены. Помимо этого, коннекторы многих систем включают в себя несколько вариантов парсеров, что позволяет выбрать наиболее подходящий под конкретные цели алгоритм обработки аудита. Обновления коннекторов/парсеров событий выпускаются вендором по мере выхода исправлений и дополнений – 2–3 раза в квартал. Возможность автообновления парсеров событий отсутствует. Вендор заверяет, что это сделано намеренно, поскольку автообновление в производственной среде может привести к изменению корреляционной логики. У многих заказчиков на корреляционную логику завязаны SLA, эскалации, документооборот – здесь важно, чтобы все изменения SIEM-системы проходили контролируемым образом. Кроме того, наличие подключения SIEM-системы к сети Интернет создает определенные риски. Для подключения нестандартных источников могут применяться часто используемые транспорты. Механизм разработки коннекторов, реализованный в ArcSight, является одним из самых мощных и гибких. Он позволяет не только разложить событие по определённым полям, но и с помощью множества встроенных функций изменять эти значения, а также реализовывать логические операции, основываясь на значениях определённых токенов. Коннектор представляет собой текстовый файл определённого формата, для описания событий используется regex. Для разработки также существует несколько графических утилит.

 

RSA Security Analytics. Поддерживается большое количество разнородных систем. Более 250 поддерживаемых стандартных источников событий. Для парсинга в платформу заложена многоуровневая модель обработки события. Есть проблемы с опознанием систем по событиям. При разборе событий возникают проблемы с кириллицей. Нет регулярности в выходе обновлений коннекторов/парсеров. Обновления выходят в зависимости от популярности подключаемого нестандартного источника. Поддерживается автообновление парсеров событий. Для разработки коннекторов используется модуль прошлого SIEM от RSA – enVision. Парсер представляет собой текстовый файл XML-формата. Как приемник RSA enVision, RSA SA использует многие его парсеры.

 

Платформой поддерживаются следующие виды транспортов: AWS, Checkpoint, File Collection, Netflow Collection, ODBC, SDEE, SNMP, VMware, Windows, Legacy Windows и NetApp. Присутствует автообнаружение источников событий.

 

McAfee ESM. Решение поддерживает большое количество разнородных источников событий (более 400 систем: WMI, Syslog, SCP, FTP, HTTP(S), ODBC/MSSQL, OPsec, CEF, MEF). Обработка событий выполняется корректно. Но отсутствует механизм траблшутинга парсинга событий. Например, для аудита СУБД очень сложно разобраться, почему может не осуществляться парсинг событий. Обновления коннекторов выходят регулярно и доступны сразу для всего модельного ряда. Поддерживается автообнаружение источников событий. Поддерживается создание собственных парсеров событий. Разработка происходит в основном интерфейсе продукта, для описания событий используется regex.

 

Сбор событий

 

Результаты тестирования решений по критериям блока «Сбор событий» представлены в табл. 2.

 

Табл. 2. Сбор событий

  ВендорыPT SIEMIBM QRadarHP ArcSightRSA Security AnalyticsMcAfee ESM
КритерийПараметрыВес компания ХВес компания YОценки
Сбор событийНормализация (перевод записей лог-журналов в единый стандартный вид)5511221
Агрегация (объединение одинаковых событий)4511221
Фильтрация (запись событий, удовлетворяющих определенным условиям)5521222
Контроль целостности данных3502211
Возможность сбора, хранения, работы по raw-событиям5522222
Возможность хранения данных в течение разного периода времени, разделения данных на физическом и логическом уровне5512212
Маскирование данных при сбореотображении в консоли3502200
Возможность мониторинга сетевого трафика (в том числе до 7-го уровня)5502121

 

PT MaxPatrol SIEM. Присутствуют механизмы нормализации, агрегации и фильтрации событий. Нормализация производится только для определённых типов событий. Поддерживается возможность сбора, хранения и работы по raw-событиям. Отсутствует маскирование данных при сборе/отображении в консоли. Платформой поддерживается мониторинг сетевого трафика вплоть до 7-го уровня модели OSI при помощи дополнительного модуля MaxPatrol X Network Traffic.

