Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Сравнение ТОП 5 SIEM РФ

4,702 views

Published on

Участвуют ТОП 5 по Gartner с небольшой поправкой на РФ - LogRhythm заменён на RSA Security Analitycs (enVision)

Published in: Data & Analytics

Сравнение ТОП 5 SIEM РФ

  1. 1. Пётр Кузеев, Системный архитектор NVision Group www.nvg.ru
  2. 2. ТОП ВЕНДОРОВ ГАРТНЕР
  3. 3. ArcSight – старт проекта в 2000, 2010 куплен HP Q1 Labs QRadar – старт в 2001, куплен IBM в 2011 Nitro Security – старт 1999, куплен McAfee в 2011 RSA enVision – куплен в 2005, куплен EMC в 2011 Splunk – старт в 2006 ТОП 5 ВЕНДОРОВ СЕГОДНЯ РФ
  4. 4. Данные Данные СБОР ДАННЫХ собирает собирает или или получает получает агент и сервер ----------------------- передаёт на сервер ---------------------------------- Splunk McAfee QRadar ArcSight enVision Возможен Смешанная Смешанная Только агент Только любой , зависит от , зависит от или сервер сервер вариант типа типа агентов сбора* получения источника источника сбора данных Сервер анализа Сервер сбора Агент
  5. 5. АРХИТЕКТУРА SPLUNK Search Head Indexer Forwarder
  6. 6. АРХИТЕКТУРА MCAFEE ESM ELM, ACE, ADM, DEM, Receiver Агент, GTI
  7. 7. АРХИТЕКТУРА QRADAR SIEM Log Management, Risk Management Агенты, коллекторы
  8. 8. АРХИТЕКТУРА ARCSIGHT ESM, Identity View, Data, Application, Network Monitoring Logger Connector, Connector Appliance
  9. 9. АРХИТЕКТУРА ENVISION (SA) ESP, Аналитика, LIVE Концентратор, брокер Декодер
  10. 10. Вендор Тип установки Длительность Splunk Софт под любую ОС 10 минут McAfee Готовый образ УСТАНОВКА VMWare 30 минут QRadar Готовый образ VMWare 30 минут Arcsight Софт, устанавливаемый на подготовленную ОС Red Hat 1 – 2 часа, включая установку ОС enVision (SA) Софт, устанавливаемый на подготовленную ОС Windows 2003/2008 1 – 2 часа, включая подготовку образа
  11. 11. Протокол получения данных Описание 1. Syslog (Syslog TLS) 90% данных передаётся с использованием Syslog 2. Текстовый файл (scp, http, ftp, sftp, nfs, cifs) Чтение произвольного текстового лога с последующей обработкой 3. WMI источник Сбор событий через WMI, например, с контроллера домена 4. Microsoft AD (LDAP) Использование службы каталогов 5. Таблица СУБД (ODBC) Сбор данных прямым подключением к СУБД 6. Netflow Сбор потоков с сетевых устройств 7. SNMP Получение и отправка данных по SNMP 8. OPSEC/LEA, SDEE Использование фреймворков 9. JDBC, IPFix, … Остальные протоколы ПРОТОКОЛЫ ОБМЕНА ДАННЫМИ
  12. 12. Вендор Уровень парсинга Splunk Готовых практически нет, есть модули от «сообщества», но имеет мощный встроенный конструктор для обработки логов McAfee Много готовых, для добавления новых встроенный редактор – Advanced Syslog Parser QRadar Собственные 90%, остальные партнёрские, для добавления новых – LSX (Log Source Extension) ArcSight Самый большой набор готовых, новые добавляются через Flex Connector enVision (SA) Собственные 70%, остальные партнёрские, создание новых с помощью консольного редактора Universal Device Support Console ПАРСИНГ И ТИПЫ ИСТОЧНИКОВ «ИЗ КОРОБКИ»
  13. 13. Вендор Работа с дашбордами Splunk Готовых нет, есть с модулями от «сообщества» и от вендора, но имеет простой редактор McAfee Много готовых, достаточно гибкий конструктор для добавления новых QRadar Готовые под любую выборку, конструктор с привязкой к обработанным данным ArcSight Большой набор готовых, удобный редактор для создания новых enVision (SA) Есть минимальный набор готовых, возможность добавления новых СОЗДАНИЕ ДАШБОРДОВ
  14. 14. Вендор Возможности корреляции Splunk Отдельный пакет с правилами, КОРРЕЛЯЦИЯ правил мало, политика вендора – вы лучше знаете свою сеть, вы сможете сами написать правила McAfee Много готовых, удобный редактор, готовые политики QRadar Связка с базой данных уязвимостей, требуется создание политики ArcSight Большой набор готовых, удобный редактор, готовые политики enVision (SA) Есть набор готовых, сложный конструктор, отход от стандартной модели*
  15. 15. Вендор Уровень поддержки Splunk Все материалы вендора в открытом ПОДДЕРЖКА доступе, мощное сообщество, отлично помогает дистрибутор RRC, дистрибутив доступен для изучения McAfee Хороший уровень у вендора в РФ, дистрибутив доступен под пилот без ограничений, есть сообщество, QRadar Достаточной высокий уровень вендора в РФ, дистрибутив доступен под пилот – ограничен по времени ArcSight Высокий уровень у вендора в РФ, есть сообщество, отлично помогает дистрибутор Axoft, ограничение дистрибутива под пилот по времени enVision (SA) Низкий уровень у вендора в РФ, низкий уровень у дистрибуторов – демо-версия продукта продаётся
  16. 16. Вендор Параметр Splunk McAfee QRadar ArcSight enVision 1. Интерфейс Web Flash (HTML5) Web Flash Web HTML5 Web и СОЗДАНИЕ ДАШБОРДОВ приложение Web и приложение 2. Язык интерфейса Английский (русский XML*) Английский Русский (Частичные вставки на английском) Английский Английский 3. Образ VMWare Нет Да Нет Нет Нет 4. Лицензирование Мб/Сутки, количество одновреме нных запросов Устройства или параметры VM Устройства и Мб/Сутки Все варианты, количество одновремен ных пользователе й консоли Устройства или параметры сервера 5. Соответствие стандартам PCI DSS > 10 >10 >10 >10
  17. 17. Вопросы? 1. 2. 3. 4. 5. 6. 7. 8. 9. +7 985 9994824, PKUZEEV@NVG.RU СПАСИБО! ВАШИ ВОПРОСЫ?

×