ИТ-портал компании «Инфосистемы Джет»

Сравнение SIEM-решений для построения SOC

Сравнение SIEM-решений для построения SOC

Мы сравнили популярные SIEM-решения для создания SOC

Рынок SIEM-систем сложился довольно давно. На нем представлены технические решения различных производителей. Все они отличаются по архитектуре, возможностям масштабирования, полноте функционала, спектру решаемых прикладных ИБ-задач. Большая часть этих решений пошла по пути развития систем сбора и централизованного хранения событий с различных устройств (Log Management). Со временем появились корреляция событий и выявление инцидентов. На данный момент каждый производитель старается дополнить функционал SIEM вспомогательными функциями, такими как управление уязвимостями, рисками, поиск аномалий в сетевых протоколах, формирование списков зараженных IP-адресов и т.д.

Мы обладаем большим опытом реализации проектов по созданию систем мониторинга событий ИБ и в их ходе выявляем наиболее гибкие, мощные и постоянно совершенствующиеся продукты, имеющие качественную техническую поддержку на территории России и стран СНГ. Мы решили сравнить функционал ряда SIEM-систем, чтобы дать обобщенное представление об их возможностях. При подготовке списка сравниваемых решений мы в том числе опирались на отчеты международных аналитических агентств, в первую очередь –компании Gartner , а также на популярность решений на российском рынке. (Для анализа «способности реализации» аналитики Gartner принимают во внимание семь критериев, связанных с опытом клиента при использовании продукта или сервиса. Эта оценка включает простоту установки, использования, администрирования и масштабирования, стабильность работы и последующую сервисную поддержку. Для сбора информации аналитики проводят интервью с потребителями услуг поставщиков, а также собирают отзывы клиентов Gartner, которые пользовались SIEM-системами. По шкале «полнота видения» оценивается способность организации понимать потребности клиента и воплощать это в своих продуктах и сервисах.)

Рис. 1. Gartner Magic Quadrant for Security Information and Event Management, July 20

Основными функциями SIEM являются корреляция событий и выявление инцидентов информационной безопасности. Ввиду малой распространенности на рынке России и СНГ таких продуктов, как Splunk и LogRhythm, мы решили не рассматривать эти платформы в нашей статье.

По нашему мнению, среди отечественных решений наиболее перспективной является платформа Positive Technologies. Несмотря на то, что платформа основана на Open Source, компания способна развивать свое решение самостоятельно.

Таким образом, в список сравниваемых нами решений попали:

  • HP ArcSight
  • IBM QRadar
  • Intel Security McAfee ESM
  • RSA Security Analytics
  • Positive Technologies MaxPatrol SIEM

Так как все компании разные, ожидания от SIEM-систем у них различны (мы говорим о компаниях X и Y из первой статьи нашего номера), соответственно, разнятся и приоритеты в части функциональных возможностей. Поэтому мы вводим весовую модель для определения оптимальной платформы для компаний X и Y, где значение 5 – это максимально важный критерий для организации, а 1 – соответственно, наоборот.

  1. Поддержка источников событий (5)
  2. Сбор событий (8)
  3. Корреляция (10)
  4. Поиск данных и аналитика (9)
  5. Визуализация и отчетность (5 и 5 соответственно)
  6. Оповещение и приоритизация (5 и 5 соответственно)
  7. Общие настройки и предустановленный функционал (5 и 3 соответственно)
  8. Масштабируемость, отказоустойчивость и хранение (8, 5 и 7 соответственно)
  9. Мониторинг компонентов системы и внутренний аудит (3)
  10. Удобство использования (10)
  11. Наличие сертификатов соответствия ФСТЭК (2)
  12. Дополнительные модули системы (5)

Для оценки степени выполнения критериев сравнения мы ввели следующие виды оценок:

0 – критерий не выполняется;

1 – критерий выполняется частично;

2 – критерий полностью выполняется.

Далее мы разбираем каждый блок. Результат тестирования по первому блоку – поддержка источников событий – представлен в табл. 1.

Табл. 1. Поддержка источников событий

Вендоры PT SIEM IBM QRadar HP ArcSight RSA Security Analytics McAfee ESM
Критерий Параметры Вес компания Х Вес компания Y Оценки
Поддержка источников событий Количество поддерживаемых источников событий 4 5 1 2 2 1 1
Качество парсинга событий 5 5 1 1 2 1 1
Частота обновлений коннекторов/парсеров событий 5 5 2 2 2 1 1
Возможность автообновления парсеров событий 5 4 1 2 0 2 2
Возможность подключения нестандартных источников (упоминание о количестве поддерживаемых транспортов) 4 5 2 2 2 2 2
Автообнаружение источников событий (автоматическое заведение источников событий при получении логов по syslog) 5 5 2 2 2 2 2

PT MaxPatrol SIEM. Количество поддерживаемых источников постоянно растет. Известные поддерживаемые источники – Syslog, Windows Event Log, Windows File log, Windows WMI log, NetFlow, ODBC Log, Checkpoint LEA, SNMP Traps, SSH File Log, Telnet File Log. Max Patrol SIEM – новый продукт на рынке SIEM, он не дотягивает до гигантов индустрии по количеству поддерживаемых систем, но очень динамично развивается. Российские корни вендора могут дать продукту поддержку отечественных источников событий, отсутствующих во всех его западных конкурентах. Для разработки правил нормализации используется SDK, собственный язык программирования позволяет гибко нормализовать практически любое событие. Автообнаружение источников событий в системе присутствует, база источников периодически пополняется.