IBM QRadar. Схема нормализации имеет 19 полей. Встречается много событий, которые плохо нормализуются. Агрегация присутствует, но она не настраиваемая. Также поддерживается фильтрация, но отфильтрованные события учитываются в лицензионном ограничении. Обеспечиваются маскирование данных и мониторинг сетевого трафика вплоть до 7-го уровня модели OSI.

 

HP ArcSight. Схема нормализации имеет более 200 полей. События хорошо нормализуются. Присутствует возможность гибкой настройки параметров агрегации. Поддерживается маскирование данных. Мониторинг NetFlow до 7-го уровня модели OSI осуществляется путем интеграции HP ArcSight и HP Tipping Point. Включение передачи событий из Tipping Point в ArcSight поддерживается решением по умолчанию и осуществляется одним действием в интерфейсе управления.

 

RSA Security Analytics. Поддерживаются нормализация, агрегация и фильтрация событий. Для контроля целостности данных требуется использование дополнительного модуля Archiver. Работа по raw-событиям гораздо медленнее по сравнению с конкурентами. Возможность хранения данных в течение разного периода времени, их разделения на физическом и логическом уровне также требует использования дополнительного модуля Archiver. Отсутствует маскирование данных. Мониторинг сетевого трафика вплоть до 7-го уровня модели OSI осуществляется с помощью модуля Packet Decoder.

 

McAfee ESM. Процесс нормализации приводит все события в формат MEF (McAfee Event Format). Осуществляется категоризация событий. Агрегация присутствует. Есть ограничения по агрегации – максимум 3 значения, по которым можно ее выполнить. Параметры агрегации можно переопределить. Разбор сетевого трафика на уровне приложений осуществляется путем интеграции с решением IPS от McAfee.

 

Корреляция

 

Результаты тестирования решений по критериям блока «Корреляция» представлены в табл. 3.

 

Табл. 3. Корреляция

  ВендорыPT SIEMIBM QRadarHP ArcSightRSA Security AnalitycsMcAfee ESM
КритерийПараметрыВес компания ХВес компания YОценки
КорреляцияБазовая корреляция5522222
Поведенческий анализ3502221
Обогащение данных из других систем3522222
Историческая корреляция4512202

 

PT MaxPatrol SIEM. Реализованы механизмы real-time корреляции событий. Отсутствуют механизмы для проведения поведенческого анализа. Поддерживается обогащение данных в пределах платформы MaxPatrol X. Проведение корреляции исторических данных планируется реализовать в следующих релизах.

 

IBM QRadar. Реализованы механизмы real-time корреляции событий, есть возможность провести поведенческий анализ, осуществляется обогащение данных из других систем, поддерживается корреляция исторических данных.

 

HP ArcSight. В продукте реализован один из наиболее гибко настраиваемых корреляционных механизмов. Возможно обогащение собираемых данных из сторонних систем на уровнях сбора (в коннекторе) и обработки (на менеджере). Историческая корреляция ограничена возможностью ручной проверки правила на исторических данных определённого временного интервала. Генерация корреляционных событий при этом не происходит.

 

RSA Security Analytics. В ядре системы заложен достаточно слабый корреляционный функционал, для полноценной корреляции возможно использование дополнительного модуля ESA. Функционал исторической корреляции в платформе отсутствует.

 

McAfee ESM. Реализованы механизмы real-time корреляции событий. При проведении поведенческого анализа есть возможность просмотреть два наложенных графика – статистику по событиям за предыдущий период и текущую статистику (онлайн). Для работы с историческими данными необходимо использовать компонент McAfee Advanced Correlation Engine (ACE). Этот модуль может выполнять и историческую корреляцию, но в один момент времени он может работать только в одном из режимов (real-time или исторической корреляции).

 

Поиск данных и аналитика

 

Результаты тестирования решений по критериям блока «Поиск данных и аналитика» представлены в табл. 4.

