SIEM ну что ты? нормально же общались

[MrAlone]

С таким обзором пора выводить деньги из N-банка, раз там так внедряют SIEM.

[rutkit_root]

Это было довольно давно ) внедряли там очень хорошо, но многие моменты я не могу рассказать ) поэтому написал основные плюсы и минусы.

[Pablo777]

Уже 3й год ковыряю Qradar. В целом у нее есть огромный плюс, можно довольно быстро стартануть. Есть много стандартных коннекторов и стандартных правил. А так да, неповоротливая.

[DeaDClaW]

Складывается ощущение что автор видел эти сиемы "ушами", причем рассказывали ему не сильно компетентные, в этом вопросе, коллеги.
Изучение возможностей систем по мануалам предоствленным вендором — это минус системы? А в ПДД вы тоже заглядываете после ДТП?

[rutkit_root]

ОООО если бы «ушами», мне никто не рассказывал, у меня на тот момент не было ни коллег ни вендора, вообще никого кроме тех пода вендора в задачи которого не входит обучать кого либо. Поэтому гугл, мануал, и голова на плечах это весь инструментарий. Есть такая штука UI/UX, именно об этом говорилось в статье)
ПДД учить нужно чтоб туда не заглядывать)))

[p111t]

Добрый день!
Вы к сожалению вводите в заблуждение по ряду пунктов. По крайней мере с аркасайтом (т.к. работаю по большей части с ним 3+ лет):

1. Лицензирование у системы максимально уважительное к пользователю (в отличие от того же курадара), система считает EPS по среднему (а не по всплескам) + при привышении метрик, она просто сообщает пользователю что ваши метрики привышены, а не нарушает процесс, необрабатывая какую-то часть (таким грешат некоторые другие сием системы).
2. Система имеет как веб-интерфейс (интерфейс аналитика), так и консоль, которая позволяет настроить вообще все. Соглашусь, что возможно не хватет немного "модности", но в плане функционала — хороший швецарский нож.
3. Развертывание системы — было бы интересно услышать в чем у вас были сложности. Но глобально для меня странно что N-банк не пользуется услугами интегратора, который поможет в архитектуре и развертывании системы. К слову, если хочется самому — документация там более тысячи страниц (можно разобраться :)
4. Про интерфейс на яве — вы забыли упоминуть, что при сложностях в любой системе, требуется смотреть логи. Считаю, что логи на яве читать довольно приятно и понятно, либо вы не согласны?
5. Дашборды — конечно же их надо строить самому, под те правила корреляции, которые используются в организации, а не ждать из коробки. Да и из коробки, если идете по пути допиливания классик пэкэджей и иже с ними, у вас сразу идут красивые "картинки".
6. Про стоимость — за последние года 3 у их политика лицензирования сменилась также, раза 3 ) Есть разные метрики при состовлении спецификации и есть возможности оптимизации стоимости.

К плюсам бы добавил, также, хорошее коммьюнити (в том числе Ру) и наличие спецаилистов по продукту на рынке.

Другие системы прокомментировать из вашего списка не возьмусь, но мне кажется там тоже весьма субъективный разбор.

[rutkit_root]

Совершенно верно, я описал только свои собственные впечатления. Таким образом они могут быть только субъективными.
Средние всплески да — но после порога в течении 30 дней привышения отрубает корреляцию, по крайней мере так было.
Интеграторы тоже многое могут не знать, а поставщиков на тот момент было ровно 1.
Ява бывало крашилась ) в этом и был подвох)

[p111t]

Ок. Просто для понимания, последние три года точно нет проблем с превышением метрик, более того подход — не нарушать бизнесс процесс, озвучивается вендором на отрасливых конференциях. Да и по своему опыту я не наблюдал проблем на проектах (нахожусь со стороны внедрения).

Интеграторы могут не знать, все верно — тоже люди, но у вендора полноценное представительство в России, где имеются и архитекторы систем. Уточняющие вопросы, как правило, интегратор задает в сторону вендора, либо дистрибьютора (где тоже есть инженеры). От туда получает квалилфицированные ответы.

[rutkit_root]

Хорошо что всё улучшилось )))