А как давно? Просто у меня нет такой информации. Насколько я знаю, в России сейчас официальный дистрибьютор Aruba — это Марвелл, и они не так уж давно (где-то в апреле-мае сего года) стали ее поставлять. Сейчас посмотрел сайт Netwell — у них там далеко не полная линейка по точкам доступа, в партнерах я Netwell тоже не нашел…
А так да, далеко не все знают про эту фирму, надо исправлять.
Я работаю в системном интеграторе, не самом маленьком, не скажу, что в он в первой тройке среди интеграторов РФ, но в первой десятке — точно. Так вот, до недавнего времени у нас не было маркетингового специалиста. В итоге, все презентации по услугам-продуктам рисовали сами, пресейлы вели сами. И особого успеха не добивались, т.к. все грамотные технические специалисты, и объясняли зачастую на уровне, понятному специалисту, но не менеджеру, в обязанности которого не входит управление ИТ. + на инженеров сваливалась гора обязанностей — придумать, как проафишировать новую услугу и т.п. Поэтому в штат взяли маркетолога, на которого перенесли эти обязанности. Теперь процесс выглядит в общем случае так: объясняем, что умеет делать продукт, что мы можем гарантированно сделать, что можем, если поднапряжемся. А маркетолог это красиво преподносит в презентациях, на «общем» пресейле может сориентировать клиента, после чего уже технические специалисты клиента разговаривают с нашими инженерами. Естественно, есть и исключения из этого правила, но работать стало проще, да и продуктивней. Я уже не ломаю голову, к примеру, чтобы объяснять, чем отличается ipv4 от ipv6, а перехожу сразу к делу. Считаю, что кол-во таких маркетологов должно быть в прямой зависимости от кол-ва клиентов и оказываемых услуг. Набирать, наверное, надо гуманитариев, имеющих интерес к технике.
Спасибо за наводку на RadarServices, посмотрю, что это такое. radarservices.com — они? Не работает что-то пока.
По поводу техподдержки ArcSight ничего говорить не буду, т.к. лично я с ним мало работал и поводов обращаться в техподдержку не было. Сам продукт, в общем, на мой взгляд неплох, хотя и замороченней по сравнению с тем же QRadar или McAfee.
Да, действительно, SIEM «из коробки» не встанет в реальную сеть, весь вопрос в том, сколько времени потребуется на ее допиливание. Скажем, когда ставили QRadar, он сразу подхватил все источники клиента — имелась большая внутренняя база источников + регулярное ее обновление на сайте. Т.е. руками надо было только их переименовать более-менее осмысленно. Есть ли такие же базы источников у OpenSource SIEM — вопрос, который меня сильно занимает. Есть ли у них возможность развертывания агентов, чтобы получать события непосредственно из ОС юзера?
По поводу корректировки правил — каждый день-неделю-месяц их корректировать? Это имеет смысл на этапе внедрения, скорректировать, скажем, правила сетевых аномалий, аномального поведения пользователя и т.д., на основе которых мы будем генерировать «преступления» (offenses). Корректировку проводим исключительно для того, чтобы не нагенерировать излишних «преступлений». С источниками аналогично, хотя тут облегчается тем, что SIEM их может найти сама. Так что, в конечном итоге, нормально настроенная SIEM после ее сдачи в эксплуатации не должна нуждаться в еженедельной и ежедневной корректировке правил. В основном корректируются ложно-положительные реакции SIEM.
В части случаев система успешно работает с предустановленным базовым набором правил (которые шли вместе с ней).
По OpenSource, в итоге:
1) А не окажется ли, что результат этого «допиливания» не будет работать криво и не превысит по стоимости проприетарное решение?
2) А могут ли они нормально работать в виртуальном окружении? McAfee, например, выпускает отдельно свои продукты в сборке Virtual Appliance — что дает гарантию не наступить на какие-нибудь неприятные грабли при установке в виртуальную среду
Да, есть такие в некоторых компаниях, но не всегда они зовутся бизнес-аналитиками (у нас просто аналитик), и знания у них узкоспециализированные, так что бывает ситуация, когда в одном департаменте сидит несколько таких аналитиков — один, например, по BYOD-решениям специализируется, другой — по межсетевым экранам, а сейл (менеджер по продажам) знает обе темы, но без углубления в специфику.
Зачастую грамотный инженер может выполнить работу бизнес-аналитика, может быть поэтому с ними особо не сталкиваются?
А так да, далеко не все знают про эту фирму, надо исправлять.
По поводу техподдержки ArcSight ничего говорить не буду, т.к. лично я с ним мало работал и поводов обращаться в техподдержку не было. Сам продукт, в общем, на мой взгляд неплох, хотя и замороченней по сравнению с тем же QRadar или McAfee.
Да, действительно, SIEM «из коробки» не встанет в реальную сеть, весь вопрос в том, сколько времени потребуется на ее допиливание. Скажем, когда ставили QRadar, он сразу подхватил все источники клиента — имелась большая внутренняя база источников + регулярное ее обновление на сайте. Т.е. руками надо было только их переименовать более-менее осмысленно. Есть ли такие же базы источников у OpenSource SIEM — вопрос, который меня сильно занимает. Есть ли у них возможность развертывания агентов, чтобы получать события непосредственно из ОС юзера?
По поводу корректировки правил — каждый день-неделю-месяц их корректировать? Это имеет смысл на этапе внедрения, скорректировать, скажем, правила сетевых аномалий, аномального поведения пользователя и т.д., на основе которых мы будем генерировать «преступления» (offenses). Корректировку проводим исключительно для того, чтобы не нагенерировать излишних «преступлений». С источниками аналогично, хотя тут облегчается тем, что SIEM их может найти сама. Так что, в конечном итоге, нормально настроенная SIEM после ее сдачи в эксплуатации не должна нуждаться в еженедельной и ежедневной корректировке правил. В основном корректируются ложно-положительные реакции SIEM.
В части случаев система успешно работает с предустановленным базовым набором правил (которые шли вместе с ней).
По OpenSource, в итоге:
1) А не окажется ли, что результат этого «допиливания» не будет работать криво и не превысит по стоимости проприетарное решение?
2) А могут ли они нормально работать в виртуальном окружении? McAfee, например, выпускает отдельно свои продукты в сборке Virtual Appliance — что дает гарантию не наступить на какие-нибудь неприятные грабли при установке в виртуальную среду
Зачастую грамотный инженер может выполнить работу бизнес-аналитика, может быть поэтому с ними особо не сталкиваются?