SIEM ما أنت؟ تواصلنا بشكل طبيعي

مرحبا! في الخدمة ، كان علي أن أواجه حقيقة أنه كان مطلوبًا لتنفيذ نظام SIEM. أنا فقط أخبر تجربتي في الحياة حول ما قمت بتطبيقه من SIEMs بالإضافة إلى أو ناقص ما نحصل عليه مقابل سعرها. مثل هذا المراجع الصغير للحلول الموجودة في السوق. إذا كانت لديك خبرة في هذا النظام أو ذاك ، فأنا أسأل تحت الخفض ، وسنكون سعداء لمناقشة هذا الموضوع. أعتقد أنه سيكون من المفيد جدًا القراءة لأولئك الذين يواجهون خيارًا.



لذلك ، أول SIEM الذي صادفته عند التنفيذ في N-bank هو ArkSite.



لقد مضى وقت طويل ، منذ 5-6 سنوات. نعم ، أفهم أنه قد تم تحديثه بالفعل ، وقد تمت إضافة بعض أنواع الكعك ، وهكذا. ولكن يرجى ملاحظة أن جميع الحلول قد تطورت أيضًا.



إذن ما أحببناه وما لم نحبه.



احب.



  1. جامعي جيد على الأجهزة
  2. من الممكن جمع الأحداث من العديد من المصادر والتحليل الجيد للسجلات خارج الصندوق
  3. وحدة وظيفية للغاية
  4. لغة برمجة بسيطة لإنشاء قواعد مخصصة
  5. يوجد متجر به ملحقات


ربما يكون هذا هو كل ما أحببته ، فالنظام يعمل كالساعة ، ولكن بالنسبة للتحليلات تحتاج إلى الانغماس فيها ، والتدريب مطلوب ، لأنك لا تتوقع فهمًا بسيطًا لهذه الأداة. نظام مستوى شركة نفط الجنوب ذات كفاءة جيدة.



لم يعجبني.



  1. إذا كنت قد أخذت القليل من EPS في البداية ، فلن يسمح لك النظام بعد 30 يومًا باستخدام أكثر مما لديك ، فلن يعمل الارتباط.
  2. الواجهة جيدة جدًا ، كما تثير وحدة التحكم المنفصلة أسئلة
  3. تعد واجهة الويب بشكل عام متوسطًا بين لوحات المعلومات والتكوينات
  4. – , . – .
  5. java,
  6. = ))) ,
  7. , .


أنا أصف رأيًا شخصيًا بحتًا من التجربة ، لذا أطلب منك عدم رمي الطماطم كثيرًا.



المريض التالي في الخط هو IBM QRadar.



لم يكن لدي وقت للتعرف على بعضنا البعض عن كثب ، لذلك سأصف فقط ما رأيته - تخيل قطارًا مصفحًا ، كل شيء على ما يرام على القضبان. ولكن إذا وضعت القطار المدرع الثاني على نفس القضبان ، فسوف يسقط كلا القطارين المدرعين. الأمر نفسه ينطبق على النظام - لسبب ما ، عندما يعمل عدد كبير من الأشخاص بنفس الطلبات ، يسقط كل شيء. قد يصرخ شخص ما بأننا جميعًا rukazhopy ولا نعرف كيف نفعل أي شيء ، لكن الحقيقة تبقى. في الوقت نفسه ، لا ينبه في أي مكان ، ولا يكتب.

مجرد ازدهار وهذا كل شيء. وبعد ذلك تحتاج إلى الانتظار لفترة طويلة حتى يرتفع كل شيء. وبالمناسبة ، هذا القطار المدرع يستهلك كمية الوقود (اقرأ الموارد). وبغض النظر عن مقدار ما تضيفه من هذا الوقود ، فكل شيء لا يكفي بالنسبة له. ولا تسير بشكل أسرع. ما زلت أتساءل لماذا ، اكتب من يعرف يستطيع.



Soooooo الآن ننتقل إلى النظام التالي - McAfee ESM.



منذ أن كنت محظوظًا بما يكفي للتلاعب بها ، على التوالي ، ويمكنني مشاركة ما أعجبني وما لم أفعله. سيمكا نفسها إما أن تذهب كلها في واحد ، أو تأخذها للأجزاء - كل وحدة على حدة.



احب.



  1. لوحات القيادة والقواعد خارج الصندوق
  2. إعداد جامع سهل
  3. الارتباط والتجميع خارج الصندوق
  4. ربط ماسحات الثغرات الأمنية بدون الرقص بدف
  5. لا يتم إيقاف تشغيله عند تجاوز EPS
  6. سهل التركيب (على عكس Ark على سبيل المثال)
  7. يعمل بسرعة كبيرة بسبب المرونة


لم يعجبني.



  1. يتم تنفيذ الاتصال بوحدة تخزين منفصلة بصراحة
  2. إنه لا يكتب دائمًا ما هو الخطأ بالضبط في المجمع ، فنحن ندخن الدليل
  3. يقول المجمع الموجود أسفل آلة الفوز أن كل شيء على ما يرام ، ولكن عليك التحقق من SIEM نفسه إذا كان الأمر كذلك.
  4. عند توصيل بعض المصادر مثل MISP ، لا توجد لوحة استكشاف الأخطاء وإصلاحها ، تحتاج إلى البحث في مكان آخر.
  5. بطريقة غريبة ، تسقط الوحدات الفردية ويتم استعادتها.
  6. يتحدث عن المشكلة - لكن عليك أن تبحث في التكوين ، فهو لا يكتب المشكلة على الفور في التنبيه.


وبالتالي فإن النظام بسيط للغاية ، تم إنشاؤه على نسخته الخاصة من Linux من البائع ، وهناك مجموعة من الأوامر المألوفة لإدارة Linux ، مرنة ومريحة. لا يحد من كيفية القيام بذلك بشكل ملائم حسب احتياجات المسؤول. بالنسبة للتحليلات ، هناك أيضًا الكثير من البيانات ويتم تقديمها بشكل أكثر ملاءمة.



فيما يلي لمحة موجزة عن ما تمكنت من رؤيته وما هي انطباعاتي. إذا كنت مهتمًا بمعرفة المزيد حول أي نظام ، ثم اكتب ، سأحاول جعل المقالة أكثر تشويقًا وتقنية.



شكرا جزيلا على وقتك وقراءتك. من المثير للاهتمام للغاية معرفة رأيك ، ما هو الأفضل الآن وفقًا لمعيار السعر / الجودة؟



All Articles