IBM QRadar. Платформой поддерживается более 300 стандартных источников событий. Полноценная категоризация определена для большей части основных событий аудита, но довольно часто встречаются и события без категории. Качество парсинга обусловлено и используемой схемой хранения событий, включающей небольшое количество наиболее критичных полей. Обновления коннекторов/парсеров событий выпускаются вендором по мере выхода исправлений и дополнений. Присутствует автообновление парсеров событий. Для подключения нестандартных источников могут применяться часто используемые транспорты. Разработка собственных парсеров происходит по большей части в основном интерфейсе продукта, для описания событий используется regex.

HP ArcSight. Платформой поддерживается более 300 стандартных источников событий. Все события категоризированы, и их имена определены. Помимо этого, коннекторы многих систем включают в себя несколько вариантов парсеров, что позволяет выбрать наиболее подходящий под конкретные цели алгоритм обработки аудита. Обновления коннекторов/парсеров событий выпускаются вендором по мере выхода исправлений и дополнений – 2–3 раза в квартал. Возможность автообновления парсеров событий отсутствует. Вендор заверяет, что это сделано намеренно, поскольку автообновление в производственной среде может привести к изменению корреляционной логики. У многих заказчиков на корреляционную логику завязаны SLA, эскалации, документооборот – здесь важно, чтобы все изменения SIEM-системы проходили контролируемым образом. Кроме того, наличие подключения SIEM-системы к сети Интернет создает определенные риски. Для подключения нестандартных источников могут применяться часто используемые транспорты. Механизм разработки коннекторов, реализованный в ArcSight, является одним из самых мощных и гибких. Он позволяет не только разложить событие по определённым полям, но и с помощью множества встроенных функций изменять эти значения, а также реализовывать логические операции, основываясь на значениях определённых токенов. Коннектор представляет собой текстовый файл определённого формата, для описания событий используется regex. Для разработки также существует несколько графических утилит.

RSA Security Analytics. Поддерживается большое количество разнородных систем. Более 250 поддерживаемых стандартных источников событий. Для парсинга в платформу заложена многоуровневая модель обработки события. Есть проблемы с опознанием систем по событиям. При разборе событий возникают проблемы с кириллицей. Нет регулярности в выходе обновлений коннекторов/парсеров. Обновления выходят в зависимости от популярности подключаемого нестандартного источника. Поддерживается автообновление парсеров событий. Для разработки коннекторов используется модуль прошлого SIEM от RSA – enVision. Парсер представляет собой текстовый файл XML-формата. Как приемник RSA enVision, RSA SA использует многие его парсеры.

Платформой поддерживаются следующие виды транспортов: AWS, Checkpoint, File Collection, Netflow Collection, ODBC, SDEE, SNMP, VMware, Windows, Legacy Windows и NetApp. Присутствует автообнаружение источников событий.

McAfee ESM. Решение поддерживает большое количество разнородных источников событий (более 400 систем: WMI, Syslog, SCP, FTP, HTTP(S), ODBC/MSSQL, OPsec, CEF, MEF). Обработка событий выполняется корректно. Но отсутствует механизм траблшутинга парсинга событий. Например, для аудита СУБД очень сложно разобраться, почему может не осуществляться парсинг событий. Обновления коннекторов выходят регулярно и доступны сразу для всего модельного ряда. Поддерживается автообнаружение источников событий. Поддерживается создание собственных парсеров событий. Разработка происходит в основном интерфейсе продукта, для описания событий используется regex.

Сбор событий

Результаты тестирования решений по критериям блока «Сбор событий» представлены в табл. 2.

Табл. 2. Сбор событий

Вендоры PT SIEM IBM QRadar HP ArcSight RSA Security Analytics McAfee ESM
Критерий Параметры Вес компания Х Вес компания Y Оценки
Сбор событий Нормализация (перевод записей лог-журналов в единый стандартный вид) 5 5 1 1 2 2 1
Агрегация (объединение одинаковых событий) 4 5 1 1 2 2 1
Фильтрация (запись событий, удовлетворяющих определенным условиям) 5 5 2 1 2 2 2
Контроль целостности данных 3 5 0 2 2 1 1
Возможность сбора, хранения, работы по raw-событиям 5 5 2 2 2 2 2
Возможность хранения данных в течение разного периода времени, разделения данных на физическом и логическом уровне 5 5 1 2 2 1 2
Маскирование данных при сборе\отображении в консоли 3 5 0 2 2 0 0
Возможность мониторинга сетевого трафика (в том числе до 7-го уровня) 5 5 0 2 1 2 1

PT MaxPatrol SIEM. Присутствуют механизмы нормализации, агрегации и фильтрации событий. Нормализация производится только для определённых типов событий. Поддерживается возможность сбора, хранения и работы по raw-событиям. Отсутствует маскирование данных при сборе/отображении в консоли. Платформой поддерживается мониторинг сетевого трафика вплоть до 7-го уровня модели OSI при помощи дополнительного модуля MaxPatrol X Network Traffic.

