Entonces, el primer SIEM que encontré al implementar en el N-bank es ArkSite.
Fue hace bastante tiempo, hace 5-6 años. Sí, entiendo que ya se actualizó, se agregaron algunos bollos, etc. PERO tenga en cuenta que todas las soluciones también han evolucionado.
Entonces, lo que nos gustó y lo que no.
Gustó.
- Buenos coleccionistas de dispositivos
- Es posible recopilar eventos de muchas fuentes y un buen análisis de registros desde el primer momento.
- Consola bastante funcional
- Un lenguaje de programación simple para crear reglas personalizadas
- Hay una tienda con complementos.
Probablemente esto sea todo lo que me gustó, el sistema funciona como un reloj, pero para la analítica necesitas sumergirte en él, se requiere entrenamiento, ya que no esperas una simple comprensión de esta herramienta. El sistema de niveles de un buen SOC competente.
No le gustó.
- Si inicialmente tomó un poco de EPS, luego de 30 días el sistema no le permitirá usar más de lo que tiene, la correlación no funcionará.
- La interfaz es francamente regular, una consola de control separada también plantea preguntas
- La interfaz web es generalmente un promedio entre paneles y configuraciones.
- – , . – .
- java,
- = ))) ,
- , .
Estoy describiendo una opinión puramente personal de la experiencia, así que les pido que no tiren demasiado los tomates.
El siguiente paciente en la fila es IBM QRadar.
No tuve tiempo de conocernos muy de cerca, así que solo describiré lo que vi: imagina un tren blindado, todo está en orden sobre los rieles. Pero si pones el segundo tren blindado en los mismos rieles, ambos trenes blindados caerán. Es lo mismo con el sistema: por alguna razón, cuando una gran cantidad de personas trabaja con las mismas solicitudes, todo se cae. Alguien puede gritar que todos somos rukazhopy y no sabemos hacer nada, pero el hecho permanece. Al mismo tiempo, no alerta en ningún lugar, no escribe.
Simplemente boom y eso es todo. Y luego debes esperar mucho tiempo hasta que todo suba. Y por cierto, este tren blindado come cuanto combustible (leer recursos). Y no importa cuánto le agregue este combustible, no todo es suficiente para él. Y no va más rápido. Aún preguntándome por qué es así, escribe quién sabe que puede.
Taaaaaaaaaaaaaaaaaaaaaaaaaaaaaaan con el siguiente sistema: McAfee ESM.
Ya que tuve la suerte de jugar con ella, respectivamente, y puedo compartir lo que me gustó y lo que no. Siemka en sí mismo va todo en uno o lo toma por partes, cada módulo por separado.
Gustó.
- Paneles y reglas listos para usar
- Fácil configuración del colector
- Correlación y agregación lista para usar
- Conectando escáneres de vulnerabilidad sin bailar con una pandereta
- No se apaga cuando se excede el EPS
- Fácil instalación (a diferencia de Ark, por ejemplo)
- Funciona muy rápido gracias a Elastic
No le gustó.
- La conexión a un almacenamiento separado se implementa francamente regular
- No siempre escribe lo que le pasa al coleccionista, fumamos el manual
- El recolector debajo de la máquina ganadora dice que todo está bien, pero debe verificar en SIEM si es así.
- Al conectar algunas fuentes de tipo MISP, no hay un panel de solución de problemas, debe buscar en otra parte.
- De manera extraña, los módulos individuales se caen y se restauran.
- Habla sobre el problema, pero debe buscar en la configuración, no escribe inmediatamente el problema en la alerta.
Y entonces el sistema es bastante simple, hecho en su propia versión de Linux del proveedor, hay un conjunto de comandos familiares para administrar Linux, flexibles y convenientes. No limita cómo hacerlo convenientemente según las necesidades del administrador. Para la analítica, también hay una gran cantidad de datos y se presenta de manera más conveniente.
Aquí hay una breve descripción de lo que logré ver y cuáles fueron mis impresiones. Si está interesado en aprender más sobre qué sistema, escriba, intentaré hacer un artículo más interesante y lleno de información técnica.
Muchas gracias por tu tiempo y lectura. Es sumamente interesante conocer tu opinión ¿qué es mejor ahora según el criterio de precio / calidad?