Clever Geek Handbook

SIEM o que é você? nos comunicamos normalmente

Olá! No plantão, tive que enfrentar o fato de que era necessário implementar o sistema SIEM. Estou apenas contando minha experiência de vida sobre os SIEMs que implementei e mais ou menos o que recebemos pelo preço deles. Um mini revisor de soluções que estão no mercado. Se você tem experiência com este ou aquele sistema, pergunto abaixo, ficaremos felizes em discutir este tópico. Acho que para aqueles que se deparam com uma escolha, será muito útil ler.



Portanto, o primeiro SIEM que encontrei ao implementar no banco N é o ArkSite.



Foi há muito tempo, 5-6 anos atrás. Sim, entendo que já foi atualizado, alguns pães foram adicionados, e assim por diante. MAS observe que todas as soluções também evoluíram.



Então, o que gostamos e o que não gostamos.



Gostei.



  1. Bons colecionadores em dispositivos
  2. É possível coletar eventos de muitas fontes e uma boa análise de logs fora da caixa
  3. Console bastante funcional
  4. Uma linguagem de programação simples para criar regras personalizadas
  5. Existe uma loja com addons


Provavelmente é tudo o que gostei, o sistema funciona como um relógio, mas para analítica é preciso mergulhar nele, é preciso treinamento, já que não se espera um simples entendimento desta ferramenta. O sistema de nível de um bom SOC competente.



Não gostei.



  1. Se você tirou um pouco de EPS inicialmente, depois de 30 dias o sistema não permitirá que você use mais do que você tem, a correlação não funcionará.
  2. A interface é francamente razoável, um console de controle separado também levanta questões
  3. A interface da web é geralmente uma média entre painéis e configurações
  4. – , . – .
  5. java,
  6. = ))) ,
  7. , .


Estou descrevendo uma opinião puramente pessoal por experiência própria, por isso peço que não jogue tomates demais.



O próximo paciente na fila é o IBM QRadar.



Não tive tempo de me conhecer muito de perto, então vou apenas descrever o que vi - imagine um trem blindado, tudo está em ordem nos trilhos. Mas se você colocar o segundo trem blindado nos mesmos trilhos, os dois trens blindados cairão. É o mesmo com o sistema - por algum motivo, quando um grande número de pessoas trabalha com as mesmas solicitações, tudo cai. Alguém pode gritar que somos todos rukazhopy e não sabemos fazer nada, mas o fato permanece. Ao mesmo tempo, não alerta em lugar nenhum, não escreve.

Apenas booms e é isso. E então você precisa esperar muito tempo até que tudo aconteça. E por falar nisso, este trem blindado come quanto combustível (leia recursos). E por mais que você acrescente esse combustível, nem tudo é suficiente para ele. E não vai mais rápido. Ainda me perguntando o porquê, escreva quem sabe puder.



Entãããão agora vamos para o próximo sistema - McAfee ESM.



Pois tive a sorte de mexer com ela, respectivamente, e posso compartilhar o que gostei e o que não gostei. A Siemka em si pode ser integrada ou dividida em partes - cada módulo separadamente.



Gostei.



  1. Painéis e regras prontos para uso
  2. Fácil configuração do coletor
  3. Correlação e agregação fora da caixa
  4. Conectando scanners de vulnerabilidade sem dançar com um pandeiro
  5. Não desliga quando o EPS é excedido
  6. Fácil instalação (ao contrário do Ark, por exemplo)
  7. Funciona muito rapidamente devido ao Elastic


Não gostei.



  1. A conexão a um armazenamento separado é implementada francamente mais ou menos
  2. Ele nem sempre escreve o que exatamente há de errado com o colecionador, fumamos o manual
  3. O cobrador sob a win-machine diz que está tudo bem, mas é preciso verificar no próprio SIEM se é assim.
  4. Ao conectar algumas fontes como MISP, não há painel de solução de problemas, você precisa procurar em outro lugar.
  5. De uma forma estranha, os módulos individuais caem e são restaurados.
  6. Ele fala sobre o problema - mas você precisa olhar na configuração, ele não escreve imediatamente o problema no alerta.


E para que o sistema seja bastante simples, feito na própria versão do Linux do fornecedor, existe um conjunto de comandos familiares para administrar o Linux, flexíveis e convenientes. Não limita como fazê-lo convenientemente conforme as necessidades do administrador. Para análises, também há muitos dados e são apresentados de forma mais conveniente.



Aqui está um breve resumo do que consegui ver e quais foram minhas impressões. Se você está interessado em aprender mais sobre qual sistema, então escreva, vou tentar tornar um artigo mais interessante e cheio de informações técnicas.



Muito obrigado pelo seu tempo e leitura. É extremamente interessante saber a sua opinião o que é melhor agora de acordo com o critério de preço / qualidade?


More articles:


All Articles