IBM QRadar. Схема нормализации имеет 19 полей. Встречается много событий, которые плохо нормализуются. Агрегация присутствует, но она не настраиваемая. Также поддерживается фильтрация, но отфильтрованные события учитываются в лицензионном ограничении. Обеспечиваются маскирование данных и мониторинг сетевого трафика вплоть до 7-го уровня модели OSI.

HP ArcSight. Схема нормализации имеет более 200 полей. События хорошо нормализуются. Присутствует возможность гибкой настройки параметров агрегации. Поддерживается маскирование данных. Мониторинг NetFlow до 7-го уровня модели OSI осуществляется путем интеграции HP ArcSight и HP Tipping Point. Включение передачи событий из Tipping Point в ArcSight поддерживается решением по умолчанию и осуществляется одним действием в интерфейсе управления.

RSA Security Analytics. Поддерживаются нормализация, агрегация и фильтрация событий. Для контроля целостности данных требуется использование дополнительного модуля Archiver. Работа по raw-событиям гораздо медленнее по сравнению с конкурентами. Возможность хранения данных в течение разного периода времени, их разделения на физическом и логическом уровне также требует использования дополнительного модуля Archiver. Отсутствует маскирование данных. Мониторинг сетевого трафика вплоть до 7-го уровня модели OSI осуществляется с помощью модуля Packet Decoder.

McAfee ESM. Процесс нормализации приводит все события в формат MEF (McAfee Event Format). Осуществляется категоризация событий. Агрегация присутствует. Есть ограничения по агрегации – максимум 3 значения, по которым можно ее выполнить. Параметры агрегации можно переопределить. Разбор сетевого трафика на уровне приложений осуществляется путем интеграции с решением IPS от McAfee.

Корреляция

Результаты тестирования решений по критериям блока «Корреляция» представлены в табл. 3.

Табл. 3. Корреляция

Вендоры PT SIEM IBM QRadar HP ArcSight RSA Security Analitycs McAfee ESM
Критерий Параметры Вес компания Х Вес компания Y Оценки
Корреляция Базовая корреляция 5 5 2 2 2 2 2
Поведенческий анализ 3 5 0 2 2 2 1
Обогащение данных из других систем 3 5 2 2 2 2 2
Историческая корреляция 4 5 1 2 2 0 2

PT MaxPatrol SIEM. Реализованы механизмы real-time корреляции событий. Отсутствуют механизмы для проведения поведенческого анализа. Поддерживается обогащение данных в пределах платформы MaxPatrol X. Проведение корреляции исторических данных планируется реализовать в следующих релизах.

IBM QRadar. Реализованы механизмы real-time корреляции событий, есть возможность провести поведенческий анализ, осуществляется обогащение данных из других систем, поддерживается корреляция исторических данных.

HP ArcSight. В продукте реализован один из наиболее гибко настраиваемых корреляционных механизмов. Возможно обогащение собираемых данных из сторонних систем на уровнях сбора (в коннекторе) и обработки (на менеджере). Историческая корреляция ограничена возможностью ручной проверки правила на исторических данных определённого временного интервала. Генерация корреляционных событий при этом не происходит.

RSA Security Analytics. В ядре системы заложен достаточно слабый корреляционный функционал, для полноценной корреляции возможно использование дополнительного модуля ESA. Функционал исторической корреляции в платформе отсутствует.

McAfee ESM. Реализованы механизмы real-time корреляции событий. При проведении поведенческого анализа есть возможность просмотреть два наложенных графика – статистику по событиям за предыдущий период и текущую статистику (онлайн). Для работы с историческими данными необходимо использовать компонент McAfee Advanced Correlation Engine (ACE). Этот модуль может выполнять и историческую корреляцию, но в один момент времени он может работать только в одном из режимов (real-time или исторической корреляции).

Поиск данных и аналитика

Результаты тестирования решений по критериям блока «Поиск данных и аналитика» представлены в табл. 4.

