Есть ли сравнительный анализ SIEM?

Question

[Andrey San]

Компания решила купить SIEM в связи с этим я должен предоставить сравнительный анализ продуктов ведущих брендов как HP, IBM итд.
помогите найти пожалуйста.

Comments

[Igor K.]

infosecnirvana.com/clash-titans-arcsight-vs-qradar - внезапно написали 2 дня назад, весьма годное сравнение

Answer 1

[Igor K.]

Сравнительный анализ на основании каких критериев? Как такового анализа нет (читаем "нет в открытом доступе") - есть множество статей на тему "в этом лучше, в этом хуже" (Magic Quadrant for Security Information and Event Management sic!). Если требуется сравнение по неким техническим характеристикам - то только писать самому перебирая множество источников и работая со стендами. Недавно прошел через эту мучительную процедуру. Начать можно - с вот таких статеек - "Обзор SIEM-систем"

UPD. Совсем забыл о прекрасной, правда, уже старой книге - David R. Miller <...> Security Information and Event Management (SIEM) Implementation. Там есть неплохая информация к размышлению.

Comments

[Andrey San]

спасибо за подробный ответ, кстати если кому надо такая же информация то ищите файл с таким названием siempresalev-140908051056-phpapp01.pptx

Answer 2

[Rushan4eg]

В 2014 году столкнулся с вопросом выбора SIEM для Банка (нужно было именно "рабочее решение"). На мой взгляд, среди лидеров можно выделить ArcSight ESM (выделю, что многие коллеги жалуются на поддержку), QRadar SIEM, McAfee ESM - но приобретение и поддержка систем для нас не по карману. В результате остановились на коммерческой версии популярной OSSIM от разработчика AlienVault- Unified Security Management (USM). Система включает сканер Nessus, IDS (гибрид Snort и Suricata) и умеет собирать NetFlow потоки.

Comments

[Igor K.]

Отмечу, что у всех лидеров свои недостатки.
HP ArcSight - потрясающая платформа для аналитики, но с инфраструктурной точки зрения весьма проблемный продукт (15 лет не было полноценного обеспечения redundancy ESM, например).
IBM QRadar - просто в развертывании, прозрачные схемы лицензирования, но аналитика пока хромает (для того чтобы использовать логический оператор OR в правилах - нужно создать 2 правила с разными параметрами, например. Ролевая модель вообще заставляет прослезиться).
McAfee ESM - имеет относительно низкий порог вхождения и стоимость, но для того, чтобы добиться функционала ArcSight или QRadar - следует купить n-ое кол-во дополнительных продуктов.

Так что USM - очень разумный выбор, особенно если основная цель - обеспечение соответствия тому же PCI DSS.

[Dima Kim]

Rushan4eg, а есть контакты реселлера ArcSight? а тоуже целый день не могу найти рабочие контакты

[Bogatyrev]

Igor K., какие впечатления о AlienVault USM?

[Rushan4eg]

Bogatyrev, только хорошие!

Answer 3

[Alister O]

Добрый день, скажите пожалуйста, что умеет qradar & arcsight чего не умеет заббикс?
логи прекрасно собирает, срабатывает по условии триггера, читает любые логи.

Comments

[Igor K.]

Сравнивать системы монторинга и системы сбора и корреляции некорректно. Это разные решения. С разными сферами применения.
Хранение нормализованных событий (Заббикс сам по себе не хранит чужие события), возможность написания сложных корреляций (не надо возиться с тэгами), автоматическая проверка соответствия комплаенсам и прочая и прочая.
Направленность тоже разная. SIEM - это удел безопасников, Zabbix - технически специалистов.

З.Ы. Хотя SIEM - это уже тоже прошлый век. (:

[Alister O]

Igor K.: спасибо что откликнулись, наверное я плохо понимаю и не знаю возможности сием, но на данный момент я ничего не увидел заметно отличающегося от заббикс, у меня сейчас заббикс настроен так что собирает логи со всего что можно, триггеры настроены чтобы оповещать при срабатывании по каким то тегам, отчет вытаскаиваю по sql, отправляю в формате html через крон, например неудачные попытки входа в систему за рабочий день, и вне рабочего дня итд.
сейчас дали посмотреть ibm qradar и arcsight, возникла проблема, как их сравнить между собой, по каким критериям.

[Igor K.]

Для начала нужно ответить на просто вопрос - а нужно ли оно вам вообще?
Эти системы нужны для обеспечения процесса ИБ, отчетности, комплайансов, без четкого понимания векторов возможных атак и чего хочется смотреть - смысла в этих системах нет совершенно никакого.
Лучше пользоваться более полезными с точки зрения ИТ-специалиста инструментами.

infosecnirvana.com/clash-titans-arcsight-vs-qradar - вот адекватное сравнение.

[Alister O]

Igor K.: можете помочь понять мне, я так понял что сием берет данные с логов, например обсудим ситуацию с виндовс машинами, он берет логи со всех виндовс машина (sec app sys) и и выдает алерты, что он еще умеет?

[Alister O]

Igor K.: скажите помочь, посмотрел у qradar всего 96 включенных правил, в общем 130, из них не относящиеся к сети я могу выполнить средствами заббикс около 95%. siem не генерирует логи, он берет и уведомляет, заббикс тоже самое делает, почему тогда они стоят как хорошая машина? чего я не понимаю, что есть в qradar arcsight такое что отличает от заббикса?

[Igor K.]

Читаем мой первый ответ внимательно. Разные классы систем, разные функции. SIEM - это не только и не сколько уведомления.
www.securitylab.ru/analytics/430777.php - рекомендую прочитать матчасть.
Ну и простой совет. Если вы не знаете зачем вам SIEM - не покупайте SIEM.

[Rushan4eg]

Alister O: Ну во первых не со всего Вы сможете забирать логи штатными средствами zabbix. Если реально смотреть на картину, то реализация сбора с различных приложений на zabbix выльется в большие деньги и годы разработки. Допустим из oracel тоскать события audit trail. Да zabbix хорош для мониторинга инфраструктуры и это его прямое предназначение. Вопросы по сбору событий безопасности оставьте для SIEM - они для этого сделаны.

В SIEM есть прекрасные механизмы как нормализации событий, то есть в SIEM падает не просто сырой лог, а нормализованный таким образом, что его можно корректно читать и дальше корректно обрабатывать его....корреляции...и их много..Вы говорите о 100 корреляциях, в AlienVault их 4000 тысячи. Да и корреляция происходит не просто между компонентами в рамках одних типов, а между всеми логами из разных систем выявляя цепочку вектора потенциальной атаки.

Дальше. Разбор реальных событий, создание тикетов для закрытия дырки и разбор всех полетов только на SIEM.

Как говорится, сделать самому можно что угодно, но стоит ли это того?