Итак, первая СИЕМ с которой я столкнулся при внедрении в N-банке это АркСайт.
Было это довольно таки давно, лет 5-6 назад. Да, я понимаю что она уже обновилась, добавились какие то плюшки и так далее. НО прошу заметить что все решения тоже развивались.
Итак что понравилось а что нет.
Понравилось.
- Хорошие коллекторы на устройствах
- Есть возможность сбора событий со множества источников и хороший парсинг логов из коробки
- Довольно функциональная консоль
- Простой язык программирования для создания кастомных правил
- Есть магазин с аддонами
На этом наверное всё что понравилось, система работает как часы, но для аналитики нужно сильно погружаться в неё, требуется обучение так как простого понимания данного инструмента не ждите. Система уровеня хорошего грамотного SOCа.
Не понравилось.
- Если взяли мало EPS первоначально то через 30 дней система не даст вам использовать больше чем есть, не будет работать корреляция.
- Интерфейс откровенно так себе, отдельная консоль управления тоже вызывает вопросы
- Веб интерфейс вообще среднее между дашбордами и конфигами
- Дашборы – из коробки вообще можно сказать что их нет, если руки из плеч и разберётесь то велком. Нет – курите документацию.
- Написан интерфейс на java, иногда вылетает
- Дорого стоит = ))) Ну правда дорого, а самое обидное что не понятно за что
- Довольно не тривиальная установка на никсы, придётся иногда помучиться с апдейтами.
Описываю сугубо личное мнение из опыта, поэтому прошу сильно не бросаться помидорами.
Следующий пациент в очереди – IBM QRadar.
Сильно близко не успел познакомиться, поэтому просто опишу то что видел – представьте бронепоезд, идёт по рельсам всё в порядке. Но если вы поставите второй бронепоезд на те же рельсы то упадут оба бронепоезда. Вот так же и с системой – почему то при работе большого количества человек с одинаковыми запросами всё падает. Кто то может кричать что мы все рукажопы и ничего не умеем но факт остаётся фактом. При этом не алертит никуда, не пишет.
Просто -бумс и всё. А потом нужно долго ждать пока это всё поднимется. А кстати топлива (читай ресурсов) жрёт этот бронепоезд ого го сколько. И сколько не подливай этого топлива всё мало ему. А быстрее не едет. До сих пор интересно почему так, напишите кто знает может.
Тааааак теперь идем к следующей систему – McAfee ESM.
Так как повозится с ней посчастливилось достаточно долго соответственно и могу разделить что понравилось а что нет. Сама сиемка либо идёт всё в одном, либо бери по запчастям – каждый модуль отдельно.
Понравилось.
- Дашборды и правила в большом количестве из коробки
- Простая настройка коллекторов
- Корреляция и агрегирование из коробки
- Подключение сканеров уязвимостей без плясок с бубном
- Не отключается при превышении EPS
- Простая установка (в отличии от Арка к примеру)
- Работает очень быстро за счёт Эластика
Не понравилось.
- Подключение к отдельному хранилищу реализовано откровенно так себе
- Не всегда пишет что именно не так с коллектором, курим мануал
- Коллектор под win- машины говорит что всё хорошо, но нужно проверять в самой СИЕМ так ли это.
- При подключении каких то источников типа MISP нет панельки траблшутинга, нужно смотреть в другом месте.
- Странным образом отваливаются и восстанавливаются отдельные модули.
- Говорит о проблеме – но смотреть нужно в конфиге, сразу в алерте проблему не пишет.
А так система достаточно простая, сделана на собственной версии линукса от вендора, есть набор команд знакомых по администрированию линукса, гибкая и удобная. Не ограничивает в том чтобы сделать удобно так как нужно администратору. Для аналитики тоже много данных и более удобно представлено.
Вот такой получился краткий обзор из того что успел посмотреть и какие остались впечатления. Если интересно узнать про какую то систему больше то пишите, постараюсь сделать более интересную и наполнению техничкой статью.
Большое спасибо что уделили время и прочли. Крайне интересно узнать ваше мнение что сейчас лучше по критерию цена/качество?
MrAlone
С таким обзором пора выводить деньги из N-банка, раз там так внедряют SIEM.
rutkit_root Автор
Это было довольно давно ) внедряли там очень хорошо, но многие моменты я не могу рассказать ) поэтому написал основные плюсы и минусы.