SIEM apa kamu? kami berkomunikasi secara normal

Halo! Saat bertugas, saya harus menghadapi kenyataan bahwa dibutuhkan untuk mengimplementasikan sistem SIEM. Saya hanya menceritakan pengalaman hidup saya tentang SIEM apa yang saya terapkan dan plus atau minus apa yang kami dapatkan untuk harganya. Review mini solusi yang ada di pasaran. Jika Anda memiliki pengalaman dengan sistem ini atau itu, saya bertanya dengan hati-hati, kami akan dengan senang hati membahas topik ini. Saya rasa bagi mereka yang dihadapkan pada suatu pilihan akan sangat bermanfaat untuk membaca.



Jadi, SIEM pertama yang saya temui saat mengimplementasikan di N-bank adalah ArkSite.



Itu sudah cukup lama, 5-6 tahun yang lalu. Ya, saya mengerti bahwa itu telah diperbarui, beberapa roti telah ditambahkan, dan seterusnya. TAPI harap dicatat bahwa semua solusi juga telah berkembang.



Jadi apa yang kami suka dan apa yang tidak kami sukai.



Menyukai.

1. Kolektor yang baik di perangkat
2. Dimungkinkan untuk mengumpulkan peristiwa dari banyak sumber dan penguraian log yang baik di luar kotak
3. Konsol yang cukup fungsional
4. Bahasa pemrograman sederhana untuk membuat aturan kustom
5. Ada toko dengan addons

Mungkin hanya ini yang saya suka, sistem bekerja seperti jarum jam, tetapi untuk analitik Anda perlu membenamkan diri di dalamnya, pelatihan diperlukan, karena Anda tidak mengharapkan pemahaman sederhana tentang alat ini. Sistem tingkat SOC yang kompeten.



Tidak suka.

1. Jika Anda mengambil sedikit EPS pada awalnya, maka setelah 30 hari sistem tidak akan membiarkan Anda menggunakan lebih dari yang Anda miliki, korelasi tidak akan berfungsi.
2. Antarmuka terus terang begitu-begitu, konsol kontrol terpisah juga menimbulkan pertanyaan
3. Antarmuka web umumnya rata-rata antara dasbor dan konfigurasi
4. – , . – .
5. java,
6. = ))) ,
7. , .

Saya menjelaskan pendapat pribadi murni dari pengalaman, jadi saya meminta Anda untuk tidak membuang tomat terlalu banyak.



Pasien berikutnya yang mengantre adalah IBM QRadar.



Saya tidak punya waktu untuk saling mengenal lebih dekat, jadi saya hanya akan menjelaskan apa yang saya lihat - bayangkan kereta lapis baja, semuanya beres. Namun jika Anda meletakkan kereta lapis baja kedua pada rel yang sama, maka kedua kereta lapis baja tersebut akan jatuh. Ini sama dengan sistem - untuk beberapa alasan, ketika banyak orang bekerja dengan permintaan yang sama, semuanya jatuh. Seseorang mungkin berteriak bahwa kita semua rukazhopy dan tidak tahu bagaimana melakukan apapun, tetapi faktanya tetap ada. Pada saat yang sama, tidak waspada di mana pun, tidak menulis.

Hanya booming dan hanya itu. Dan kemudian Anda harus menunggu lama sampai semuanya naik. Dan omong-omong, kereta lapis baja ini memakan banyak bahan bakar (baca sumber daya). Dan tidak peduli berapa banyak Anda menambahkan bahan bakar ini, semuanya tidak cukup untuknya. Dan itu tidak berjalan lebih cepat. Masih bertanya-tanya kenapa begitu, tulis siapa tahu bisa.



Jadi, sekarang kita beralih ke sistem berikutnya - McAfee ESM.



Karena saya cukup beruntung untuk bermain-main dengannya, masing-masing, dan saya dapat berbagi apa yang saya suka dan apa yang tidak. Siemka sendiri bisa menjadi satu, atau mengambil bagian - masing-masing modul secara terpisah.



Menyukai.

1. Dasbor dan aturan di luar kotak
2. Pengaturan kolektor yang mudah
3. Korelasi dan agregasi di luar kotak
4. Menghubungkan pemindai kerentanan tanpa menari dengan rebana
5. Tidak mati saat EPS terlampaui
6. Instalasi mudah (tidak seperti Ark misalnya)
7. Bekerja sangat cepat karena Elastis

Tidak suka.

1. Menghubungkan ke penyimpanan terpisah diterapkan terus terang begitu-begitu
2. Dia tidak selalu menulis apa yang salah dengan kolektor, kami merokok manual
3. Kolektor di bawah win-machine mengatakan bahwa semuanya baik-baik saja, tetapi Anda perlu memeriksa SIEM itu sendiri jika memang demikian.
4. Saat menghubungkan beberapa sumber jenis MISP, tidak ada panel pemecahan masalah, Anda perlu mencari di tempat lain.
5. Dengan cara yang aneh, modul individu jatuh dan dipulihkan.
6. Dia berbicara tentang masalah - tetapi Anda perlu melihat di konfigurasi, dia tidak langsung menulis masalah di peringatan.

Jadi sistemnya cukup sederhana, dibuat dengan versi Linux sendiri dari vendor, ada seperangkat perintah yang biasa untuk mengelola Linux, fleksibel dan nyaman. Tidak membatasi cara melakukannya dengan nyaman sesuai kebutuhan administrator. Untuk analitik, ada juga banyak data dan disajikan dengan lebih nyaman.



Berikut gambaran singkat tentang apa yang berhasil saya lihat dan kesan saya. Jika Anda tertarik untuk mempelajari lebih lanjut tentang sistem mana, maka tulis, saya akan mencoba membuat artikel lebih menarik dan berisi informasi teknis.



Terima kasih banyak atas waktu dan bacaannya. Sangat menarik untuk mengetahui pendapat Anda apa yang lebih baik sekarang menurut kriteria harga / kualitas?