SlideShare uma empresa Scribd logo

Сравнение ТОП 5 SIEM РФ

Transferir como PPTX, PDF
Pete Kuzeev
Pete Kuzeev

Участвуют ТОП 5 по Gartner с небольшой поправкой на РФ - LogRhythm заменён на RSA Security Analitycs (enVision)

Dados e análise
1 de 17
Пётр Кузеев, Системный архитектор NVision Group www.nvg.ru
ТОП ВЕНДОРОВ ГАРТНЕР
ArcSight – старт проекта в 2000, 2010 куплен HP Q1 Labs QRadar – старт в 2001, куплен IBM в 2011 Nitro Security – старт 1999, куплен McAfee в 2011 RSA enVision – куплен в 2005, куплен EMC в 2011 Splunk – старт в 2006 ТОП 5 ВЕНДОРОВ СЕГОДНЯ РФ
Данные Данные СБОР ДАННЫХ собирает собирает или или получает получает агент и сервер ----------------------- передаёт на сервер ---------------------------------- Splunk McAfee QRadar ArcSight enVision Возможен Смешанная Смешанная Только агент Только любой , зависит от , зависит от или сервер сервер вариант типа типа агентов сбора* получения источника источника сбора данных Сервер анализа Сервер сбора Агент
АРХИТЕКТУРА SPLUNK Search Head Indexer Forwarder
АРХИТЕКТУРА MCAFEE ESM ELM, ACE, ADM, DEM, Receiver Агент, GTI
АРХИТЕКТУРА QRADAR SIEM Log Management, Risk Management Агенты, коллекторы
АРХИТЕКТУРА ARCSIGHT ESM, Identity View, Data, Application, Network Monitoring Logger Connector, Connector Appliance
АРХИТЕКТУРА ENVISION (SA) ESP, Аналитика, LIVE Концентратор, брокер Декодер
Вендор Тип установки Длительность Splunk Софт под любую ОС 10 минут McAfee Готовый образ УСТАНОВКА VMWare 30 минут QRadar Готовый образ VMWare 30 минут Arcsight Софт, устанавливаемый на подготовленную ОС Red Hat 1 – 2 часа, включая установку ОС enVision (SA) Софт, устанавливаемый на подготовленную ОС Windows 2003/2008 1 – 2 часа, включая подготовку образа
Протокол получения данных Описание 1. Syslog (Syslog TLS) 90% данных передаётся с использованием Syslog 2. Текстовый файл (scp, http, ftp, sftp, nfs, cifs) Чтение произвольного текстового лога с последующей обработкой 3. WMI источник Сбор событий через WMI, например, с контроллера домена 4. Microsoft AD (LDAP) Использование службы каталогов 5. Таблица СУБД (ODBC) Сбор данных прямым подключением к СУБД 6. Netflow Сбор потоков с сетевых устройств 7. SNMP Получение и отправка данных по SNMP 8. OPSEC/LEA, SDEE Использование фреймворков 9. JDBC, IPFix, … Остальные протоколы ПРОТОКОЛЫ ОБМЕНА ДАННЫМИ
Вендор Уровень парсинга Splunk Готовых практически нет, есть модули от «сообщества», но имеет мощный встроенный конструктор для обработки логов McAfee Много готовых, для добавления новых встроенный редактор – Advanced Syslog Parser QRadar Собственные 90%, остальные партнёрские, для добавления новых – LSX (Log Source Extension) ArcSight Самый большой набор готовых, новые добавляются через Flex Connector enVision (SA) Собственные 70%, остальные партнёрские, создание новых с помощью консольного редактора Universal Device Support Console ПАРСИНГ И ТИПЫ ИСТОЧНИКОВ «ИЗ КОРОБКИ»
Вендор Работа с дашбордами Splunk Готовых нет, есть с модулями от «сообщества» и от вендора, но имеет простой редактор McAfee Много готовых, достаточно гибкий конструктор для добавления новых QRadar Готовые под любую выборку, конструктор с привязкой к обработанным данным ArcSight Большой набор готовых, удобный редактор для создания новых enVision (SA) Есть минимальный набор готовых, возможность добавления новых СОЗДАНИЕ ДАШБОРДОВ
Вендор Возможности корреляции Splunk Отдельный пакет с правилами, КОРРЕЛЯЦИЯ правил мало, политика вендора – вы лучше знаете свою сеть, вы сможете сами написать правила McAfee Много готовых, удобный редактор, готовые политики QRadar Связка с базой данных уязвимостей, требуется создание политики ArcSight Большой набор готовых, удобный редактор, готовые политики enVision (SA) Есть набор готовых, сложный конструктор, отход от стандартной модели*
Вендор Уровень поддержки Splunk Все материалы вендора в открытом ПОДДЕРЖКА доступе, мощное сообщество, отлично помогает дистрибутор RRC, дистрибутив доступен для изучения McAfee Хороший уровень у вендора в РФ, дистрибутив доступен под пилот без ограничений, есть сообщество, QRadar Достаточной высокий уровень вендора в РФ, дистрибутив доступен под пилот – ограничен по времени ArcSight Высокий уровень у вендора в РФ, есть сообщество, отлично помогает дистрибутор Axoft, ограничение дистрибутива под пилот по времени enVision (SA) Низкий уровень у вендора в РФ, низкий уровень у дистрибуторов – демо-версия продукта продаётся
Вендор Параметр Splunk McAfee QRadar ArcSight enVision 1. Интерфейс Web Flash (HTML5) Web Flash Web HTML5 Web и СОЗДАНИЕ ДАШБОРДОВ приложение Web и приложение 2. Язык интерфейса Английский (русский XML*) Английский Русский (Частичные вставки на английском) Английский Английский 3. Образ VMWare Нет Да Нет Нет Нет 4. Лицензирование Мб/Сутки, количество одновреме нных запросов Устройства или параметры VM Устройства и Мб/Сутки Все варианты, количество одновремен ных пользователе й консоли Устройства или параметры сервера 5. Соответствие стандартам PCI DSS > 10 >10 >10 >10
Вопросы? 1. 2. 3. 4. 5. 6. 7. 8. 9. +7 985 9994824, PKUZEEV@NVG.RU СПАСИБО! ВАШИ ВОПРОСЫ?