 

Табл. 4. Поиск данных и аналитика

  ВендорыPT SIEMIBM QRadarHP ArcSightRSA Security AnalitycsMcAfee ESM
КритерийПараметрыВес компания ХВес компания YОценки
Поиск данных и аналитикаВозможности по поиску событий5522222
Возможность группировки событий4522222
Возможности Drilldown по полям5521222
Google Like Search5522212
Скорость работы интерфейса5512222
Возможность применения активного воздействия2202222
Использование встроенных средств диагноcтики компонентов системы и создание своих5512221

 

PT MaxPatrol SIEM. Поддерживается поиск по событиям. Присутствует возможность группировки событий, Drilldown по полям и применения активного воздействия. Поддерживается механизм Google Like Search. Скорость работы интерфейса в боевой системе средняя. В качестве средств диагностики компонентов системы используются файлы журналов компонентов. События аудита работы самой системы не попадают в основной поток событий SIEM. Есть возможность активного воздействия средствами самой платформы (сканирование), а также выполнения скриптов.

 

IBM QRadar. Поддерживаются поиск по событиям и группировка событий. Drilldown по полям осуществляется в несколько действий. Присутствует механизм Google Like Search. Скорость работы интерфейса высока с учетом выполнения аппаратных требований. События аудита работы самой системы являются частью основного потока событий SIEM. Существуют преднастроенные правила, реагирующие на критичные события диагностики внутренних компонентов. Присутствует возможность создания своих правил. Поддерживается возможность выполнения скриптов.

 

HP ArcSight. Поддерживаются поиск по событиям и группировка событий. Drilldown по полям осуществляется в несколько действий, есть возможность создания нескольких различных Drilldown для одного Dashboard. Механизм Google Like Search реализован только в web-интерфейсах продукта. Скорость работы интерфейса высока с учетом выполнения аппаратных требований. События аудита работы самой системы являются частью основного потока событий SIEM. Существуют преднастроенные правила, реагирующие на критичные события диагностики внутренних компонентов. Присутствует возможность создания своих правил. Также есть возможность выполнения команд на некоторых продуктах HP (а также некоторых других вендоров), кастомных скриптов (на менеджере или коннекторах).

 

RSA Security Analytics. Поддерживаются поиск по событиям и группировка событий. Drilldown по полям осуществляется в несколько действий. Механизм Google Like Search доступен при использовании дополнительного модуля Warehouse. Скорость работы интерфейса высокая с учетом выполнения аппаратных требований. Существуют встроенные средства диагностики компонентов системы.

 

McAfee ESM. На практике встречаются ситуации, когда скорость работы интерфейса падает: например, при выборке по небольшому промежутку данных, которые были зафиксированы более 3 месяцев назад. Создание собственного dashboard и поиск по нему приводят к задержкам. Есть предположение, что индексируется только строго определенные значения (SRC IP, DST IP и т.п.). Соответственно, поиск по другим значениям занимает длительное время. Присутствуют средства диагностики компонентов системы, но зачастую нужно обращаться к вендору, т.к. штатная диагностика обычно говорит о том, что события не поступают, ресивер не доступен и т.п.

 

Визуализация и отчетность

 

Результаты тестирования решений по критериям блока «Визуализация и отчетность» представлены в табл. 5.

 

Табл. 5. Визуализация и отчетность

  ВендорыPT SIEMIBM QRadarHP ArcSightRSA Security AnalitycsMcAfee ESM
КритерииПараметрыВес компания ХВес компания YОценки
ВизуализацияТипы графического представления5511222
Поля графического представления5521202
Возможности кастомизации графических панелей3511222
Возможность перемещения графических панелей3502222
Наличие русского интерфейса2222200
ОтчетностьФорматы отчетов5512222
Возможность запуска отчетов за большие промежутки времени5512222
Поддержка создания отчетов по заданному расписанию5512222
Возможность переименования полей отчетов5512222

 

PT MaxPatrol SIEM. Доступны гистограммы и графики, а также таблицы и отчеты. Интерфейс русифицирован. Есть встроенные отчеты, формат, поля, промежутки времени, но для их кастомизации необходимо использовать SDK.

 

IBM QRadar. По умолчанию доступны 9 типов графического представления. Существуют некоторые ограничения в кастомизации графических панелей. Интерфейс русифицирован. Отчеты могут быть экспортированы в файлы следующих форматов: MS Excel, RTF, PDF, XML, HTML.

 

HP ArcSight. Доступны более 20 типов графического представления. В качестве полей графического представления используются Data Monitor, Dashboard, Query Viewer. Русифицированный интерфейс решения доступен с февраля 2015 года. Отчеты могут быть экспортированы в следующие форматы: MS Excel, RTF, PDF, CSV, HTML.

