Успешное внедрение SIEM. Часть 2

[zhylik]

Разве SIEM — подходящее решение для комплаенса? Она же логи обрабатывает. Мы у себя немного по другому делаем — сделали интеграцию AD, систем мониторинга, систем инвентаризации сетевых устройств, отдельных конфигов оборудования и некоторых других вещей с нашей системой на CMS Drupal (каждый хост/сетевое устройство/человек и т.п. — отдельная сущность со своими полями (инвентаризационные данные, информ система, организация, кто работает и проч.)). Политики проверяем скриптами, которые пишут в Drupal, при необходимости графиков и истории — отдельные метрики дублируются в заббикс. Табличные выборки несоответствия/соответствия делаются стандартными модулями Drupal. Все серверные скрипты собраны в модули Drupal.

И уже эту штуку планируем использовать как источник знаний для SIEM…

[msamoylov]

SIEM — обрабатывает и анализирует ту информацию, которая в нее поступает, а какая это будет информация не имеет сексуально-оптического значения. Нет проблем, если у вас есть Drupal, который может решить эту задачу, вопрос в выборе инструментов очень часто исходит из того, что у вас есть под рукой. У нас нет Drupal'а. В идеале для этой задачи вообще использовать puppet или ansible, а в SIEM отправлять информацию о текущем статусе соответствия требованиям.
Немного здесь еще раскрою, мб недостаточно уточнил в статье. SIEM — удобно в части Complience, когда система настройки которой надо проверить имеет конфиг в виде файла, который можно пропарсить, если это Linux и слишком много конфигов, либо серверов, то удобнее использовать puppet, ansible, chef, а не скрипты Drupal.
Если системы управления конфигурациями нет, то гораздо проще парсить коннекторами SIEM конфиги проверяемого ПО и оборудования и сразу выгружать в SIEM.