Табл. 4. Поиск данных и аналитика

Вендоры PT SIEM IBM QRadar HP ArcSight RSA Security Analitycs McAfee ESM
Критерий Параметры Вес компания Х Вес компания Y Оценки
Поиск данных и аналитика Возможности по поиску событий 5 5 2 2 2 2 2
Возможность группировки событий 4 5 2 2 2 2 2
Возможности Drilldown по полям 5 5 2 1 2 2 2
Google Like Search 5 5 2 2 2 1 2
Скорость работы интерфейса 5 5 1 2 2 2 2
Возможность применения активного воздействия 2 2 0 2 2 2 2
Использование встроенных средств диагноcтики компонентов системы и создание своих 5 5 1 2 2 2 1

PT MaxPatrol SIEM. Поддерживается поиск по событиям. Присутствует возможность группировки событий, Drilldown по полям и применения активного воздействия. Поддерживается механизм Google Like Search. Скорость работы интерфейса в боевой системе средняя. В качестве средств диагностики компонентов системы используются файлы журналов компонентов. События аудита работы самой системы не попадают в основной поток событий SIEM. Есть возможность активного воздействия средствами самой платформы (сканирование), а также выполнения скриптов.

IBM QRadar. Поддерживаются поиск по событиям и группировка событий. Drilldown по полям осуществляется в несколько действий. Присутствует механизм Google Like Search. Скорость работы интерфейса высока с учетом выполнения аппаратных требований. События аудита работы самой системы являются частью основного потока событий SIEM. Существуют преднастроенные правила, реагирующие на критичные события диагностики внутренних компонентов. Присутствует возможность создания своих правил. Поддерживается возможность выполнения скриптов.

HP ArcSight. Поддерживаются поиск по событиям и группировка событий. Drilldown по полям осуществляется в несколько действий, есть возможность создания нескольких различных Drilldown для одного Dashboard. Механизм Google Like Search реализован только в web-интерфейсах продукта. Скорость работы интерфейса высока с учетом выполнения аппаратных требований. События аудита работы самой системы являются частью основного потока событий SIEM. Существуют преднастроенные правила, реагирующие на критичные события диагностики внутренних компонентов. Присутствует возможность создания своих правил. Также есть возможность выполнения команд на некоторых продуктах HP (а также некоторых других вендоров), кастомных скриптов (на менеджере или коннекторах).

RSA Security Analytics. Поддерживаются поиск по событиям и группировка событий. Drilldown по полям осуществляется в несколько действий. Механизм Google Like Search доступен при использовании дополнительного модуля Warehouse. Скорость работы интерфейса высокая с учетом выполнения аппаратных требований. Существуют встроенные средства диагностики компонентов системы.

McAfee ESM. На практике встречаются ситуации, когда скорость работы интерфейса падает: например, при выборке по небольшому промежутку данных, которые были зафиксированы более 3 месяцев назад. Создание собственного dashboard и поиск по нему приводят к задержкам. Есть предположение, что индексируется только строго определенные значения (SRC IP, DST IP и т.п.). Соответственно, поиск по другим значениям занимает длительное время. Присутствуют средства диагностики компонентов системы, но зачастую нужно обращаться к вендору, т.к. штатная диагностика обычно говорит о том, что события не поступают, ресивер не доступен и т.п.

Визуализация и отчетность

Результаты тестирования решений по критериям блока «Визуализация и отчетность» представлены в табл. 5.

Табл. 5. Визуализация и отчетность

Вендоры PT SIEM IBM QRadar HP ArcSight RSA Security Analitycs McAfee ESM
Критерии Параметры Вес компания Х Вес компания Y Оценки
Визуализация Типы графического представления 5 5 1 1 2 2 2
Поля графического представления 5 5 2 1 2 0 2
Возможности кастомизации графических панелей 3 5 1 1 2 2 2
Возможность перемещения графических панелей 3 5 0 2 2 2 2
Наличие русского интерфейса 2 2 2 2 2 0 0
Отчетность Форматы отчетов 5 5 1 2 2 2 2
Возможность запуска отчетов за большие промежутки времени 5 5 1 2 2 2 2
Поддержка создания отчетов по заданному расписанию 5 5 1 2 2 2 2
Возможность переименования полей отчетов 5 5 1 2 2 2 2

PT MaxPatrol SIEM. Доступны гистограммы и графики, а также таблицы и отчеты. Интерфейс русифицирован. Есть встроенные отчеты, формат, поля, промежутки времени, но для их кастомизации необходимо использовать SDK.

IBM QRadar. По умолчанию доступны 9 типов графического представления. Существуют некоторые ограничения в кастомизации графических панелей. Интерфейс русифицирован. Отчеты могут быть экспортированы в файлы следующих форматов: MS Excel, RTF, PDF, XML, HTML.

HP ArcSight. Доступны более 20 типов графического представления. В качестве полей графического представления используются Data Monitor, Dashboard, Query Viewer. Русифицированный интерфейс решения доступен с февраля 2015 года. Отчеты могут быть экспортированы в следующие форматы: MS Excel, RTF, PDF, CSV, HTML.

RSA Security Analytics. Доступны более 5 типов графического представления. В качестве полей графического представления используются Dashboard, System Stats. Русский интерфейс отсутствует. Отчеты могут быть экспортированы в следующие форматы: MS Excel, RTF, PDF, CSV, HTML.

McAfee ESM. Доступны следующие типы графического представления: табличное, pie chart, bar chart, графики, граф коммуникаций на основе анализа NetFlow. Русский интерфейс отсутствует. Отчеты могут быть экспортированы в следующие форматы: PDF, CSV, HTML. Присутствует возможность запуска отчетов за большие промежутки времени.

