Ainsi, le premier SIEM que j'ai rencontré lors de l'implémentation dans la N-bank est ArkSite.
C'était il y a assez longtemps, il y a 5 à 6 ans. Oui, je comprends qu'il a déjà été mis à jour, des petits pains ont été ajoutés, et ainsi de suite. MAIS veuillez noter que toutes les solutions ont également évolué.
Donc ce que nous avons aimé et ce que nous n'avons pas.
Aimé.
- Bons collectionneurs sur les appareils
- Il est possible de collecter des événements à partir de nombreuses sources et une bonne analyse des journaux hors de la boîte
- Console assez fonctionnelle
- Un langage de programmation simple pour créer des règles personnalisées
- Il y a un magasin avec des addons
C'est probablement tout ce que j'ai aimé, le système fonctionne comme une horloge, mais pour l'analytique il faut s'y plonger, une formation est nécessaire, car on ne s'attend pas à une simple compréhension de cet outil. Le système de niveau d'un bon SOC compétent.
N'a pas aimé.
- Si vous avez pris un peu d'EPS au départ, après 30 jours, le système ne vous laissera pas utiliser plus que ce que vous avez, la corrélation ne fonctionnera pas.
- L'interface est franchement médiocre, une console de contrôle séparée soulève également des questions
- L'interface web est généralement une moyenne entre les tableaux de bord et les configurations
- – , . – .
- java,
- = ))) ,
- , .
Je décris une opinion purement personnelle par expérience, je vous demande donc de ne pas trop jeter de tomates.
Le prochain patient en ligne est IBM QRadar.
Je n’ai pas eu le temps de me connaître de très près, alors je vais juste décrire ce que j’ai vu - imaginez un train blindé, tout est en ordre sur les rails. Mais si vous placez le deuxième train blindé sur les mêmes rails, les deux trains blindés tomberont. C'est la même chose avec le système - pour une raison quelconque, lorsqu'un grand nombre de personnes travaillent avec les mêmes demandes, tout tombe. Quelqu'un peut crier que nous sommes tous rudimentaires et ne savons pas comment, mais le fait demeure. En même temps, il n'alerte nulle part, n'écrit pas.
Juste des boum et c'est tout. Et puis vous devez attendre longtemps jusqu'à ce que tout se lève. Et au fait, ce train blindé consomme combien de carburant (lire les ressources). Et peu importe combien vous ajoutez ce carburant, tout ne lui suffit pas. Et ça ne va pas plus vite. Vous vous demandez toujours pourquoi, écrivez qui sait le peut.
Soooooo maintenant nous passons au système suivant - McAfee ESM.
Depuis que j'ai eu la chance de bricoler avec elle, respectivement, et je peux partager ce que j'ai aimé et ce que je n'ai pas fait. Siemka lui-même va tout en un ou prend-le pour des parties - chaque module séparément.
Aimé.
- Tableaux de bord et règles prêts à l'emploi
- Configuration facile du collecteur
- Corrélation et agrégation prêtes à l'emploi
- Connecter des scanners de vulnérabilité sans danser avec un tambourin
- Ne s'éteint pas lorsque l'EPS est dépassé
- Installation facile (contrairement à Ark par exemple)
- Fonctionne très rapidement grâce à Elastic
N'a pas aimé.
- La connexion à un stockage séparé est mise en œuvre franchement so-so
- Il n'écrit pas toujours ce qui ne va pas exactement avec le collectionneur, on fume le manuel
- Le collecteur sous la machine à gagner dit que tout va bien, mais vous devez vérifier dans le SIEM lui-même si tel est le cas.
- Lors de la connexion de certaines sources comme MISP, il n'y a pas de panneau de dépannage, vous devez regarder ailleurs.
- D'une manière étrange, les modules individuels tombent et sont restaurés.
- Il parle du problème - mais vous devez regarder dans la configuration, il n'écrit pas immédiatement le problème dans l'alerte.
Et donc le système est assez simple, fait sur sa propre version de Linux du vendeur, il existe un ensemble de commandes familières pour administrer Linux, flexibles et pratiques. Ne limite pas comment le faire de manière pratique selon les besoins de l'administrateur. Pour l'analyse, il y a aussi beaucoup de données et est présenté de manière plus pratique.
Voici un bref aperçu de ce que j'ai réussi à voir et quelles ont été mes impressions. Si vous souhaitez en savoir plus sur le système, écrivez, je vais essayer de rendre un article plus intéressant et plus technique.
Merci beaucoup pour votre temps et votre lecture. Il est extrêmement intéressant de connaître votre opinion ce qui est mieux maintenant selon le critère de prix / qualité?