CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
Siem от ibm qradar (система мониторинга и корреляции событий)
1.
2. Решение по управлению событиями и информацией,
связанной с безопасностью, (SIEM) IBM Security
QRadar может использоваться как базовое решение в
центрах обеспечения безопасности малых и крупных
компаний для сбора, стандартизации и корреляции
доступных сетевых данных с применением
полученного за многие годы отраслевого опыта. В
результате этих действий организации получают в свое
распоряжение оперативную информацию о
безопасности.
3. Application of SIEM IBM Qradar in
the Russian Federation
Применение SIEM IBM Qradar в государственных и
муниципальных нуждах недопустимо т.к. не отвечает
требованиям Российского законодательства
(Федерального закона от 29 июня 2015 года № 188 О
внесении изменении в Федеральный закон "Об
информации, информационных технологиях и о защите
информации" и статью 14 Федерального закона "О
контрактной системе в сфере закупок товаров, работ,
услуг для обеспечения государственных и
муниципальных нужд"), т.к SIEM IBM Qradar не
является Российской программой для электронных
вычислительных машин баз данных и не числится в
реестре Российского программного обеспечения.
4. LICENSES AND CERTIFICATES OF
REGULATORS OF RUSSIA
SIEM IBM Qradar версии 7 и всех подверсий в рамках
этой версии на данный момент имеет сертификат
ФСТЭК России от 02 марта 2015 года (На серийное
производство). Текущая версия системы 7.2.7.
В ТУ сказано, что «комплекс предназначен для
контроля защищенности информации, не содержащей
сведения, составляющие государственную тайну, в
государственных информационных системах 3 и 4
классов защищенности, а также обеспечения 3, 4
уровня защищенности персональных данных в
информационных системах».
5. Features
SIEM QRadar интегрирует в единое унифицированное
решение управление информацией и событиями
системы безопасности (SIEM).
Использует преимущества единой архитектуры.
Выявляет признаки наиболее критичных инцидентов
ИБ.
Обеспечивает всестороннее наглядное
представление графиков сетевой активности.
Автоматизирует процессы, направленные на
соблюдение нормативных требований по ИБ.
Использует корреляцию в режиме реального времени
и обнаружение аномалий для выявления наиболее
изощренных угроз.
6. Transparency of applications and
detection of anomalies
В централизованной базе данных решения QRadar
SIEM сохраняются как события источников журналов,
так и данные о сетевом трафике, что позволяет
коррелировать отдельные события с двусторонним
сетевым трафиком по одному и тому же IP-адресу.
Благодаря возможности отслеживания трафика данных
приложений на OSI-уровне 7 решение QRadar SIEM
способно предоставлять точный анализ и сведения о
корпоративной сети для целей мониторинга политик,
угроз и сетевой активности в целом.
7. Ensuring protection against
threats in virtual environments
Поскольку виртуальные серверы также уязвимы для
угроз безопасности, как и физические при
использовании механизмов QRadar VFlow Collector ИТ-
специалисты получают возможность подробно
просмотреть огромное количество действий,
создаваемых бизнес-приложениями в виртуальных
сетях, и могут лучше идентифицировать такие
приложения для целей мониторинга безопасности,
анализа поведения на уровне приложений и
обнаружения аномалий. Операторы также могут
захватывать контент приложений для более
подробного анализа и экспертизы аспектов
информационной безопасности.
8. COST
Стоимость приобретения SIEM IBM Qradar
складывается из многих факторов комплекта поставки
и конфигурации самой системы.
Например, на практике у Вас подключено порядка 30
источников (15 серверов Windows, ферма VMWare,
антивирус, MS SQL и кластер Check Point) это в
среднем порядка 400 EPS.
Для примера стоимость ПАК IBM QRadar SIEM All-In-
One Hardware Appliance 2100 Light с
производительностью 500 EPS и 25 000 FPM составляет
примерно 3 млн. 800 тыс. руб. или 63 000 $.
Ежегодное продление поддержки обойдется Вам
примерно в 25% от начальной стоимости закупки.
9. Characteristics
Сертификат ФСТЭК России по
защите конфиденциальной
информации, включая ИСПДн
Сертификат
от 02.03.2015
(На серийное
производство)
Сертификат соответствия
ФСТЭК России по уровню
контроля отсутствия НДВ
Наличие в реестре российских
программ для электронных
вычислительных машин и баз
данных Минкомсвязи России
Работа с источниками АСУ ТП Частично
10. Принцип работы Сниффинг
Цена от 3 млн. руб.
Стоимость продления 25% от стоимости
Платформа
Red Hat Enterprise
6.3
Наличие функционала
(интерфейса) по созданию
собственных коннекторов и
правил корреляции
Частично
(функционал есть,
интерфейс
отсутствует)
Программно-аппаратная
реализация
Технология клиент-сервер
12. postscript
Вся информация, приведенная в презентации и на
сайтах проекта SIEM Analytics, предоставлена нашими
партнерами в лице разработчиков, дистрибьюторов и
интеграторов SIEM-систем, представленных в нашем
обзоре. Мы приглашаем к сотрудничеству сторонних
разработчиков SIEM-систем не приведенных в нашем
обзоре.
Полную версию описания SIEM Qradar, а также
сравнение с конкурентами, вы можете найти на наших
сайтах (http://www.siem.su, http://www.siem.guru).