3. ArcSight –
старт проекта
в 2000, 2010
куплен HP
Q1 Labs
QRadar – старт
в 2001, куплен
IBM в 2011
Nitro Security –
старт 1999,
куплен McAfee
в 2011
RSA enVision –
куплен в 2005,
куплен EMC в
2011
Splunk – старт в
2006
ТОП 5 ВЕНДОРОВ СЕГОДНЯ РФ
4. Данные Данные
СБОР ДАННЫХ
собирает
собирает
или
или
получает
получает
агент и
сервер
-----------------------
передаёт
на сервер
----------------------------------
Splunk McAfee QRadar ArcSight enVision
Возможен
Смешанная
Смешанная
Только агент
Только
любой
, зависит от
, зависит от
или сервер
сервер
вариант
типа
типа
агентов
сбора*
получения
источника
источника
сбора
данных
Сервер
анализа
Сервер сбора
Агент
10. Вендор Тип установки Длительность
Splunk Софт под любую ОС 10 минут
McAfee Готовый образ
УСТАНОВКА
VMWare
30 минут
QRadar Готовый образ
VMWare
30 минут
Arcsight Софт,
устанавливаемый на
подготовленную ОС
Red Hat
1 – 2 часа, включая
установку ОС
enVision (SA) Софт,
устанавливаемый на
подготовленную ОС
Windows 2003/2008
1 – 2 часа, включая
подготовку образа
11. Протокол получения данных Описание
1. Syslog (Syslog TLS) 90% данных передаётся с
использованием Syslog
2. Текстовый файл (scp, http,
ftp, sftp, nfs, cifs)
Чтение произвольного текстового
лога с последующей обработкой
3. WMI источник Сбор событий через WMI,
например, с контроллера домена
4. Microsoft AD (LDAP) Использование службы каталогов
5. Таблица СУБД (ODBC) Сбор данных прямым
подключением к СУБД
6. Netflow Сбор потоков с сетевых устройств
7. SNMP Получение и отправка данных по
SNMP
8. OPSEC/LEA, SDEE Использование фреймворков
9. JDBC, IPFix, … Остальные протоколы
ПРОТОКОЛЫ ОБМЕНА ДАННЫМИ
12. Вендор Уровень парсинга
Splunk Готовых практически нет, есть
модули от «сообщества», но имеет
мощный встроенный конструктор
для обработки логов
McAfee Много готовых, для добавления новых
встроенный редактор – Advanced
Syslog Parser
QRadar Собственные 90%, остальные
партнёрские, для добавления новых
– LSX (Log Source Extension)
ArcSight Самый большой набор готовых,
новые добавляются через Flex
Connector
enVision (SA) Собственные 70%, остальные
партнёрские, создание новых с
помощью консольного редактора
Universal Device Support Console
ПАРСИНГ И ТИПЫ ИСТОЧНИКОВ «ИЗ КОРОБКИ»
13. Вендор Работа с дашбордами
Splunk Готовых нет, есть с модулями от
«сообщества» и от вендора, но
имеет простой редактор
McAfee Много готовых, достаточно гибкий
конструктор для добавления новых
QRadar Готовые под любую выборку,
конструктор с привязкой к
обработанным данным
ArcSight Большой набор готовых, удобный
редактор для создания новых
enVision (SA) Есть минимальный набор готовых,
возможность добавления новых
СОЗДАНИЕ ДАШБОРДОВ
14. Вендор Возможности корреляции
Splunk Отдельный пакет с правилами,
КОРРЕЛЯЦИЯ
правил мало, политика вендора – вы
лучше знаете свою сеть, вы
сможете сами написать правила
McAfee Много готовых, удобный редактор,
готовые политики
QRadar Связка с базой данных уязвимостей,
требуется создание политики
ArcSight Большой набор готовых, удобный
редактор, готовые политики
enVision (SA) Есть набор готовых, сложный
конструктор, отход от стандартной
модели*
15. Вендор Уровень поддержки
Splunk Все материалы вендора в открытом
ПОДДЕРЖКА
доступе, мощное сообщество,
отлично помогает дистрибутор RRC,
дистрибутив доступен для изучения
McAfee Хороший уровень у вендора в РФ,
дистрибутив доступен под пилот без
ограничений, есть сообщество,
QRadar Достаточной высокий уровень
вендора в РФ, дистрибутив доступен
под пилот – ограничен по времени
ArcSight Высокий уровень у вендора в РФ,
есть сообщество, отлично помогает
дистрибутор Axoft, ограничение
дистрибутива под пилот по времени
enVision (SA) Низкий уровень у вендора в РФ,
низкий уровень у дистрибуторов –
демо-версия продукта продаётся
16. Вендор
Параметр
Splunk McAfee QRadar ArcSight enVision
1. Интерфейс Web Flash
(HTML5)
Web Flash Web HTML5 Web и
СОЗДАНИЕ ДАШБОРДОВ
приложение
Web и
приложение
2. Язык интерфейса Английский
(русский
XML*)
Английский Русский
(Частичные
вставки на
английском)
Английский Английский
3. Образ VMWare Нет Да Нет Нет Нет
4. Лицензирование Мб/Сутки,
количество
одновреме
нных
запросов
Устройства
или
параметры
VM
Устройства
и Мб/Сутки
Все
варианты,
количество
одновремен
ных
пользователе
й консоли
Устройства
или
параметры
сервера
5. Соответствие
стандартам
PCI DSS > 10 >10 >10 >10