Recomendados

Nexthop lab-v4
Nexthop lab-v4Nexthop lab-v4
Nexthop lab-v4Pete Kuzeev
 
Системы предотвращения потери данных
Системы предотвращения потери данныхСистемы предотвращения потери данных
Системы предотвращения потери данныхPete Kuzeev
 
RuSIEM
RuSIEMRuSIEM
RuSIEMOlesya Shelestova
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformАльбина Минуллина
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANАльбина Минуллина
 
RuSIEM 2016
RuSIEM 2016RuSIEM 2016
RuSIEM 2016Olesya Shelestova
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 

Recomendados

Nexthop lab-v4
Nexthop lab-v4Nexthop lab-v4
Nexthop lab-v4Pete Kuzeev
 
Системы предотвращения потери данных
Системы предотвращения потери данныхСистемы предотвращения потери данных
Системы предотвращения потери данныхPete Kuzeev
 
RuSIEM
RuSIEMRuSIEM
RuSIEMOlesya Shelestova
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformАльбина Минуллина
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANАльбина Минуллина
 
RuSIEM 2016
RuSIEM 2016RuSIEM 2016
RuSIEM 2016Olesya Shelestova
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 
Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством! Альбина Минуллина
 
SCADA v.0.5
SCADA v.0.5SCADA v.0.5
SCADA v.0.5Альбина Минуллина
 
Можно ли обмануть DLP
Можно ли обмануть DLPМожно ли обмануть DLP
Можно ли обмануть DLPАльбина Минуллина
 
Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9 Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9Компания УЦСБ
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыАйдар Гилязов
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Альбина Минуллина
 
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеАлександр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеKaspersky
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...Igor Gots
 
NSX Security
NSX SecurityNSX Security
NSX SecurityАльбина Минуллина
 
Кибербезопасность АСУ ТП
Кибербезопасность АСУ ТПКибербезопасность АСУ ТП
Кибербезопасность АСУ ТПАльбина Минуллина
 
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийАльбина Минуллина
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Denis Batrankov, CISSP
 
Построение центров ГосСОПКА
Построение центров ГосСОПКАПостроение центров ГосСОПКА
Построение центров ГосСОПКААльбина Минуллина
 
Как увидеть невидимые инциденты
Как увидеть невидимые инцидентыКак увидеть невидимые инциденты
Как увидеть невидимые инцидентыPositive Hack Days
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейЭЛВИС-ПЛЮС
 
Корреляция в SIEM системах
Корреляция в SIEM системахКорреляция в SIEM системах
Корреляция в SIEM системахOlesya Shelestova
 
Siem
SiemSiem
Siemcnpo
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOCDenis Batrankov, CISSP
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Expolink
 
Splunk - универсальная платформа для работы с любыми данными
Splunk - универсальная платформа для работы с любыми даннымиSplunk - универсальная платформа для работы с любыми данными
Splunk - универсальная платформа для работы с любыми даннымиCleverDATA
 

Mais conteúdo relacionado

Mais procurados

Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством! Альбина Минуллина
 
Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9 Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9Компания УЦСБ
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыАйдар Гилязов
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Альбина Минуллина
 
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеАлександр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеKaspersky
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...Igor Gots
 
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийАльбина Минуллина
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Denis Batrankov, CISSP
 
Как увидеть невидимые инциденты
Как увидеть невидимые инцидентыКак увидеть невидимые инциденты
Как увидеть невидимые инцидентыPositive Hack Days
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейЭЛВИС-ПЛЮС
 
Корреляция в SIEM системах
Корреляция в SIEM системахКорреляция в SIEM системах
Корреляция в SIEM системахOlesya Shelestova
 
Siem
SiemSiem
Siemcnpo
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 

Mais procurados (20)

Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством!
 
SCADA v.0.5
SCADA v.0.5SCADA v.0.5
SCADA v.0.5
 
Можно ли обмануть DLP
Можно ли обмануть DLPМожно ли обмануть DLP
Можно ли обмануть DLP
 
Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9 Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объекты
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)
 
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеАлександр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...
 
NSX Security
NSX SecurityNSX Security
NSX Security
 
Кибербезопасность АСУ ТП
Кибербезопасность АСУ ТПКибербезопасность АСУ ТП
Кибербезопасность АСУ ТП
 
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложений
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод
 
Построение центров ГосСОПКА
Построение центров ГосСОПКАПостроение центров ГосСОПКА
Построение центров ГосСОПКА
 
Как увидеть невидимые инциденты
Как увидеть невидимые инцидентыКак увидеть невидимые инциденты
Как увидеть невидимые инциденты
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетей
 
Корреляция в SIEM системах
Корреляция в SIEM системахКорреляция в SIEM системах
Корреляция в SIEM системах
 
Siem
SiemSiem
Siem
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOC
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 

Destaque

Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Expolink
 
Splunk - универсальная платформа для работы с любыми данными
Splunk - универсальная платформа для работы с любыми даннымиSplunk - универсальная платформа для работы с любыми данными
Splunk - универсальная платформа для работы с любыми даннымиCleverDATA
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Д.Афанасьев_ CleverDATA_Охота за данными
Д.Афанасьев_ CleverDATA_Охота за даннымиД.Афанасьев_ CleverDATA_Охота за данными
Д.Афанасьев_ CleverDATA_Охота за даннымиCleverDATA
 
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Банковское обозрение
 
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетяхHP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетяхКомпания УЦСБ
 
Text mining of Beauty Blogs: о чем говорят женщины? (Артем Просветов, data sc...
Text mining of Beauty Blogs: о чем говорят женщины? (Артем Просветов, data sc...Text mining of Beauty Blogs: о чем говорят женщины? (Артем Просветов, data sc...
Text mining of Beauty Blogs: о чем говорят женщины? (Артем Просветов, data sc...CleverDATA
 
Marketing plan symantec
Marketing plan symantecMarketing plan symantec
Marketing plan symantecvaruna177
 
Penetration testing, What’s this?
Penetration testing, What’s this?Penetration testing, What’s this?
Penetration testing, What’s this?Dmitry Evteev
 
Introduction to Penetration Testing
Introduction to Penetration TestingIntroduction to Penetration Testing
Introduction to Penetration TestingAndrew McNicol
 
QRadar, ArcSight and Splunk
QRadar, ArcSight and Splunk QRadar, ArcSight and Splunk
QRadar, ArcSight and Splunk M sharifi
 

Destaque (11)

Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
 
Splunk - универсальная платформа для работы с любыми данными
Splunk - универсальная платформа для работы с любыми даннымиSplunk - универсальная платформа для работы с любыми данными
Splunk - универсальная платформа для работы с любыми данными
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Д.Афанасьев_ CleverDATA_Охота за данными
Д.Афанасьев_ CleverDATA_Охота за даннымиД.Афанасьев_ CleverDATA_Охота за данными
Д.Афанасьев_ CleverDATA_Охота за данными
 
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
 
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетяхHP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
 
Text mining of Beauty Blogs: о чем говорят женщины? (Артем Просветов, data sc...
Text mining of Beauty Blogs: о чем говорят женщины? (Артем Просветов, data sc...Text mining of Beauty Blogs: о чем говорят женщины? (Артем Просветов, data sc...
Text mining of Beauty Blogs: о чем говорят женщины? (Артем Просветов, data sc...
 
Marketing plan symantec
Marketing plan symantecMarketing plan symantec
Marketing plan symantec
 
Penetration testing, What’s this?
Penetration testing, What’s this?Penetration testing, What’s this?
Penetration testing, What’s this?
 
Introduction to Penetration Testing
Introduction to Penetration TestingIntroduction to Penetration Testing
Introduction to Penetration Testing
 
QRadar, ArcSight and Splunk
QRadar, ArcSight and Splunk QRadar, ArcSight and Splunk
QRadar, ArcSight and Splunk
 

Semelhante a Сравнение ТОП 5 SIEM РФ

iWAN: Мониторинг, контроль и оптимизация работы приложений для распределенных...
iWAN: Мониторинг, контроль и оптимизация работы приложений для распределенных...iWAN: Мониторинг, контроль и оптимизация работы приложений для распределенных...
iWAN: Мониторинг, контроль и оптимизация работы приложений для распределенных...Cisco Russia
 
Управление облачной инфраструктурой
Управление облачной инфраструктуройУправление облачной инфраструктурой
Управление облачной инфраструктуройdddpaul
 
развертывание среды Rails (антон веснин, Locum Ru)
развертывание среды Rails (антон веснин, Locum Ru)развертывание среды Rails (антон веснин, Locum Ru)
развертывание среды Rails (антон веснин, Locum Ru)guest40e031
 
антон веснин Rails Application Servers
антон веснин Rails Application Serversантон веснин Rails Application Servers
антон веснин Rails Application Serversrit2010
 
Middleware
MiddlewareMiddleware
Middlewaremegakott
 
браузеры презентация
браузеры презентациябраузеры презентация
браузеры презентация4ertenka
 
Web programming modern tendencies
Web programming modern tendenciesWeb programming modern tendencies
Web programming modern tendenciesDarkestMaster
 
браузеры презентация
браузеры презентациябраузеры презентация
браузеры презентация4ertenka
 
Инфраструктура распределенных приложений на nodejs / Станислав Гуменюк (Rambl...
Инфраструктура распределенных приложений на nodejs / Станислав Гуменюк (Rambl...Инфраструктура распределенных приложений на nodejs / Станислав Гуменюк (Rambl...
Инфраструктура распределенных приложений на nodejs / Станислав Гуменюк (Rambl...Ontico
 
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктурой
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктуройОбзор возможностей Prime Infrastructure по управлению ИТ инфраструктурой
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктуройCisco Russia
 
Liferay Portal и приемы разработки
Liferay Portal и приемы разработкиLiferay Portal и приемы разработки
Liferay Portal и приемы разработкиdevclub
 
FlexPod для machine learning, 3D, контейнеров и еще сотня проверенных архитектур
FlexPod для machine learning, 3D, контейнеров и еще сотня проверенных архитектурFlexPod для machine learning, 3D, контейнеров и еще сотня проверенных архитектур
FlexPod для machine learning, 3D, контейнеров и еще сотня проверенных архитектурCisco Russia
 
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018GigaCloud
 
Net core and linux in production
Net core and linux in productionNet core and linux in production
Net core and linux in productionAnatoly Popov
 
Embarcadero All-Access
Embarcadero All-AccessEmbarcadero All-Access
Embarcadero All-AccessSerghei Urban
 
Миграция Web-проекта в облако. И.Гальцев.
Миграция Web-проекта в облако. И.Гальцев.Миграция Web-проекта в облако. И.Гальцев.
Миграция Web-проекта в облако. И.Гальцев.Clouds NN
 
Как devops исчерпывает себя, и что будет дальше / Кирилл Вечера (Jetware)
Как devops исчерпывает себя, и что будет дальше / Кирилл Вечера (Jetware)Как devops исчерпывает себя, и что будет дальше / Кирилл Вечера (Jetware)
Как devops исчерпывает себя, и что будет дальше / Кирилл Вечера (Jetware)Ontico
 
ORM технологии в .NET (Nhibernate, Linq To SQL, Entity Framework)
ORM технологии в .NET (Nhibernate, Linq To SQL, Entity Framework)ORM технологии в .NET (Nhibernate, Linq To SQL, Entity Framework)
ORM технологии в .NET (Nhibernate, Linq To SQL, Entity Framework)Pavel Tsukanov
 
Андрей Завадский "Бессерверная архитектура"
Андрей Завадский "Бессерверная архитектура" Андрей Завадский "Бессерверная архитектура"
Андрей Завадский "Бессерверная архитектура"Fwdays
 

Semelhante a Сравнение ТОП 5 SIEM РФ (20)

iWAN: Мониторинг, контроль и оптимизация работы приложений для распределенных...
iWAN: Мониторинг, контроль и оптимизация работы приложений для распределенных...iWAN: Мониторинг, контроль и оптимизация работы приложений для распределенных...
iWAN: Мониторинг, контроль и оптимизация работы приложений для распределенных...
 
Управление облачной инфраструктурой
Управление облачной инфраструктуройУправление облачной инфраструктурой
Управление облачной инфраструктурой
 
развертывание среды Rails (антон веснин, Locum Ru)
развертывание среды Rails (антон веснин, Locum Ru)развертывание среды Rails (антон веснин, Locum Ru)
развертывание среды Rails (антон веснин, Locum Ru)
 
антон веснин Rails Application Servers
антон веснин Rails Application Serversантон веснин Rails Application Servers
антон веснин Rails Application Servers
 
SAP hands on lab_ru
SAP hands on lab_ruSAP hands on lab_ru
SAP hands on lab_ru
 
Middleware
MiddlewareMiddleware
Middleware
 
браузеры презентация
браузеры презентациябраузеры презентация
браузеры презентация
 
Web programming modern tendencies
Web programming modern tendenciesWeb programming modern tendencies
Web programming modern tendencies
 
браузеры презентация
браузеры презентациябраузеры презентация
браузеры презентация
 
Инфраструктура распределенных приложений на nodejs / Станислав Гуменюк (Rambl...
Инфраструктура распределенных приложений на nodejs / Станислав Гуменюк (Rambl...Инфраструктура распределенных приложений на nodejs / Станислав Гуменюк (Rambl...
Инфраструктура распределенных приложений на nodejs / Станислав Гуменюк (Rambl...
 
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктурой
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктуройОбзор возможностей Prime Infrastructure по управлению ИТ инфраструктурой
Обзор возможностей Prime Infrastructure по управлению ИТ инфраструктурой
 
Liferay Portal и приемы разработки
Liferay Portal и приемы разработкиLiferay Portal и приемы разработки
Liferay Portal и приемы разработки
 
FlexPod для machine learning, 3D, контейнеров и еще сотня проверенных архитектур
FlexPod для machine learning, 3D, контейнеров и еще сотня проверенных архитектурFlexPod для machine learning, 3D, контейнеров и еще сотня проверенных архитектур
FlexPod для machine learning, 3D, контейнеров и еще сотня проверенных архитектур
 
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
 
Net core and linux in production
Net core and linux in productionNet core and linux in production
Net core and linux in production
 
Embarcadero All-Access
Embarcadero All-AccessEmbarcadero All-Access
Embarcadero All-Access
 
Миграция Web-проекта в облако. И.Гальцев.
Миграция Web-проекта в облако. И.Гальцев.Миграция Web-проекта в облако. И.Гальцев.
Миграция Web-проекта в облако. И.Гальцев.
 
Как devops исчерпывает себя, и что будет дальше / Кирилл Вечера (Jetware)
Как devops исчерпывает себя, и что будет дальше / Кирилл Вечера (Jetware)Как devops исчерпывает себя, и что будет дальше / Кирилл Вечера (Jetware)
Как devops исчерпывает себя, и что будет дальше / Кирилл Вечера (Jetware)
 
ORM технологии в .NET (Nhibernate, Linq To SQL, Entity Framework)
ORM технологии в .NET (Nhibernate, Linq To SQL, Entity Framework)ORM технологии в .NET (Nhibernate, Linq To SQL, Entity Framework)
ORM технологии в .NET (Nhibernate, Linq To SQL, Entity Framework)
 
Андрей Завадский "Бессерверная архитектура"
Андрей Завадский "Бессерверная архитектура" Андрей Завадский "Бессерверная архитектура"
Андрей Завадский "Бессерверная архитектура"
 

Сравнение ТОП 5 SIEM РФ

  • 1. Пётр Кузеев, Системный архитектор NVision Group www.nvg.ru
  • 3. ArcSight – старт проекта в 2000, 2010 куплен HP Q1 Labs QRadar – старт в 2001, куплен IBM в 2011 Nitro Security – старт 1999, куплен McAfee в 2011 RSA enVision – куплен в 2005, куплен EMC в 2011 Splunk – старт в 2006 ТОП 5 ВЕНДОРОВ СЕГОДНЯ РФ
  • 4. Данные Данные СБОР ДАННЫХ собирает собирает или или получает получает агент и сервер ----------------------- передаёт на сервер ---------------------------------- Splunk McAfee QRadar ArcSight enVision Возможен Смешанная Смешанная Только агент Только любой , зависит от , зависит от или сервер сервер вариант типа типа агентов сбора* получения источника источника сбора данных Сервер анализа Сервер сбора Агент
  • 5. АРХИТЕКТУРА SPLUNK Search Head Indexer Forwarder
  • 6. АРХИТЕКТУРА MCAFEE ESM ELM, ACE, ADM, DEM, Receiver Агент, GTI
  • 7. АРХИТЕКТУРА QRADAR SIEM Log Management, Risk Management Агенты, коллекторы
  • 8. АРХИТЕКТУРА ARCSIGHT ESM, Identity View, Data, Application, Network Monitoring Logger Connector, Connector Appliance
  • 9. АРХИТЕКТУРА ENVISION (SA) ESP, Аналитика, LIVE Концентратор, брокер Декодер
  • 10. Вендор Тип установки Длительность Splunk Софт под любую ОС 10 минут McAfee Готовый образ УСТАНОВКА VMWare 30 минут QRadar Готовый образ VMWare 30 минут Arcsight Софт, устанавливаемый на подготовленную ОС Red Hat 1 – 2 часа, включая установку ОС enVision (SA) Софт, устанавливаемый на подготовленную ОС Windows 2003/2008 1 – 2 часа, включая подготовку образа
  • 11. Протокол получения данных Описание 1. Syslog (Syslog TLS) 90% данных передаётся с использованием Syslog 2. Текстовый файл (scp, http, ftp, sftp, nfs, cifs) Чтение произвольного текстового лога с последующей обработкой 3. WMI источник Сбор событий через WMI, например, с контроллера домена 4. Microsoft AD (LDAP) Использование службы каталогов 5. Таблица СУБД (ODBC) Сбор данных прямым подключением к СУБД 6. Netflow Сбор потоков с сетевых устройств 7. SNMP Получение и отправка данных по SNMP 8. OPSEC/LEA, SDEE Использование фреймворков 9. JDBC, IPFix, … Остальные протоколы ПРОТОКОЛЫ ОБМЕНА ДАННЫМИ
  • 12. Вендор Уровень парсинга Splunk Готовых практически нет, есть модули от «сообщества», но имеет мощный встроенный конструктор для обработки логов McAfee Много готовых, для добавления новых встроенный редактор – Advanced Syslog Parser QRadar Собственные 90%, остальные партнёрские, для добавления новых – LSX (Log Source Extension) ArcSight Самый большой набор готовых, новые добавляются через Flex Connector enVision (SA) Собственные 70%, остальные партнёрские, создание новых с помощью консольного редактора Universal Device Support Console ПАРСИНГ И ТИПЫ ИСТОЧНИКОВ «ИЗ КОРОБКИ»
  • 13. Вендор Работа с дашбордами Splunk Готовых нет, есть с модулями от «сообщества» и от вендора, но имеет простой редактор McAfee Много готовых, достаточно гибкий конструктор для добавления новых QRadar Готовые под любую выборку, конструктор с привязкой к обработанным данным ArcSight Большой набор готовых, удобный редактор для создания новых enVision (SA) Есть минимальный набор готовых, возможность добавления новых СОЗДАНИЕ ДАШБОРДОВ
  • 14. Вендор Возможности корреляции Splunk Отдельный пакет с правилами, КОРРЕЛЯЦИЯ правил мало, политика вендора – вы лучше знаете свою сеть, вы сможете сами написать правила McAfee Много готовых, удобный редактор, готовые политики QRadar Связка с базой данных уязвимостей, требуется создание политики ArcSight Большой набор готовых, удобный редактор, готовые политики enVision (SA) Есть набор готовых, сложный конструктор, отход от стандартной модели*
  • 15. Вендор Уровень поддержки Splunk Все материалы вендора в открытом ПОДДЕРЖКА доступе, мощное сообщество, отлично помогает дистрибутор RRC, дистрибутив доступен для изучения McAfee Хороший уровень у вендора в РФ, дистрибутив доступен под пилот без ограничений, есть сообщество, QRadar Достаточной высокий уровень вендора в РФ, дистрибутив доступен под пилот – ограничен по времени ArcSight Высокий уровень у вендора в РФ, есть сообщество, отлично помогает дистрибутор Axoft, ограничение дистрибутива под пилот по времени enVision (SA) Низкий уровень у вендора в РФ, низкий уровень у дистрибуторов – демо-версия продукта продаётся
  • 16. Вендор Параметр Splunk McAfee QRadar ArcSight enVision 1. Интерфейс Web Flash (HTML5) Web Flash Web HTML5 Web и СОЗДАНИЕ ДАШБОРДОВ приложение Web и приложение 2. Язык интерфейса Английский (русский XML*) Английский Русский (Частичные вставки на английском) Английский Английский 3. Образ VMWare Нет Да Нет Нет Нет 4. Лицензирование Мб/Сутки, количество одновреме нных запросов Устройства или параметры VM Устройства и Мб/Сутки Все варианты, количество одновремен ных пользователе й консоли Устройства или параметры сервера 5. Соответствие стандартам PCI DSS > 10 >10 >10 >10
  • 17. Вопросы? 1. 2. 3. 4. 5. 6. 7. 8. 9. +7 985 9994824, PKUZEEV@NVG.RU СПАСИБО! ВАШИ ВОПРОСЫ?