Всем привет! По долгу службы пришлось мне столкнуться с тем что потребовалось внедрить СИЕМ систему. Рассказываю просто свой опыт из жизни про то какие СИЕМки я внедрял и плюс минус что мы получаем за их цену. Такой мини обзорчик решений которые есть на рынке. Если у вас есть опыт с той или иной системой прошу под кат, с удовольствием подискутируем на эту тему. Думаю для тех кто стоит перед выбором будет довольно таки полезно прочесть.

Итак, первая СИЕМ с которой я столкнулся при внедрении в N-банке это АркСайт.

Было это довольно таки давно, лет 5-6 назад. Да, я понимаю что она уже обновилась, добавились какие то плюшки и так далее. НО прошу заметить что все решения тоже развивались.

Итак что понравилось а что нет.

Понравилось.

  1. Хорошие коллекторы на устройствах
  2. Есть возможность сбора событий со множества источников и хороший парсинг логов из коробки
  3. Довольно функциональная консоль
  4. Простой язык программирования для создания кастомных правил
  5. Есть магазин с аддонами

На этом наверное всё что понравилось, система работает как часы, но для аналитики нужно сильно погружаться в неё, требуется обучение так как простого понимания данного инструмента не ждите. Система уровеня хорошего грамотного SOCа.

Не понравилось.

  1. Если взяли мало EPS первоначально то через 30 дней система не даст вам использовать больше чем есть, не будет работать корреляция.
  2. Интерфейс откровенно так себе, отдельная консоль управления тоже вызывает вопросы
  3. Веб интерфейс вообще среднее между дашбордами и конфигами
  4. Дашборы – из коробки вообще можно сказать что их нет, если руки из плеч и разберётесь то велком. Нет – курите документацию.
  5. Написан интерфейс на java, иногда вылетает
  6. Дорого стоит = ))) Ну правда дорого, а самое обидное что не понятно за что
  7. Довольно не тривиальная установка на никсы, придётся иногда помучиться с апдейтами.

Описываю сугубо личное мнение из опыта, поэтому прошу сильно не бросаться помидорами.

Следующий пациент в очереди – IBM QRadar.

Сильно близко не успел познакомиться, поэтому просто опишу то что видел – представьте бронепоезд, идёт по рельсам всё в порядке. Но если вы поставите второй бронепоезд на те же рельсы то упадут оба бронепоезда. Вот так же и с системой – почему то при работе большого количества человек с одинаковыми запросами всё падает. Кто то может кричать что мы все рукажопы и ничего не умеем но факт остаётся фактом. При этом не алертит никуда, не пишет.
Просто -бумс и всё. А потом нужно долго ждать пока это всё поднимется. А кстати топлива (читай ресурсов) жрёт этот бронепоезд ого го сколько. И сколько не подливай этого топлива всё мало ему. А быстрее не едет. До сих пор интересно почему так, напишите кто знает может.

Тааааак теперь идем к следующей систему – McAfee ESM.

Так как повозится с ней посчастливилось достаточно долго соответственно и могу разделить что понравилось а что нет. Сама сиемка либо идёт всё в одном, либо бери по запчастям – каждый модуль отдельно.

Понравилось.

  1. Дашборды и правила в большом количестве из коробки
  2. Простая настройка коллекторов
  3. Корреляция и агрегирование из коробки
  4. Подключение сканеров уязвимостей без плясок с бубном
  5. Не отключается при превышении EPS
  6. Простая установка (в отличии от Арка к примеру)
  7. Работает очень быстро за счёт Эластика

Не понравилось.

  1. Подключение к отдельному хранилищу реализовано откровенно так себе
  2. Не всегда пишет что именно не так с коллектором, курим мануал
  3. Коллектор под win- машины говорит что всё хорошо, но нужно проверять в самой СИЕМ так ли это.
  4. При подключении каких то источников типа MISP нет панельки траблшутинга, нужно смотреть в другом месте.
  5. Странным образом отваливаются и восстанавливаются отдельные модули.
  6. Говорит о проблеме – но смотреть нужно в конфиге, сразу в алерте проблему не пишет.

А так система достаточно простая, сделана на собственной версии линукса от вендора, есть набор команд знакомых по администрированию линукса, гибкая и удобная. Не ограничивает в том чтобы сделать удобно так как нужно администратору. Для аналитики тоже много данных и более удобно представлено.

Вот такой получился краткий обзор из того что успел посмотреть и какие остались впечатления. Если интересно узнать про какую то систему больше то пишите, постараюсь сделать более интересную и наполнению техничкой статью.

Большое спасибо что уделили время и прочли. Крайне интересно узнать ваше мнение что сейчас лучше по критерию цена/качество?