 

RSA Security Analytics. Доступны более 5 типов графического представления. В качестве полей графического представления используются Dashboard, System Stats. Русский интерфейс отсутствует. Отчеты могут быть экспортированы в следующие форматы: MS Excel, RTF, PDF, CSV, HTML.

 

McAfee ESM. Доступны следующие типы графического представления: табличное, pie chart, bar chart, графики, граф коммуникаций на основе анализа NetFlow. Русский интерфейс отсутствует. Отчеты могут быть экспортированы в следующие форматы: PDF, CSV, HTML. Присутствует возможность запуска отчетов за большие промежутки времени.

 

Оповещение и приоритизация

 

Результаты тестирования решений по критериям блока «Оповещение и приоритизация» представлены в табл. 6.

 

Табл. 6. Оповещение и приоритизация

  ВендорыPT SIEMIBM QRadarHP ArcSightRSA Security AnalitycsMcAfee ESM
КритерииПараметрыВес компания ХВес компания YОценки
ОповещениеВозможности по оповещению о возникающих событиях5512222
Возможность кастомизации параметров оповещения2501222
Возможные способы4512222
Гибкость настройки3512221
ПриоритизацияВозможность автоматического определения серьезности выявленного события5512222
Возможность кастомизации3510222
Возможность объединения событий по параметрам инцидента4502222

 

PT MaxPatrol SIEM. Отсутствует применение активного воздействия и реакции на оповещение. Невозможно провести кастомизацию параметров оповещения. В качестве возможных способов оповещения доступен только SMTP. Низкая гибкость настройки. Кастомизация приоритизации событий доступна при использовании SDK. Отсутствует возможность объединения событий по параметрам инцидента.

 

IBM QRadar. Применение активного воздействия и реакции на оповещение доступно только для ряда продуктов IBM. При кастомизации параметров оповещения невозможно использовать переменные. Доступны следующие способы оповещения: E-mail, Syslog, Console. Отсутствует кастомизация приоритизации событий.

 

HP ArcSight. Доступно применение активного воздействия, реакции на оповещение (нативные процедуры для некоторых продуктов HP, в других продуктах это возможно посредством выполнения скриптов) и кастомизации параметров оповещения. Возможные способы оповещения: E-mail, SMS, консоль, выполнение команд в ОС хоста менеджера или коннектора. Есть возможность кастомизации и приоритизации событий.

 

RSA Security Analytics. Доступно применение активного воздействия и реакции на оповещение, а также кастомизации параметров оповещения. Возможные способы оповещения: SMTP, SNMP. Есть возможность кастомизации приоритизации событий.

 

McAfee ESM. Доступны способы оповещения начиная с оповещения по электронной почте и запуска внешней команды (скрипта) на указанном устройстве и заканчивая полноценной интеграцией на уровне API с продуктами McAfee Network Security Platform (IPS/IDS решение), всеми агентскими продуктами McAfee (от антивируса до защиты БД) на уровне запуска специализированных команд и переназначения политик на агенте, а также со сканером уязвимости McAfee Vulnerability Manager (запуск сканирования напрямую из консоли SIEM).

 

Общие настройки и предустановленный функционал

 

Результаты тестирования решений по критериям блока «Общие настройки и предустановленный функционал» представлены в табл. 7.

 

Табл. 7. Общие настройки и предустановленный функционал

  ВендорыPT SIEMIBM QRadarHP ArcSightRSA Security AnalitycsMcAfee ESM
КритерииПараметрыВес компания ХВес компания YОценки
Общие настройкиПоддержка интеграции с LDAP, AD для обеспечения аутентификации4502222
Наличие Workflow и функций системы управления инцидентами4211222
Поддержка интеграции с третьими Workflow-системами2401212
Возможности по разграничению доступа3522222
Возможность настройки парольной политики5501222
Защита канала при взаимодействии компонентов системы5522222
Предустановленный функционалНаличие предустановленных правил корреляции5412222
Наличие предустановленных графических панелей (Dashboards)5412222
Наличие предустановленных отчетов5422222

 

PT MaxPatrol SIEM. Отсутствует интеграция с LDAP и AD для обеспечения аутентификации, но данный функционал вендор обещает реализовать в 12-м релизе своей платформы. Для разграничения доступа между пользователями доступна ролевая модель. Присутствуют встроенные корреляционные правила, графические панели и отчёты. Реализован базовый функционал управления инцидентами.

 

IBM QRadar. Поддерживается аутентификация пользователей в различных LDAP. Существует встроенный функционал Workflow. Поддерживается интеграция со сторонними Workflow-системами (ограниченная по поддерживаемым операциям). Встроено большое количество предустановленных корреляционных ресурсов, отчётов и графических панелей.

 

HP ArcSight. Поддерживается аутентификация пользователей в различных LDAP. Реализован встроенный функционал Workflow с гибкими возможностями кастомизации. Поддерживается интеграция со сторонними Workflow-системами. Встроено большое количество предустановленных корреляционных ресурсов, отчётов и графических панелей.

 

RSA Security Analytics. Поддерживается аутентификация пользователей в различных LDAP. Существует встроенный функционал Workflow, поддерживается интеграция со сторонними системами. Встроено большое количество предустановленных корреляционных ресурсов, отчётов и графических панелей

 

McAfee ESM. Поддерживается аутентификация пользователей в различных LDAP. Осуществляется интеграция с Remedy на уровне подключения по API; любая внешняя система уровня Service Desk интегрируется на уровне шаблонных сообщений SMTP для автоматического заведения инцидентов. Встроено большое количество предустановленных корреляционных ресурсов, отчётов и графических панелей.

 

Масштабирование, отказоустойчивость и хранение

 

Результаты тестирования решений по критериям блока «Масштабирование, отказоустойчивость и хранение» представлены в табл. 8.

 

Табл. 8. Масштабирование, отказоустойчивость и хранение

  ВендорыPT SIEMIBM QRadarHP ArcSightRSA Security AnalitycsMcAfee ESM
КритерииПараметрыВес компания ХВес компания YОценки
МасштабируемостьОграничения по количеству обрабатываемых событий в секунду2512212
Возможность распределения задач сбора и обработки событий по компонентам системы4522222
Возможность установки компонентов в различных форм-факторах5322222
Возможность увеличения мощности ядра системы4522222
Возможность увеличения мощности компонентов сбора событий4522222
Возможность развития системы за счет добавления дополнительных компонентов3522222
ОтказоустойчивостьВозможности по резервированию ядра системы3502222
Возможности по резервированию компонентов сбора событий5502222
Обеспечение непрерывности сбора событий5502212
Автоматическое резервирование конфигурации системы4502202
Возможность восстановления конфигурации после сбоев4502212
Автоматическое резервирование базы данных5502202
Возможность восстановления базы данных после сбоев5502202
ХранениеЭффективность хранения (сжатие данных)4512212
Возможность подключения внешних массивов для хранения архивных данных3512222

 

PT MaxPatrol SIEM. Ограничением по количеству обрабатываемых событий в секунду является порог в 30 000 (максимальная инсталляция, по информации от вендора). Отсутствует возможность резервирования компонентов системы и реализации отказоустойчивой конфигурации. Хранение событий осуществляется в исходном и нормализованном виде. Осуществляется сжатие данных до 30%. Для хранения событий используется MongoDB. Существует возможность интеграции с внешними массивами для хранения архивных данных.

 

IBM QRadar. Ограничением по количеству обрабатываемых событий в секунду является порог в 1 200 000 (максимальная инсталляция, по информации от вендора). Есть возможность реализации конфигурации High Availability. Осуществляется резервирование всех компонентов системы, вплоть до ядра. Сжатие данных при хранении происходит в соотношении 1 к 10. Для хранения событий используются Ariel.

 

HP ArcSight. Ограничением по количеству обрабатываемых событий в секунду является порог в 1 500 000 (максимальная инсталляция, по информации от вендора). Есть возможность реализации конфигурации High Availability. Осуществляется резервирование всех компонентов системы, вплоть до ядра. Сжатие данных при хранении происходит в соотношении 1 к 10. Для хранения событий используются CORR-Engine.

 

RSA Security Analytics. Ограничением по количеству обрабатываемых событий в секунду является порог в 20 000 (максимальная инсталляция, по информации от вендора). Есть возможность реализации конфигурации High Availability. Осуществляется резервирование всех компонентов системы, вплоть до ядра. Сжатие данных при хранении происходит в соотношении 1 к 10. Для хранения событий используется RAW/Meta и в случае с Warehouse – Hadoop.

 

McAfee ESM. Ограничением по количеству обрабатываемых событий в секунду является порог в 300 000 (максимальная инсталляция, по информации от вендора). Возможность увеличения мощности ядра и компонентов системы доступна для виртуальных комплексов. В случае ПАК требуется приобретение новой платформы. Есть возможность реализации конфигурации High Availability. Осуществляется резервирование всех компонентов системы, вплоть до ядра. Для хранения событий используется собственная внутренняя база данных.

 

Результаты тестирования по оставшимся блокам приведены в табл. 9.

 

Табл. 9. Результаты тестирования по оставшимся блокам

  ВендорыPT SIEMIBM QRadarHP ArcSightRSA Security AnalitycsMcAfee ESM
КритерииПараметрыВес компания ХВес компания YОценки
Мониторинг компонентов системы и внутренний аудитДоступность ядра системы4522222
Доступность компонентов сбора событий5522222
Доступность источников событий5522222
Внутренний аудит системы4502202
Удобство использованияЦентрализованное управление компонентами системы из единой консоли4522222
Автоматическое обновление набора предустановленных правил и отчетов4212022
Качество поддержки производителя4512211
Замена вышедших из строя компонентов5512212
Наличие сертификатов соответствия ФСТЭКНаличие сертификатов НДВ 4 и ТУ4511122
Дополнительные модули системыУправление уязвимостями4522022
Управление рисками3502002
Обнаружение аномальных действий пользователей5502222
Мониторинг действий пользователей5520222
Расследование инцидентов5522122
Репутационные сервисы2402222

 

Выводы

 

Как мы уже сказали вначале, эта статья содержит в себе информацию, сформированную на основе нашего многолетнего опыта работы с SIEM-решениями. Просим обратить внимание на то, что используемые для сравнения критерии – это опыт наших специалистов. Для каждой отдельной организации они могут меняться, равно как и значения для каждого из критериев. Опыт проведенных пилотов и проектов по внедрению показывает, что каждый заказчик формирует свой уникальный перечень критериев их успешности, и от компании к компании, от проекта к проекту они совпадают лишь частично. Тем не менее, в нашем сравнении мы постарались обобщить критерии и сформировать перечень, который подходит практически любой организации. Этой статьей мы хотим призвать своих читателей к взвешенному подходу при выборе подобных решений и предоставить пример, на который можно было бы опираться. Мы понимаем, что сколько людей, столько и мнений, поэтому рекомендуем в случае необходимости попробовать изменить веса и добавить в данный перечень критериев свои, специфичные параметры.

 

Итак, по результатам тестирования решений мы получили оценки, которые представлены в табл. 10 и 11*.

 

Табл. 10. Результаты для компании Х

  PT SIEMIBM QRadarHP ArcSightRSA Security AnalyticsMcAfee ESM
Название блокаВес блокаОценки
Поддержка источников событий53,54,33,83,53,5
Сбор событий83,45,66,55,64,7
Корреляция105,07,57,55,56,8
Поиск данных и аналитика96,27,38,07,37,3
Визуализация52,22,33,62,23,2
Отчетность52,55,05,05,05,0
Оповещение51,22,73,03,02,7
Приоритизация51,33,04,04,04,0
Общие настройки31,01,82,32,22,3
Предустановленный функционал53,35,05,05,05,0
Мониторинг компонентов системы и внутренний аудит32,12,72,72,12,7
Масштабируемость85,65,95,95,65,9
Отказоустойчивость50,04,44,41,84,4
Хранение71,63,33,32,33,3
Удобство использования105,38,56,56,37,5
Наличие сертификатов соответствия ФСТЭК20,80,80,81,61,6
Дополнительные модули системы52,33,22,43,54,0
 Итого:47,473,274,766,573,8

 

Табл. 11. Результаты для компании Y

  PT SIEMIBM QRadarHP ArcSightRSA Security AnalyticsMcAfee ESM
Название блокаВес блокаОценки
Поддержка источников событий53,74,44,23,63,6
Сбор событий83,56,57,56,05
Корреляция106,310,010,07,58,8
Поиск данных и аналитика96,47,68,27,67,6
Визуализация52,42,94,43,04,0
Отчетность52,55,05,05,05,0
Оповещение51,53,54,04,03,5
Приоритизация51,73,35,05,05,0
Общие настройки31,12,12,62,42,6
Предустановленный функционал52,74,04,04,04,0
Мониторинг компонентов системы и внутренний аудит32,33,03,02,33,0
Масштабируемость86,87,57,56,87,5
Отказоустойчивость50,05,05,02,15,0
Хранение72,34,74,73,54,7
Удобство использования105,58,57,56,07,3
Наличие сертификатов соответствия ФСТЭК21,01,01,02,02,0
Дополнительные модули системы52,54,02,84,04,8
 Итого:52,182,986,374,883,2

 

HP ArcSight раньше других продуктов нашего обзора появился на рынке SIEM-решений России, потому успел завоевать немало поклонников и противников. Продукт HP поддерживает широкий перечень разнообразных источников событий, выполняя нормализацию на очень высоком уровне. Он имеет наиболее широкие возможности тонкой отладки, кастомизации и действительно мощный корреляционный функционал. На ArcSight уже построено множество SOC в крупнейших телекоммуникационных, добывающих и финансовых холдингах. Платой за мощь и гибкость являются сложность первичного изучения продукта, его высокая стоимость и небольшое количество квалифицированных российских специалистов, умеющих работать с решением.

 

IBM QRadar оказался на российском рынке немного позже и на тот момент явно отставал от ArcSight по корреляционному функционалу, но зато имел гораздо более простой и понятный интерфейс. За это время его корреляционные возможности значительно возросли, но пока не дотягивают до возможностей ArcSight. У продукта появилось много нового, передового функционала, благодаря которому он оказался на лидирующих позициях отчёта Гартнера. QRadar имеет отличные возможности горизонтальной масштабируемости, присутствует функционал анализа сетевых потоков, а также возможность интеграции с множеством дополнительных модулей от IBM. Возможности тонкой отладки и кастомизации ограничены.

 

Решение McAfee ESM в первую очередь рассчитано на текущих заказчиков вендора. Благодаря единому API реализована наиболее тесная интеграция со всей продуктовой линейкой производителя, что позволяет организовать 2-стороннюю связь практически со всей инфраструктурой безопасности (построенной на McAfee). В продукте реализован довольно удобный и понятный web-интерфейс, позволяющий быстро изменять представления данных при расследовании. Корреляционный функционал, реализованный в компоненте ERC, не отличается высокой гибкостью настройки. Существует также ACE – отдельное устройство, поддерживающее как real-time, так и историческую корреляцию и реализующее risk-based корреляцию. Возможности тонкой отладки и кастомизации ограничены.

 

Продукт RSA Security Analytics появился на российском рынке SIEM сравнительно недавно, он вобрал в себя опыт прошлого SIEM вендора (EnVision) и возможности приобретённого ими NetWitness. Основная концепция продукта основана на более тесном включении информации о сетевых потоках в стандартную логику работы SIEM. Продукт имеет удобный и понятный web-интерфейс, что облегчает его изучение. Корреляционный функционал ограничен, существует дополнительный корреляционный модуль. Продукт позиционируется вендором как решение для больших инсталляций, этому способствуют его богатая модульная структура и интеграция с высокоуровневыми продуктами RSA (Archer, ECAT, RSA Security Operations Management). Возможности тонкой отладки и кастомизации ограничены.

 

PT SIEM: российские вендоры только начинают свой путь на рынке SIEM-решений, и этот продукт имеет все шансы прочно закрепиться на внутреннем рынке благодаря позициям вендора и тенденциям к импортозамещению. Продукт активно развивается, и ещё слишком рано сравнивать его с гигантами индустрии, но несмотря на это, даже текущая версия выглядит жизнеспособной. В ней уже реализована большая часть функционала современных SIEM-решений. Основной продукт вендора – хорошо зарекомендовавший себя MaxPatrol, следовательно, интеграция SIEM-системы с функционалом управления уязвимостями и аудита систем максимальна.

 

Исходя из результатов тестирования, мы хотим сделать следующие выводы: для больших организаций, холдинговых структур, которые соответствуют компании Y из нашей предыдущей статьи, мы рекомендуем использовать в качестве платформы SOC решение от HP ввиду его гибкости и богатого функционала. Организациям не такого большого масштаба мы рекомендуем рассмотреть решения от компаний MсAfee и IBM. Они подходят тем организациям, которые не готовы заниматься тонкой настройкой системы и которым не нужна специфичная гибкость платформы для реализации основных функций SOC. Организациям, перед которыми достаточно остро стоит вопрос импортозамещения, в том числе средств защиты информации, мы рекомендуем использовать решение от компании Positive Technologies, поскольку оно является отечественной разработкой. Продукт новый, при этом вендор активно его дорабатывает, и мы видим его большое будущее.

* Методика расчета:

1. Мы умножали вес каждого критерия (отдельно для компаний X и Y) на оценку того или иного решения по этому критерию. Затем мы суммировали полученные значения в рамках одного блока. Данную сумму мы умножали на вес самого блока (A).

2. Также мы рассчитывали общий коэффициент для каждого блока: умножали максимально возможный балл, который могло получить то или иное решение (2) на максимально возможный вес критерия для компаний (5) и на количество критериев в блоке (B). Например, в случае с масштабируемостью (табл. 8) таких критериев 6. То есть общий коэффициент для этого блока равен 60.

3. На последнем этапе методики мы делили A на B, таким образом получая оценки для финальных таблиц.

 

Excel-таблицы, в которых вы можете самостоятельно изменить вес каждого критерия в соответствии с приоритетами вашей компании и сформировать собственную финальную оценку решений, доступны в Приложении.

 

Методика расчета баллов, полученных каждым анализируемым SIEM-решением.

Уведомления об обновлении тем – в вашей почте

IBM CloudBurst – простой шаг к «облачным вычислениям»

Идеология «облачных вычислений» по оценкам GartnerGroup получила популярность в 2007 году благодаря быстрому прогрессированию вычислительной мощности оборудования. Также этому способствовало появление технологий виртуализации и растущая в геометрической прогрессии потребность организаций в горизонтальном масштабировании своих информационных систем.

Новые СХД на базе flash-технологий

IBM представила новые СХД на базе flash-технологий. Речь идет о пополнении семейства IBM FlashSystem двумя моделями – IBM FlashSystem A9000 и IBM FlashSystem A9000R, а также о решении корпоративного уровня IBM DS8888, предназначенного для работы в связке с мейнфреймами IBM z Systems и серверами IBM Power Systems.

Консолидация – скрытые резервы ЦОД

Сегодня многие центры обработки данных (ЦОД) содержат большое число разнотипного оборудования различных вендоров ..

Интервью с Дмитрием Лактионовым, руководителем направления ECM-решений, IBM

Откуда растут корни "лоскутной" автоматизации бизнес-процессов в ряде российских компаний?

Создание централизованной системы управления ИТ-инфраструктурой Комитета экономического развития, промышленной политики и торговли (КЭРППиТ) Администрации СПб

О заказчике Комитет экономического развития, промышленной политики и торговли (КЭРППиТ) является одним из ключевых органов исполнительной власти Санкт - Петербурга, регулирующих политику экономического развития города. В круг его задач входит ...

«Это напоминает бег по тонкому льду: чем быстрее ты бежишь, тем быстрее под тобой ломается лед… Остановился — утонул»

Готовя этот номер, мы попросили дать интервью Андрея Рыбина, заведующего сектором информационной безопасности Департамента информационных технологий (ДИТ) Москвы.

Строили и построили, или Как избежать ошибок при проектировании облака

В настоящее время весьма актуальными являются вопросы, связанные с построением облачных решений

Social Mining - анализ данных о Homo Socialis

Информация о поисковых запросах, друзьях в социальных сетях, отмеченных местоположениях уже давно является «лакомым куском» для интернет-компаний

Управление рисками как комплексный процесс

Когда предприятия определяют свою стратегию для eGRC (Enterprise Governance, Risk and Compliance), многие ищут нечто более эффективное, чем просто программное обеспечение для повышения офисной производительности и использование точечных продуктов.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня