SIEM ну что ты? нормально же общались

Всем привет! По долгу службы пришлось мне столкнуться с тем что потребовалось внедрить СИЕМ систему. Рассказываю просто свой опыт из жизни про то какие СИЕМки я внедрял и плюс минус что мы получаем за их цену. Такой мини обзорчик решений которые есть на рынке. Если у вас есть опыт с той или иной системой прошу под кат, с удовольствием подискутируем на эту тему. Думаю для тех кто стоит перед выбором будет довольно таки полезно прочесть.

Итак, первая СИЕМ с которой я столкнулся при внедрении в N-банке это АркСайт.

Было это довольно таки давно, лет 5-6 назад. Да, я понимаю что она уже обновилась, добавились какие то плюшки и так далее. НО прошу заметить что все решения тоже развивались.

Итак что понравилось а что нет.

Понравилось.

  1. Хорошие коллекторы на устройствах
  2. Есть возможность сбора событий со множества источников и хороший парсинг логов из коробки
  3. Довольно функциональная консоль
  4. Простой язык программирования для создания кастомных правил
  5. Есть магазин с аддонами

На этом наверное всё что понравилось, система работает как часы, но для аналитики нужно сильно погружаться в неё, требуется обучение так как простого понимания данного инструмента не ждите. Система уровеня хорошего грамотного SOCа.

Не понравилось.

  1. Если взяли мало EPS первоначально то через 30 дней система не даст вам использовать больше чем есть, не будет работать корреляция.
  2. Интерфейс откровенно так себе, отдельная консоль управления тоже вызывает вопросы
  3. Веб интерфейс вообще среднее между дашбордами и конфигами
  4. Дашборы – из коробки вообще можно сказать что их нет, если руки из плеч и разберётесь то велком. Нет – курите документацию.
  5. Написан интерфейс на java, иногда вылетает
  6. Дорого стоит = ))) Ну правда дорого, а самое обидное что не понятно за что
  7. Довольно не тривиальная установка на никсы, придётся иногда помучиться с апдейтами.

Описываю сугубо личное мнение из опыта, поэтому прошу сильно не бросаться помидорами.

Следующий пациент в очереди – IBM QRadar.

Сильно близко не успел познакомиться, поэтому просто опишу то что видел – представьте бронепоезд, идёт по рельсам всё в порядке. Но если вы поставите второй бронепоезд на те же рельсы то упадут оба бронепоезда. Вот так же и с системой – почему то при работе большого количества человек с одинаковыми запросами всё падает. Кто то может кричать что мы все рукажопы и ничего не умеем но факт остаётся фактом. При этом не алертит никуда, не пишет.
Просто -бумс и всё. А потом нужно долго ждать пока это всё поднимется. А кстати топлива (читай ресурсов) жрёт этот бронепоезд ого го сколько. И сколько не подливай этого топлива всё мало ему. А быстрее не едет. До сих пор интересно почему так, напишите кто знает может.

Тааааак теперь идем к следующей систему – McAfee ESM.

Так как повозится с ней посчастливилось достаточно долго соответственно и могу разделить что понравилось а что нет. Сама сиемка либо идёт всё в одном, либо бери по запчастям – каждый модуль отдельно.

Понравилось.

  1. Дашборды и правила в большом количестве из коробки
  2. Простая настройка коллекторов
  3. Корреляция и агрегирование из коробки
  4. Подключение сканеров уязвимостей без плясок с бубном
  5. Не отключается при превышении EPS
  6. Простая установка (в отличии от Арка к примеру)
  7. Работает очень быстро за счёт Эластика

Не понравилось.

  1. Подключение к отдельному хранилищу реализовано откровенно так себе
  2. Не всегда пишет что именно не так с коллектором, курим мануал
  3. Коллектор под win- машины говорит что всё хорошо, но нужно проверять в самой СИЕМ так ли это.
  4. При подключении каких то источников типа MISP нет панельки траблшутинга, нужно смотреть в другом месте.
  5. Странным образом отваливаются и восстанавливаются отдельные модули.
  6. Говорит о проблеме – но смотреть нужно в конфиге, сразу в алерте проблему не пишет.

А так система достаточно простая, сделана на собственной версии линукса от вендора, есть набор команд знакомых по администрированию линукса, гибкая и удобная. Не ограничивает в том чтобы сделать удобно так как нужно администратору. Для аналитики тоже много данных и более удобно представлено.

Вот такой получился краткий обзор из того что успел посмотреть и какие остались впечатления. Если интересно узнать про какую то систему больше то пишите, постараюсь сделать более интересную и наполнению техничкой статью.

Большое спасибо что уделили время и прочли. Крайне интересно узнать ваше мнение что сейчас лучше по критерию цена/качество?

Комментарии 9

    0
    С таким обзором пора выводить деньги из N-банка, раз там так внедряют SIEM.
      0
      Это было довольно давно ) внедряли там очень хорошо, но многие моменты я не могу рассказать ) поэтому написал основные плюсы и минусы.
      0
      Уже 3й год ковыряю Qradar. В целом у нее есть огромный плюс, можно довольно быстро стартануть. Есть много стандартных коннекторов и стандартных правил. А так да, неповоротливая.
        0

        Складывается ощущение что автор видел эти сиемы "ушами", причем рассказывали ему не сильно компетентные, в этом вопросе, коллеги.
        Изучение возможностей систем по мануалам предоствленным вендором — это минус системы? А в ПДД вы тоже заглядываете после ДТП?

          0
          ОООО если бы «ушами», мне никто не рассказывал, у меня на тот момент не было ни коллег ни вендора, вообще никого кроме тех пода вендора в задачи которого не входит обучать кого либо. Поэтому гугл, мануал, и голова на плечах это весь инструментарий. Есть такая штука UI/UX, именно об этом говорилось в статье)
          ПДД учить нужно чтоб туда не заглядывать)))
          0

          Добрый день!
          Вы к сожалению вводите в заблуждение по ряду пунктов. По крайней мере с аркасайтом (т.к. работаю по большей части с ним 3+ лет):


          1. Лицензирование у системы максимально уважительное к пользователю (в отличие от того же курадара), система считает EPS по среднему (а не по всплескам) + при привышении метрик, она просто сообщает пользователю что ваши метрики привышены, а не нарушает процесс, необрабатывая какую-то часть (таким грешат некоторые другие сием системы).
          2. Система имеет как веб-интерфейс (интерфейс аналитика), так и консоль, которая позволяет настроить вообще все. Соглашусь, что возможно не хватет немного "модности", но в плане функционала — хороший швецарский нож.
          3. Развертывание системы — было бы интересно услышать в чем у вас были сложности. Но глобально для меня странно что N-банк не пользуется услугами интегратора, который поможет в архитектуре и развертывании системы. К слову, если хочется самому — документация там более тысячи страниц (можно разобраться :)
          4. Про интерфейс на яве — вы забыли упоминуть, что при сложностях в любой системе, требуется смотреть логи. Считаю, что логи на яве читать довольно приятно и понятно, либо вы не согласны?
          5. Дашборды — конечно же их надо строить самому, под те правила корреляции, которые используются в организации, а не ждать из коробки. Да и из коробки, если идете по пути допиливания классик пэкэджей и иже с ними, у вас сразу идут красивые "картинки".
          6. Про стоимость — за последние года 3 у их политика лицензирования сменилась также, раза 3 ) Есть разные метрики при состовлении спецификации и есть возможности оптимизации стоимости.

          К плюсам бы добавил, также, хорошее коммьюнити (в том числе Ру) и наличие спецаилистов по продукту на рынке.


          Другие системы прокомментировать из вашего списка не возьмусь, но мне кажется там тоже весьма субъективный разбор.

            0
            Совершенно верно, я описал только свои собственные впечатления. Таким образом они могут быть только субъективными.
            Средние всплески да — но после порога в течении 30 дней привышения отрубает корреляцию, по крайней мере так было.
            Интеграторы тоже многое могут не знать, а поставщиков на тот момент было ровно 1.
            Ява бывало крашилась ) в этом и был подвох)
              0

              Ок. Просто для понимания, последние три года точно нет проблем с превышением метрик, более того подход — не нарушать бизнесс процесс, озвучивается вендором на отрасливых конференциях. Да и по своему опыту я не наблюдал проблем на проектах (нахожусь со стороны внедрения).


              Интеграторы могут не знать, все верно — тоже люди, но у вендора полноценное представительство в России, где имеются и архитекторы систем. Уточняющие вопросы, как правило, интегратор задает в сторону вендора, либо дистрибьютора (где тоже есть инженеры). От туда получает квалилфицированные ответы.

                0
                Хорошо что всё улучшилось )))

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое