لذلك ، أول SIEM الذي صادفته عند التنفيذ في N-bank هو ArkSite.
لقد مضى وقت طويل ، منذ 5-6 سنوات. نعم ، أفهم أنه قد تم تحديثه بالفعل ، وقد تمت إضافة بعض أنواع الكعك ، وهكذا. ولكن يرجى ملاحظة أن جميع الحلول قد تطورت أيضًا.
إذن ما أحببناه وما لم نحبه.
احب.
- جامعي جيد على الأجهزة
- من الممكن جمع الأحداث من العديد من المصادر والتحليل الجيد للسجلات خارج الصندوق
- وحدة وظيفية للغاية
- لغة برمجة بسيطة لإنشاء قواعد مخصصة
- يوجد متجر به ملحقات
ربما يكون هذا هو كل ما أحببته ، فالنظام يعمل كالساعة ، ولكن بالنسبة للتحليلات تحتاج إلى الانغماس فيها ، والتدريب مطلوب ، لأنك لا تتوقع فهمًا بسيطًا لهذه الأداة. نظام مستوى شركة نفط الجنوب ذات كفاءة جيدة.
لم يعجبني.
- إذا كنت قد أخذت القليل من EPS في البداية ، فلن يسمح لك النظام بعد 30 يومًا باستخدام أكثر مما لديك ، فلن يعمل الارتباط.
- الواجهة جيدة جدًا ، كما تثير وحدة التحكم المنفصلة أسئلة
- تعد واجهة الويب بشكل عام متوسطًا بين لوحات المعلومات والتكوينات
- – , . – .
- java,
- = ))) ,
- , .
أنا أصف رأيًا شخصيًا بحتًا من التجربة ، لذا أطلب منك عدم رمي الطماطم كثيرًا.
المريض التالي في الخط هو IBM QRadar.
لم يكن لدي وقت للتعرف على بعضنا البعض عن كثب ، لذلك سأصف فقط ما رأيته - تخيل قطارًا مصفحًا ، كل شيء على ما يرام على القضبان. ولكن إذا وضعت القطار المدرع الثاني على نفس القضبان ، فسوف يسقط كلا القطارين المدرعين. الأمر نفسه ينطبق على النظام - لسبب ما ، عندما يعمل عدد كبير من الأشخاص بنفس الطلبات ، يسقط كل شيء. قد يصرخ شخص ما بأننا جميعًا rukazhopy ولا نعرف كيف نفعل أي شيء ، لكن الحقيقة تبقى. في الوقت نفسه ، لا ينبه في أي مكان ، ولا يكتب.
مجرد ازدهار وهذا كل شيء. وبعد ذلك تحتاج إلى الانتظار لفترة طويلة حتى يرتفع كل شيء. وبالمناسبة ، هذا القطار المدرع يستهلك كمية الوقود (اقرأ الموارد). وبغض النظر عن مقدار ما تضيفه من هذا الوقود ، فكل شيء لا يكفي بالنسبة له. ولا تسير بشكل أسرع. ما زلت أتساءل لماذا ، اكتب من يعرف يستطيع.
Soooooo الآن ننتقل إلى النظام التالي - McAfee ESM.
منذ أن كنت محظوظًا بما يكفي للتلاعب بها ، على التوالي ، ويمكنني مشاركة ما أعجبني وما لم أفعله. سيمكا نفسها إما أن تذهب كلها في واحد ، أو تأخذها للأجزاء - كل وحدة على حدة.
احب.
- لوحات القيادة والقواعد خارج الصندوق
- إعداد جامع سهل
- الارتباط والتجميع خارج الصندوق
- ربط ماسحات الثغرات الأمنية بدون الرقص بدف
- لا يتم إيقاف تشغيله عند تجاوز EPS
- سهل التركيب (على عكس Ark على سبيل المثال)
- يعمل بسرعة كبيرة بسبب المرونة
لم يعجبني.
- يتم تنفيذ الاتصال بوحدة تخزين منفصلة بصراحة
- إنه لا يكتب دائمًا ما هو الخطأ بالضبط في المجمع ، فنحن ندخن الدليل
- يقول المجمع الموجود أسفل آلة الفوز أن كل شيء على ما يرام ، ولكن عليك التحقق من SIEM نفسه إذا كان الأمر كذلك.
- عند توصيل بعض المصادر مثل MISP ، لا توجد لوحة استكشاف الأخطاء وإصلاحها ، تحتاج إلى البحث في مكان آخر.
- بطريقة غريبة ، تسقط الوحدات الفردية ويتم استعادتها.
- يتحدث عن المشكلة - لكن عليك أن تبحث في التكوين ، فهو لا يكتب المشكلة على الفور في التنبيه.
وبالتالي فإن النظام بسيط للغاية ، تم إنشاؤه على نسخته الخاصة من Linux من البائع ، وهناك مجموعة من الأوامر المألوفة لإدارة Linux ، مرنة ومريحة. لا يحد من كيفية القيام بذلك بشكل ملائم حسب احتياجات المسؤول. بالنسبة للتحليلات ، هناك أيضًا الكثير من البيانات ويتم تقديمها بشكل أكثر ملاءمة.
فيما يلي لمحة موجزة عن ما تمكنت من رؤيته وما هي انطباعاتي. إذا كنت مهتمًا بمعرفة المزيد حول أي نظام ، ثم اكتب ، سأحاول جعل المقالة أكثر تشويقًا وتقنية.
شكرا جزيلا على وقتك وقراءتك. من المثير للاهتمام للغاية معرفة رأيك ، ما هو الأفضل الآن وفقًا لمعيار السعر / الجودة؟