因此,我在N-bank实施时遇到的第一个SIEM是ArkSite。
很久以前,即5-6年前。是的,我知道它已经被更新,添加了一些面包,等等。但是请注意,所有解决方案也都在发展。
所以我们喜欢什么,我们不喜欢什么。
喜欢。
- 设备上的好收藏家
- 可以从许多来源收集事件并可以对现成的日志进行良好的解析
- 功能齐全的控制台
- 一种用于创建自定义规则的简单编程语言
- 有一家商店,有附加商品
这可能就是我喜欢的全部内容,该系统就像一个时钟一样工作,但是对于分析,您需要将自己沉浸在其中,需要进行培训,因为您不希望对此工具有简单的了解。合格的SOC的级别系统。
不喜欢。
- 如果最初使用了一点EPS,那么30天后,系统将不再允许您使用过多的EPS,则相关性将失效。
- 界面坦率地说,单独的控制台也引发了问题
- Web界面通常是仪表板和配置之间的平均值
- – , . – .
- java,
- = ))) ,
- , .
我是根据经验描述的,纯粹是个人观点,因此请您不要将西红柿撒得太多。
下一个病人是IBM QRadar。
我没有时间互相了解,所以我只描述一下我所看到的-想象一下装甲列车,一切都井井有条。但是,如果您将第二辆装甲列车放在同一条导轨上,那么两辆装甲列车都会掉落。系统也是如此-出于某种原因,当许多人处理相同的请求时,一切都会崩溃。可能有人大喊我们都是rukazhopy,不知道该怎么做,但事实仍然存在。同时,它不会在任何地方发出警报,不会写入。
只是繁荣而已。然后,您需要等待很长时间,直到一切都恢复正常。顺便说一句,这辆装甲列车吃了多少燃料(阅读资源)。而且无论您添加多少这种燃料,一切都对他来说是不够的。而且它并没有更快。仍然想知道为什么,写谁知道可以。
现在,我们进入下一个系统-McAfee ESM。
由于我很幸运地分别与她进行了修补,所以我可以分享自己喜欢和不喜欢的东西。Siemka本身要么全部集成,要么将其分为几个部分-每个模块单独使用。
喜欢。
- 开箱即用的仪表盘和规则
- 易于收集器设置
- 开箱即用的关联和聚合
- 连接漏洞扫描程序而不用铃鼓跳舞
- 超出EPS时不会关闭
- 易于安装(例如,与方舟不同)
- 由于弹性,工作非常迅速
不喜欢。
- 坦率地说,连接到单独的存储是这样
- 他并不总是写出收藏家到底出了什么问题,我们抽了手册
- Win-machine下的收集器说一切都很好,但是如果是这样,则需要签入SIEM本身。
- 连接MISP等某些来源时,没有故障排除面板,您需要在其他地方查看。
- 以一种奇怪的方式,各个模块脱落并被恢复。
- 他谈论问题-但是您需要查看配置,他不会立即在警报中写出问题。
因此,该系统非常简单,是在供应商自己的Linux版本上制作的,这里有一系列熟悉Linux的命令,它们既灵活又方便。不限制管理员方便地进行操作的方式。对于分析,也有很多数据,并且显示起来更加方便。
这是我设法看到的内容和印象的简要概述。如果您有兴趣了解有关哪个系统的更多信息,请撰写,我将尝试使文章更加有趣和技术性。
非常感谢您的时间和阅读。知道您的意见,根据价格/质量标准,现在有什么更好的选择是非常有趣的?