Comments 12
А где можно почитать про правила из коробки, которые идут с системой.
И можно ли посмотреть документацию/хелп относительно разработки правил корелляции в SIEM, что бы понять возможности движка сценариев.
Список правил можно посмотреть по ссылке. Еще наш системный аналитик проводил вебинар, на котором рассказывал о предустановленных правилах, рекомендуем к просмотру https://youtu.be/wGMSO912Vkk?si=5I7Hb5yPyUjzN4Dk
Не сразу заметил, что блог от СерчИнформ.
Подумал что за детский лепет по выбору и правилам, но теперь все понятно.
Среди тестируемого спектра продуктов однозначно QRadar гораздо круче.
Ну а я сам работаю совсем с другим SIEM, не из списка, чтобы не было подозрений, что я продаю QRadar или сотрудник IBM :-)
Статья с личным опытом автора и сравнением - по-вашему, детский лепет, а коммент с аргументами "гораздо круче" и "все понятно" - это, конечно, выверенная взрослая позиция:)
А что мне писать про детский лепет?
"Это офигенно круто"? ?
Озвученные задачи соответствуют совсем начальному уровню, который можно решить вообще с любым SIEM.
А серчинформовский сием вообще вырос из продукта составления электронного досье, и к анализу событий не имел никакого отношения.
Эти хвосты в функциональности продукта видны до сих пор. По крайней мере ещё 5 лет назад, когда я в последний раз интересовался этим продуктом так оно и было.
Гораздо более интересные сиемы - Qradar и Max Patrol SIEM. Не буду называть наш рабочий сием - тот ещё богаче по возможностям, чем эти два. Но совсем не дешёвый, к сожалению.
Ааааа, так вы пришли макспатрол порекламировать. "теперь все понятно" (с)
Аргумент "хвосты видны до сих пор, я смотрел продукт 5 лет назад" - верх профессионализма. За 5 лет многое могло измениться, не считаете? Уровень нашей дискуссии упал ниже плинтуса, пожалуй, давайте на этом закончим, чтобы не смешить народ.
Ещё раз, по складам: я работаю совсем с другим сием, который мощнее макспатрол и я его не называю ?
Кстати, 5 лет назад это был ПОСЛЕДНИЙ раз, когда я интересовался сечинформом.
Следил я за этим продуктом ещё когда он был электронным досье, за все это время впечатляющего прогресса так и не увидел, и он перестал меня интересовать. Тот же курадар за это время развился очень сильно.
Главное чтобы эта крутая SIEM не оказалась Ankey от GiS :)
Подскажите, а что с ним не так?
Это "прибитая гвоздями" перекрашенная версия PT MaxPatrol SIEM. Не очень (совсем) не современная. Как бы форк, но из новшенств там только названия поменяны, да кучу бесполезной мукулытуры сделают за баснословные суммы.
Если задать вопрос в тех. поддержку, то они вопрос переадресуют в Positive Technologies. PT отвечает долго, т.к. для них это уже устаревшая версия.
Т.к. это зависимый проект, то стоимость намного выше, чем у оригинала.
Это вкратце, а вообще об этом можно целую статью написансь (зачем например позитивы разрешили GiS под своим брендом делать.
«Изначально мы не планировали внедрение SIEM, так как использовали SOC»
Дальше этого предложения уже можно не читать. Как отдел SOC мешает внедрению siem?
В начале совсем запутался, когда автор написал:
Изначально мы не планировали внедрение SIEM, так как использовали SOC.
Cпустя пару абзацев понял, что речь видимо шла о SOC-as-a-service, который использовался ранее. Ладно, упустим, мой основной вопрос к выбору критериев и здесь мне кажется вы слегка не на том акцентировали внимание:
количество предустановленных правил, которые сразу покажут результат;
Возможно для тех, кто раньше не работал с SIEM, это кажется важным. Однако на практике я сталкивался с тем, что правила из коробки дают очень много фолзов либо не работают вовсе. Как ни крути, все равно правила под ваши актуальные риски и вашу инфраструктуру придётся писать самостоятельно. Из плюсов здесь - в правилах из коробки можно увидеть как предпочтительнее в этом конкретном SIEM их формировать.
интеграция с другими решениями;
Кажется в современных реалиях всё можно интегрировать со всем, если есть время и квалифицированные специалисты. Если про удобство интеграции, то понятно, что решения одного вендора будут интегрироваться между собой сильно проще. Но основной продукт SearchInform - DLP, а это вообще немного сайдовая история для ИБ и вообще вещь в себе. Я в свое время не увидел ощутимых плюсов заведение на SIEM DLP как источника.
минимальная достаточность функционала, т.е. поддержка нужных коннекторов, а не бесконечного множества;
Здесь совсем непонятно, искать на рынке решение которое подходит именно под вас, так можно не найти никогда. Кажется лучше смотреть на гибкость инструмента, который вы выбираете, на возможность создания коннекторов под любой источник. Но кажется это есть в любом нормальном SIEM.
удобство и наглядность – чтобы информация об инциденте была понятна не только мне, но и руководству.
По мне искать наглядность из коробки, и выставлять как критерий при выборе SIEM - такая себе затея. Здесь уже все зависит от вас, вашего понимания опасений и интересов руководства, насколько оно хочет погружаться в процессы ИБ. После того, как будет понимание уже можно формировать для этого руководства дашборы и выводить их хоть на плазму в кабинет ГД. А дашборды сейчас есть в любом SIEM.
Как итог спича, кажется всё же иногда стоит более внимательно относиться к выбору критериев. В следующий раз возможно стоит обратить внимание:
на стоимость решения, а это не только те деньги что вы отдадите вендору при подписании договора, а еще как минимум ежегодную поддержку и оплату труда специалистов, которые будут это решение обслуживать и эксплуатировать;
на наличие этих специалистов на рынке, иначе потом каждого нового работника надо будет учить работать с решением, а это деньги и время;
на оптимизацию, ведь разные SIEM с одними и теме же источниками и идентичными правилами корреляции требуют совсем разного количества ресурсов, а железо нынче в дефиците
на возможности к масштабированию; новые источники, новые типы источников, растущее число серверов и рабочих станций, добавление филиалов - со всем этим приходится сталкиваться при эксплуатации, и не хотелось бы, чтобы масштабирование проходило через боль и слезы.
на отказоустойчивость; маловероятно что вы захотите периодически оставаться без глаз.
Перечень выше далеко не полный, можно еще смотреть на страну вендора (по понятным причинам), на комьюнити и качество поддержки, на сложности эксплуатации и удобство использования как и на многое другое. Все же больше внимания стоит уделить выбору критериев и тогда сможете выбрать то, что подходит именно вам и избежите многих проблем в будущем.
Опыт заказчика: как мы выбрали и внедрили SIEM