Оповещение и приоритизация

Результаты тестирования решений по критериям блока «Оповещение и приоритизация» представлены в табл. 6.

Табл. 6. Оповещение и приоритизация

Вендоры PT SIEM IBM QRadar HP ArcSight RSA Security Analitycs McAfee ESM
Критерии Параметры Вес компания Х Вес компания Y Оценки
Оповещение Возможности по оповещению о возникающих событиях 5 5 1 2 2 2 2
Возможность кастомизации параметров оповещения 2 5 0 1 2 2 2
Возможные способы 4 5 1 2 2 2 2
Гибкость настройки 3 5 1 2 2 2 1
Приоритизация Возможность автоматического определения серьезности выявленного события 5 5 1 2 2 2 2
Возможность кастомизации 3 5 1 0 2 2 2
Возможность объединения событий по параметрам инцидента 4 5 0 2 2 2 2

PT MaxPatrol SIEM. Отсутствует применение активного воздействия и реакции на оповещение. Невозможно провести кастомизацию параметров оповещения. В качестве возможных способов оповещения доступен только SMTP. Низкая гибкость настройки. Кастомизация приоритизации событий доступна при использовании SDK. Отсутствует возможность объединения событий по параметрам инцидента.

IBM QRadar. Применение активного воздействия и реакции на оповещение доступно только для ряда продуктов IBM. При кастомизации параметров оповещения невозможно использовать переменные. Доступны следующие способы оповещения: E-mail, Syslog, Console. Отсутствует кастомизация приоритизации событий.

HP ArcSight. Доступно применение активного воздействия, реакции на оповещение (нативные процедуры для некоторых продуктов HP, в других продуктах это возможно посредством выполнения скриптов) и кастомизации параметров оповещения. Возможные способы оповещения: E-mail, SMS, консоль, выполнение команд в ОС хоста менеджера или коннектора. Есть возможность кастомизации и приоритизации событий.

RSA Security Analytics. Доступно применение активного воздействия и реакции на оповещение, а также кастомизации параметров оповещения. Возможные способы оповещения: SMTP, SNMP. Есть возможность кастомизации приоритизации событий.

McAfee ESM. Доступны способы оповещения начиная с оповещения по электронной почте и запуска внешней команды (скрипта) на указанном устройстве и заканчивая полноценной интеграцией на уровне API с продуктами McAfee Network Security Platform (IPS/IDS решение), всеми агентскими продуктами McAfee (от антивируса до защиты БД) на уровне запуска специализированных команд и переназначения политик на агенте, а также со сканером уязвимости McAfee Vulnerability Manager (запуск сканирования напрямую из консоли SIEM).

Общие настройки и предустановленный функционал

Результаты тестирования решений по критериям блока «Общие настройки и предустановленный функционал» представлены в табл. 7.

Табл. 7. Общие настройки и предустановленный функционал

Вендоры PT SIEM IBM QRadar HP ArcSight RSA Security Analitycs McAfee ESM
Критерии Параметры Вес компания Х Вес компания Y Оценки
Общие настройки Поддержка интеграции с LDAP, AD для обеспечения аутентификации 4 5 0 2 2 2 2
Наличие Workflow и функций системы управления инцидентами 4 2 1 1 2 2 2
Поддержка интеграции с третьими Workflow-системами 2 4 0 1 2 1 2
Возможности по разграничению доступа 3 5 2 2 2 2 2
Возможность настройки парольной политики 5 5 0 1 2 2 2
Защита канала при взаимодействии компонентов системы 5 5 2 2 2 2 2
Предустановленный функционал Наличие предустановленных правил корреляции 5 4 1 2 2 2 2
Наличие предустановленных графических панелей (Dashboards) 5 4 1 2 2 2 2
Наличие предустановленных отчетов 5 4 2 2 2 2 2

PT MaxPatrol SIEM. Отсутствует интеграция с LDAP и AD для обеспечения аутентификации, но данный функционал вендор обещает реализовать в 12-м релизе своей платформы. Для разграничения доступа между пользователями доступна ролевая модель. Присутствуют встроенные корреляционные правила, графические панели и отчёты. Реализован базовый функционал управления инцидентами.

IBM QRadar. Поддерживается аутентификация пользователей в различных LDAP. Существует встроенный функционал Workflow. Поддерживается интеграция со сторонними Workflow-системами (ограниченная по поддерживаемым операциям). Встроено большое количество предустановленных корреляционных ресурсов, отчётов и графических панелей.

HP ArcSight. Поддерживается аутентификация пользователей в различных LDAP. Реализован встроенный функционал Workflow с гибкими возможностями кастомизации. Поддерживается интеграция со сторонними Workflow-системами. Встроено большое количество предустановленных корреляционных ресурсов, отчётов и графических панелей.

