SIEM Analytics

 О НАС

Новости


Рекламодателям

 АНАЛИТИКА

Российский рынок SIEM


Экономические показатели от применения SIEM


Законодательство о SIEM

 ОБЗОРЫ

IBM Qradar


Security Capsule


HP ArcSight


MaxPatrol SIEM


Сравнительный анализ SIEM систем


Недостатки SIEM систем

 ПАРТНЕРЫ
 КОНТАКТЫ
Команда проекта SIEM Analytics в данном разделе попыталась максимально развернуто рассказать Вам о SIEM решенях применяемых на рынке Российской Федерации, дать сравнительный анализ представленным SIEM-системам, а также рассказать об их недостатках.
IBM QRADAR

Решение по управлению событиями и информацией, связанной с безопасностью, (SIEM) IBM Security QRadar может использоваться как базовое решение в центрах обеспечения безопасности малых и крупных компаний для сбора, стандартизации и корреляции доступных сетевых данных с применением полученного за многие годы отраслевого опыта. В результате этих действий организации получают в свое распоряжение оперативную информацию о безопасности.

Особенности

SIEM QRadar интегрирует в единое унифицированное решение управление информацией и событиями системы безопасности (SIEM), управление логами, выявление аномалий и управление конфигурациями и устранением уязвимостей.

Использует преимущества единой архитектуры для анализа системных журналов, потоков данных, уязвимостей, данных пользователей и информационных ресурсов.

Выявляет признаки наиболее критичных инцидентов ИБ среди миллиардов обычных журнальных записей.

Обеспечивает всестороннее наглядное представление графиков сетевой активности, работы приложений и действий пользователей.

Автоматизирует процессы, направленные на соблюдение нормативных требований по ИБ: сбор сведений, их корреляция и создание отчетов.

Использует корреляцию в режиме реального времени и обнаружение аномалий для выявления наиболее изощренных угроз.

SECURITY CAPSULE

SIEM cистема регистрации событий безопасности «Security Capsule» сертифицирована ФСТЭК России для защиты конфиденциальной информации, включая ИСПДн. Сертификат ФСТЭК России №3649 от 9 ноября 2016 года на ТУ и 4 уровень контроля НДВ.

«Security Capsule» имеет иерархическую структуру. С целью снижения нагрузки на сеть передачи данных первичная обработка событий осуществляется на серверах «Security Capsule», установленных в ЛВС. В зависимости от степени важности и критичности, информация о событиях ИБ передается на серверы более высокого уровня. С целью снижения трафика информация на сервера более высокого уровня передается по расписанию, как правили, во время наименьшей нагрузки на СПД. Критические события передаются в режиме реального времени.

Важнейшим модулем системы является модуль обработки и отображения информации о событиях, формирования отчетов. Администраторы системы имеет возможность самостоятельно, в соответствии с требованиями политики информационной безопасности, определять перечень контролируемых событий, выбирая из базового набора, требуемый. Определять уровни критичности.

Предназначение

Регистрация событий безопасности. Обеспечивает сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также просмотра и анализа информации о таких событиях и реагирование на них.

HP ARCSIGHT

Программно-аппаратное обеспечение HP ArcSight – это линейка продуктов компании Hewlett Packard, лидирующих в сфере мониторинга и контроля событий информационной безопасности. Решения HP ArcSight осуществляют сбор, обработку, сопоставление и реагирование на такие события, предоставляя всеобъемлющие функции масштабируемости, защиты и отказоустойчивости. Системы HP ArcSight позволяет каждую минуту обрабатывать сотни тысяч событий информационной безопасности, чтобы автоматизировать решения по обеспечению постоянной ИБ в организации. Продукты HP ArcSight активно используются крупнейшими мировыми операторами связи, финансовыми организациями и государственными структурами.

Основой линейки HP ArcSight является комплекс HP ArcSight Security Intelligence, а его ядром – HP ArcSight Enterprise Security Manager (ESM). Программа HP ArcSight ESM служит для сбора, обработки и хранения событий ИБ, расположенных в разных источниках, интегрируется с разнообразными прикладными системами и устройствами (свыше 300) и содержит несколько сотен предварительно установленных правил корреляции. В поставку HP ArcSight ESM также может включаться агент FlexConnector для интеграции с приложениями любого типа. Будучи лидером рынка, HP ArcSight ESM легко развертывается в территориально распределенных организациях с низкоскоростным сетевым подключением. Решение поставляется как в программном, таки и в программно-аппаратном варианте.

MaxPatrol SIEM

MaxPatrol SIEM является базовым элементом универсальной платформы средств безопасности Positive Technologies, в основе которой лежит сбор и анализ информации обо всех активах и событиях защищаемой системы в режиме реального времени. Системы класса SIEM (Security Information and Event Management), функционал которых предполагает не только сбор данных от различных устройств и приложений, но и автоматическое выявление инцидентов, призваны обеспечить всесторонний мониторинг событий информационной безопасности в информационной инфраструктуре как государственных организаций, так и частных компаний.

Конструктор
SmartData
Легкость
Эффективная корреляция

Используя механизмы, заложенные в MaxPatrol SIEM, можно получить отчет любой сложности, наглядно представляющий данные и отвечающий требованиям руководства. Уникальный набор практических метрик позволяет оценить реальное состояние безопасности.

MaxPatrol SIEM сохраняет только ту информацию, которая важна для анализа безопасности, и записывает ее в специальном структурированном виде, что позволяет существенно сократить объемы хранимых данных и сделать работу с ними намного эффективнее.

Система легко масштабируется и адаптируется к сетям с разной топологией, пропускной способностью и бизнес-направленностью, включая сети АСУ ТП, технологические сети телекомов, биллинговые и банковские системы.

Выводы об инцидентах производятся с учетом конфигурации, сетевой топологии и связности узлов, а также наличия эксплойтов и атакующих тулкитов.

СРАВНИТЕЛЬНЫЙ АНАЛИЗ SIEM СИСТЕМ

В рамках проекта SIEM Analytcis cравнительному анализу по множеству параметров были подвергнуты такие средства защиты как:

IBM Qradar.

Security Capsule.

HP ArcSight.

MaxPatrol SIEM.

НЕДОСТАТКИ SIEM СИСТЕМ

Несмотря на богатое многообразие линейки SIEM-систем представленных на рынке Российской Федерации и мире в целом данные продукты далеки от совершенства, каждый из них по своему хорош, но в тоже время не каждый подойдет Вам для решения задачи управления событиями информационной безопасности в полной мере, в данном разделе команда проекта SIEM Analytics постаралась приоткрыть завесу основных ндостатков данных программных продуктов при их использовании в организации информационной безопансоти на предприятии.

© SIEM Analytics 2012-2019 г. Все права защищены. copyright.