[Информационная безопасность] SIEM ну что ты? нормально же общались

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
30-Окт-2020 13:33

Всем привет! По долгу службы пришлось мне столкнуться с тем что потребовалось внедрить СИЕМ систему. Рассказываю просто свой опыт из жизни про то какие СИЕМки я внедрял и плюс минус что мы получаем за их цену. Такой мини обзорчик решений которые есть на рынке. Если у вас есть опыт с той или иной системой прошу под кат, с удовольствием подискутируем на эту тему. Думаю для тех кто стоит перед выбором будет довольно таки полезно прочесть.
Итак, первая СИЕМ с которой я столкнулся при внедрении в N-банке это АркСайт.
Было это довольно таки давно, лет 5-6 назад. Да, я понимаю что она уже обновилась, добавились какие то плюшки и так далее. НО прошу заметить что все решения тоже развивались.
Итак что понравилось а что нет.
Понравилось.
  • Хорошие коллекторы на устройствах
  • Есть возможность сбора событий со множества источников и хороший парсинг логов из коробки
  • Довольно функциональная консоль
  • Простой язык программирования для создания кастомных правил
  • Есть магазин с аддонами

На этом наверное всё что понравилось, система работает как часы, но для аналитики нужно сильно погружаться в неё, требуется обучение так как простого понимания данного инструмента не ждите. Система уровеня хорошего грамотного SOCа.
Не понравилось.
  • Если взяли мало EPS первоначально то через 30 дней система не даст вам использовать больше чем есть, не будет работать корреляция.
  • Интерфейс откровенно так себе, отдельная консоль управления тоже вызывает вопросы
  • Веб интерфейс вообще среднее между дашбордами и конфигами
  • Дашборы – из коробки вообще можно сказать что их нет, если руки из плеч и разберётесь то велком. Нет – курите документацию.
  • Написан интерфейс на java, иногда вылетает
  • Дорого стоит = ))) Ну правда дорого, а самое обидное что не понятно за что
  • Довольно не тривиальная установка на никсы, придётся иногда помучиться с апдейтами.

Описываю сугубо личное мнение из опыта, поэтому прошу сильно не бросаться помидорами.
Следующий пациент в очереди – IBM QRadar.
Сильно близко не успел познакомиться, поэтому просто опишу то что видел – представьте бронепоезд, идёт по рельсам всё в порядке. Но если вы поставите второй бронепоезд на те же рельсы то упадут оба бронепоезда. Вот так же и с системой – почему то при работе большого количества человек с одинаковыми запросами всё падает. Кто то может кричать что мы все рукажопы и ничего не умеем но факт остаётся фактом. При этом не алертит никуда, не пишет.
Просто -бумс и всё. А потом нужно долго ждать пока это всё поднимется. А кстати топлива (читай ресурсов) жрёт этот бронепоезд ого го сколько. И сколько не подливай этого топлива всё мало ему. А быстрее не едет. До сих пор интересно почему так, напишите кто знает может.
Тааааак теперь идем к следующей систему – McAfee ESM.
Так как повозится с ней посчастливилось достаточно долго соответственно и могу разделить что понравилось а что нет. Сама сиемка либо идёт всё в одном, либо бери по запчастям – каждый модуль отдельно.
Понравилось.
  • Дашборды и правила в большом количестве из коробки
  • Простая настройка коллекторов
  • Корреляция и агрегирование из коробки
  • Подключение сканеров уязвимостей без плясок с бубном
  • Не отключается при превышении EPS
  • Простая установка (в отличии от Арка к примеру)
  • Работает очень быстро за счёт Эластика

Не понравилось.
  • Подключение к отдельному хранилищу реализовано откровенно так себе
  • Не всегда пишет что именно не так с коллектором, курим мануал
  • Коллектор под win- машины говорит что всё хорошо, но нужно проверять в самой СИЕМ так ли это.
  • При подключении каких то источников типа MISP нет панельки траблшутинга, нужно смотреть в другом месте.
  • Странным образом отваливаются и восстанавливаются отдельные модули.
  • Говорит о проблеме – но смотреть нужно в конфиге, сразу в алерте проблему не пишет.

А так система достаточно простая, сделана на собственной версии линукса от вендора, есть набор команд знакомых по администрированию линукса, гибкая и удобная. Не ограничивает в том чтобы сделать удобно так как нужно администратору. Для аналитики тоже много данных и более удобно представлено.
Вот такой получился краткий обзор из того что успел посмотреть и какие остались впечатления. Если интересно узнать про какую то систему больше то пишите, постараюсь сделать более интересную и наполнению техничкой статью.
Большое спасибо что уделили время и прочли. Крайне интересно узнать ваше мнение что сейчас лучше по критерию цена/качество?
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_siem, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 20:15
Часовой пояс: UTC + 5