RSA Security Analytics. Поддерживается аутентификация пользователей в различных LDAP. Существует встроенный функционал Workflow, поддерживается интеграция со сторонними системами. Встроено большое количество предустановленных корреляционных ресурсов, отчётов и графических панелей

McAfee ESM. Поддерживается аутентификация пользователей в различных LDAP. Осуществляется интеграция с Remedy на уровне подключения по API; любая внешняя система уровня Service Desk интегрируется на уровне шаблонных сообщений SMTP для автоматического заведения инцидентов. Встроено большое количество предустановленных корреляционных ресурсов, отчётов и графических панелей.

Масштабирование, отказоустойчивость и хранение

Результаты тестирования решений по критериям блока «Масштабирование, отказоустойчивость и хранение» представлены в табл. 8.

Табл. 8. Масштабирование, отказоустойчивость и хранение

Вендоры PT SIEM IBM QRadar HP ArcSight RSA Security Analitycs McAfee ESM
Критерии Параметры Вес компания Х Вес компания Y Оценки
Масштабируемость Ограничения по количеству обрабатываемых событий в секунду 2 5 1 2 2 1 2
Возможность распределения задач сбора и обработки событий по компонентам системы 4 5 2 2 2 2 2
Возможность установки компонентов в различных форм-факторах 5 3 2 2 2 2 2
Возможность увеличения мощности ядра системы 4 5 2 2 2 2 2
Возможность увеличения мощности компонентов сбора событий 4 5 2 2 2 2 2
Возможность развития системы за счет добавления дополнительных компонентов 3 5 2 2 2 2 2
Отказоустойчивость Возможности по резервированию ядра системы 3 5 0 2 2 2 2
Возможности по резервированию компонентов сбора событий 5 5 0 2 2 2 2
Обеспечение непрерывности сбора событий 5 5 0 2 2 1 2
Автоматическое резервирование конфигурации системы 4 5 0 2 2 0 2
Возможность восстановления конфигурации после сбоев 4 5 0 2 2 1 2
Автоматическое резервирование базы данных 5 5 0 2 2 0 2
Возможность восстановления базы данных после сбоев 5 5 0 2 2 0 2
Хранение Эффективность хранения (сжатие данных) 4 5 1 2 2 1 2
Возможность подключения внешних массивов для хранения архивных данных 3 5 1 2 2 2 2

PT MaxPatrol SIEM. Ограничением по количеству обрабатываемых событий в секунду является порог в 30 000 (максимальная инсталляция, по информации от вендора). Отсутствует возможность резервирования компонентов системы и реализации отказоустойчивой конфигурации. Хранение событий осуществляется в исходном и нормализованном виде. Осуществляется сжатие данных до 30%. Для хранения событий используется MongoDB. Существует возможность интеграции с внешними массивами для хранения архивных данных.

IBM QRadar. Ограничением по количеству обрабатываемых событий в секунду является порог в 1 200 000 (максимальная инсталляция, по информации от вендора). Есть возможность реализации конфигурации High Availability. Осуществляется резервирование всех компонентов системы, вплоть до ядра. Сжатие данных при хранении происходит в соотношении 1 к 10. Для хранения событий используются Ariel.

HP ArcSight. Ограничением по количеству обрабатываемых событий в секунду является порог в 1 500 000 (максимальная инсталляция, по информации от вендора). Есть возможность реализации конфигурации High Availability. Осуществляется резервирование всех компонентов системы, вплоть до ядра. Сжатие данных при хранении происходит в соотношении 1 к 10. Для хранения событий используются CORR-Engine.

RSA Security Analytics. Ограничением по количеству обрабатываемых событий в секунду является порог в 20 000 (максимальная инсталляция, по информации от вендора). Есть возможность реализации конфигурации High Availability. Осуществляется резервирование всех компонентов системы, вплоть до ядра. Сжатие данных при хранении происходит в соотношении 1 к 10. Для хранения событий используется RAW/Meta и в случае с Warehouse – Hadoop.

McAfee ESM. Ограничением по количеству обрабатываемых событий в секунду является порог в 300 000 (максимальная инсталляция, по информации от вендора). Возможность увеличения мощности ядра и компонентов системы доступна для виртуальных комплексов. В случае ПАК требуется приобретение новой платформы. Есть возможность реализации конфигурации High Availability. Осуществляется резервирование всех компонентов системы, вплоть до ядра. Для хранения событий используется собственная внутренняя база данных.

Результаты тестирования по оставшимся блокам приведены в табл. 9.

Табл. 9. Результаты тестирования по оставшимся блокам

Вендоры PT SIEM IBM QRadar HP ArcSight RSA Security Analitycs McAfee ESM
Критерии Параметры Вес компания Х Вес компания Y Оценки
Мониторинг компонентов системы и внутренний аудит Доступность ядра системы 4 5 2 2 2 2 2
Доступность компонентов сбора событий 5 5 2 2 2 2 2
Доступность источников событий 5 5 2 2 2 2 2
Внутренний аудит системы 4 5 0 2 2 0 2
Удобство использования Централизованное управление компонентами системы из единой консоли 4 5 2 2 2 2 2
Автоматическое обновление набора предустановленных правил и отчетов 4 2 1 2 0 2 2
Качество поддержки производителя 4 5 1 2 2 1 1
Замена вышедших из строя компонентов 5 5 1 2 2 1 2
Наличие сертификатов соответствия ФСТЭК Наличие сертификатов НДВ 4 и ТУ 4 5 1 1 1 2 2
Дополнительные модули системы Управление уязвимостями 4 5 2 2 0 2 2
Управление рисками 3 5 0 2 0 0 2
Обнаружение аномальных действий пользователей 5 5 0 2 2 2 2
Мониторинг действий пользователей 5 5 2 0 2 2 2
Расследование инцидентов 5 5 2 2 1 2 2
Репутационные сервисы 2 4 0 2 2 2 2

Выводы

Как мы уже сказали вначале, эта статья содержит в себе информацию, сформированную на основе нашего многолетнего опыта работы с SIEM-решениями. Просим обратить внимание на то, что используемые для сравнения критерии – это опыт наших специалистов. Для каждой отдельной организации они могут меняться, равно как и значения для каждого из критериев. Опыт проведенных пилотов и проектов по внедрению показывает, что каждый заказчик формирует свой уникальный перечень критериев их успешности, и от компании к компании, от проекта к проекту они совпадают лишь частично. Тем не менее, в нашем сравнении мы постарались обобщить критерии и сформировать перечень, который подходит практически любой организации. Этой статьей мы хотим призвать своих читателей к взвешенному подходу при выборе подобных решений и предоставить пример, на который можно было бы опираться. Мы понимаем, что сколько людей, столько и мнений, поэтому рекомендуем в случае необходимости попробовать изменить веса и добавить в данный перечень критериев свои, специфичные параметры.

Итак, по результатам тестирования решений мы получили оценки, которые представлены в табл. 10 и 11*.

Табл. 10. Результаты для компании Х

PT SIEM IBM QRadar HP ArcSight RSA Security Analytics McAfee ESM
Название блока Вес блока Оценки
Поддержка источников событий 5 3,5 4,3 3,8 3,5 3,5
Сбор событий 8 3,4 5,6 6,5 5,6 4,7
Корреляция 10 5,0 7,5 7,5 5,5 6,8
Поиск данных и аналитика 9 6,2 7,3 8,0 7,3 7,3
Визуализация 5 2,2 2,3 3,6 2,2 3,2
Отчетность 5 2,5 5,0 5,0 5,0 5,0
Оповещение 5 1,2 2,7 3,0 3,0 2,7
Приоритизация 5 1,3 3,0 4,0 4,0 4,0
Общие настройки 3 1,0 1,8 2,3 2,2 2,3
Предустановленный функционал 5 3,3 5,0 5,0 5,0 5,0
Мониторинг компонентов системы и внутренний аудит 3 2,1 2,7 2,7 2,1 2,7
Масштабируемость 8 5,6 5,9 5,9 5,6 5,9
Отказоустойчивость 5 0,0 4,4 4,4 1,8 4,4
Хранение 7 1,6 3,3 3,3 2,3 3,3
Удобство использования 10 5,3 8,5 6,5 6,3 7,5
Наличие сертификатов соответствия ФСТЭК 2 0,8 0,8 0,8 1,6 1,6
Дополнительные модули системы 5 2,3 3,2 2,4 3,5 4,0
Итого: 47,4 73,2 74,7 66,5 73,8

Табл. 11. Результаты для компании Y

PT SIEM IBM QRadar HP ArcSight RSA Security Analytics McAfee ESM
Название блока Вес блока Оценки
Поддержка источников событий 5 3,7 4,4 4,2 3,6 3,6
Сбор событий 8 3,5 6,5 7,5 6,0 5
Корреляция 10 6,3 10,0 10,0 7,5 8,8
Поиск данных и аналитика 9 6,4 7,6 8,2 7,6 7,6
Визуализация 5 2,4 2,9 4,4 3,0 4,0
Отчетность 5 2,5 5,0 5,0 5,0 5,0
Оповещение 5 1,5 3,5 4,0 4,0 3,5
Приоритизация 5 1,7 3,3 5,0 5,0 5,0
Общие настройки 3 1,1 2,1 2,6 2,4 2,6
Предустановленный функционал 5 2,7 4,0 4,0 4,0 4,0
Мониторинг компонентов системы и внутренний аудит 3 2,3 3,0 3,0 2,3 3,0
Масштабируемость 8 6,8 7,5 7,5 6,8 7,5
Отказоустойчивость 5 0,0 5,0 5,0 2,1 5,0
Хранение 7 2,3 4,7 4,7 3,5 4,7
Удобство использования 10 5,5 8,5 7,5 6,0 7,3
Наличие сертификатов соответствия ФСТЭК 2 1,0 1,0 1,0 2,0 2,0
Дополнительные модули системы 5 2,5 4,0 2,8 4,0 4,8
Итого: 52,1 82,9 86,3 74,8 83,2

HP ArcSight раньше других продуктов нашего обзора появился на рынке SIEM-решений России, потому успел завоевать немало поклонников и противников. Продукт HP поддерживает широкий перечень разнообразных источников событий, выполняя нормализацию на очень высоком уровне. Он имеет наиболее широкие возможности тонкой отладки, кастомизации и действительно мощный корреляционный функционал. На ArcSight уже построено множество SOC в крупнейших телекоммуникационных, добывающих и финансовых холдингах. Платой за мощь и гибкость являются сложность первичного изучения продукта, его высокая стоимость и небольшое количество квалифицированных российских специалистов, умеющих работать с решением.

IBM QRadar оказался на российском рынке немного позже и на тот момент явно отставал от ArcSight по корреляционному функционалу, но зато имел гораздо более простой и понятный интерфейс. За это время его корреляционные возможности значительно возросли, но пока не дотягивают до возможностей ArcSight. У продукта появилось много нового, передового функционала, благодаря которому он оказался на лидирующих позициях отчёта Гартнера. QRadar имеет отличные возможности горизонтальной масштабируемости, присутствует функционал анализа сетевых потоков, а также возможность интеграции с множеством дополнительных модулей от IBM. Возможности тонкой отладки и кастомизации ограничены.

Решение McAfee ESM в первую очередь рассчитано на текущих заказчиков вендора. Благодаря единому API реализована наиболее тесная интеграция со всей продуктовой линейкой производителя, что позволяет организовать 2-стороннюю связь практически со всей инфраструктурой безопасности (построенной на McAfee). В продукте реализован довольно удобный и понятный web-интерфейс, позволяющий быстро изменять представления данных при расследовании. Корреляционный функционал, реализованный в компоненте ERC, не отличается высокой гибкостью настройки. Существует также ACE – отдельное устройство, поддерживающее как real-time, так и историческую корреляцию и реализующее risk-based корреляцию. Возможности тонкой отладки и кастомизации ограничены.

Продукт RSA Security Analytics появился на российском рынке SIEM сравнительно недавно, он вобрал в себя опыт прошлого SIEM вендора (EnVision) и возможности приобретённого ими NetWitness. Основная концепция продукта основана на более тесном включении информации о сетевых потоках в стандартную логику работы SIEM. Продукт имеет удобный и понятный web-интерфейс, что облегчает его изучение. Корреляционный функционал ограничен, существует дополнительный корреляционный модуль. Продукт позиционируется вендором как решение для больших инсталляций, этому способствуют его богатая модульная структура и интеграция с высокоуровневыми продуктами RSA (Archer, ECAT, RSA Security Operations Management). Возможности тонкой отладки и кастомизации ограничены.

PT SIEM: российские вендоры только начинают свой путь на рынке SIEM-решений, и этот продукт имеет все шансы прочно закрепиться на внутреннем рынке благодаря позициям вендора и тенденциям к импортозамещению. Продукт активно развивается, и ещё слишком рано сравнивать его с гигантами индустрии, но несмотря на это, даже текущая версия выглядит жизнеспособной. В ней уже реализована большая часть функционала современных SIEM-решений. Основной продукт вендора – хорошо зарекомендовавший себя MaxPatrol, следовательно, интеграция SIEM-системы с функционалом управления уязвимостями и аудита систем максимальна.

Исходя из результатов тестирования, мы хотим сделать следующие выводы: для больших организаций, холдинговых структур, которые соответствуют компании Y из нашей предыдущей статьи, мы рекомендуем использовать в качестве платформы SOC решение от HP ввиду его гибкости и богатого функционала. Организациям не такого большого масштаба мы рекомендуем рассмотреть решения от компаний MсAfee и IBM. Они подходят тем организациям, которые не готовы заниматься тонкой настройкой системы и которым не нужна специфичная гибкость платформы для реализации основных функций SOC. Организациям, перед которыми достаточно остро стоит вопрос импортозамещения, в том числе средств защиты информации, мы рекомендуем использовать решение от компании Positive Technologies, поскольку оно является отечественной разработкой. Продукт новый, при этом вендор активно его дорабатывает, и мы видим его большое будущее.

* Методика расчета:

1. Мы умножали вес каждого критерия (отдельно для компаний X и Y) на оценку того или иного решения по этому критерию. Затем мы суммировали полученные значения в рамках одного блока. Данную сумму мы умножали на вес самого блока (A).

2. Также мы рассчитывали общий коэффициент для каждого блока: умножали максимально возможный балл, который могло получить то или иное решение (2) на максимально возможный вес критерия для компаний (5) и на количество критериев в блоке (B). Например, в случае с масштабируемостью (табл. 8) таких критериев 6. То есть общий коэффициент для этого блока равен 60.

3. На последнем этапе методики мы делили A на B, таким образом получая оценки для финальных таблиц.

Excel-таблицы, в которых вы можете самостоятельно изменить вес каждого критерия в соответствии с приоритетами вашей компании и сформировать собственную финальную оценку решений, доступны в Приложении.

Вернуться к содержанию выпуска
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: