Сравнение SIEM-систем

Сравнение SIEM-систем

Первое публичное сравнение популярных российских и иностранных SIEM-систем по 116 различным критериям, среди которых архитектура, возможности управления инцидентами, подключения источников, анализа данных и визуализации, отказоустойчивости, интеграции и многое другое. В сравнении участвуют Micro Focus (HP) ArcSight, McAfee ESM, IBM QRadar, RSA NetWitness, Splunk, MaxPatrol SIEM и RuSIEM. Дополнительно в сравнении приведена краткая инструкция для проведения собственной оценки и выбора оптимальной SIEM-системы, основываясь на результатах нашего сравнения.

 

 

  1. Введение
  2. Методология сравнения SIEM-систем
  3. Сравнение SIEM-систем
    1. 3.1. Общая информация
    2. 3.2. Соответствие направлению импортозамещения
    3. 3.3. Управление инцидентами, уязвимостями, активами
    4. 3.4. Предустановленная функциональность
    5. 3.5. Визуализация и аналитика
    6. 3.6. Системная архитектура
    7. 3.7. Отказоустойчивость и резервирование
    8. 3.8. Защищенность системы
    9. 3.9. Объекты системы — методы кастомизации и разработки
    10. 3.10. Управление событиями и данными
    11. 3.11. Подключение источников событий
    12. 3.12. Интеграционные возможности, обогащение данными из других систем
    13. 3.13. Техническая поддержка и обновления
    14. 3.14. Лицензирование
    15. 3.15. Дополнительные параметры (оценочные)
  4. Методика выбора оптимальной SIEM-системы
  5. Выводы

 

Введение

Изменение ландшафта угроз в сторону сложных многовекторных атак и усложнение комплекса средств защиты ведут к быстрому росту популярности систем класса SIEM (Security Information and Event Management) не только в России, но и в мире в целом. Ранее мы уже объясняли, что такое  SIEM и для чего она нужна, и проводили подробный обзор мирового и российского рынка SIEM.

Такие решения позволяют осуществлять мониторинг информационных систем, анализировать события безопасности в режиме реального времени, например, происходящие на рабочих станциях, сетевых устройствах, средствах защиты информации и других элементах ИТ-инфраструктуры компании. Собранные и проанализированные ими данные помогают обнаружить инциденты ИБ или аномалии, оставшиеся незаметными для специализированных средств защиты.

Практически ежедневно в новостях публикуются факты об успешных атаках (в том числе  целенаправленных и спонсируемых отдельными государствами) на организации, в которых, казалось бы, не было проблем с бюджетами на ИБ и работали грамотные специалисты.  В свою очередь рост киберрисков ведет к необходимости в проактивности в ИБ, автоматизированному и тщательному анализу событий, необходимости предвидеть атаку, предугадать ее развитие или хотя бы локализовать проблему с меньшими потерями. Многое из этого умеют делать современные  SIEM-системы.

Непосредственно в России рост внимания к SIEM-системам связан с некоторыми локальными изменениями на рынке информационной безопасности, среди которых можно выделить:

  1. Вступление в силу с 1 января 2018 года Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ  и связанных с ним нормативно-правовых актов (приказы ФСБ, ФСТЭК России и постановления правительства России), согласно которым в России создается  Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), подразумевающая создание корпоративных и ведомственных центров, где могут использоваться в том числе SIEM-системы.
  2. Построение корпоративных и ведомственных центров оперативного мониторинга информационной безопасности  Security Operation Center (SOC), в том числе с целью взаимодействия с НКЦКИ в рамках системы ГосСОПКА. Чаще всего платформой для  автоматизации процессов SOC являются рассматриваемые в обзоре SIEM-решения.
  3. Увеличение зрелости ИБ во многих крупных компаниях, а значит, и появление потребности автоматизации большого числа процессов.

Возникновение массового спроса и предложения со стороны вендоров порождает у заказчиков проблему выбора, для решения которой нужно время и экспертиза. К сожалению, до настоящего времени в публичном пространстве практически не было актуальных сравнительных материалов, которые бы помогали потенциальным заказчикам выбрать оптимальную для себя SIEM-систему без принятия стороннего оценочного мнения. Мы решили это исправить.

Несмотря на сложность и, казалось бы, неподъемность задачи, мы провели первое открытое независимое сравнение популярных на российском рынке SIEM-систем. Для этого мы пригласили к участию всех желающих, создали открытую группу заинтересованных специалистов, коллегиально на протяжении 6 месяцев прорабатывали критерии сравнения и список производителей-участников, уточняли и выверяли ответы, чтобы получившееся в итоге сравнение было прозрачным. Фактически любой желающий мог высказать свое мнение по улучшению критериев сравнения или о точности приведенной в таблице информации.

Перед ознакомлением с результатами нашего сравнения имеет смысл понять, зачем вам нужна SIEM-система, какие задачи, по вашему мнению, такая система позволит решить. Вооружившись ответами на эти вопросы, можно перейти к изучению результатов сравнения. Технически рекомендуется выделить необходимые параметры и проставить для них «весовые значения» по собственному мнению, основываясь на описании значений критериев в таблице. Далее следует просуммировать значения и вывести собственного лидера среди SIEM-систем, отвечающего задачам вашей компании. Подробнее описано в главе «Методика выбора оптимальной SIEM-системы».

 

Методология сравнения SIEM-систем

На этапе выбора критериев сравнения в нашей рабочей группе возникали жаркие споры насчет корректности сравнения существующих решений (а рассматриваются далеко не все присутствующие на рынке) или недостаточного раскрытия ряда функциональных возможностей. И тут действительно нужно пояснить: пути развития выбранных нами для сравнения SIEM-систем имеют разные длину (в годах) и направление — поэтому оценивать нужно потенциальному заказчику, основываясь на особенностях своей организации.


Например, потребности сервисного SOC, продающего свои услуги другим компаниям, разительно отличаются от потребностей инфраструктурного внутреннего SOC. И если для первого важно подключить из коробки максимальное количество источников и иметь возможность гибкого управления данными, поступающими от них, то для второго большим приоритетом может стать удобный пользовательский интерфейс и минимальная стоимость владения решением.

И если особенности заказчика формируют потребности, то функциональность продуктов определяет их возможности. Это ориентировка на интеграцию внутри собственной экосистемы, как у Positive Technologies и IBM, или направленность на интеграцию со сторонними решениями, как у RuSIEM и Micro Focus Security. Кроме того, подходы к визуализации и навигации в консоли каждого из решений соответствуют определенной логике, которую не всегда можно оценить четкими критериями, но зато можно эмпирически принять при живой демонстрации.

Группировка критериев осуществлялась на основе базовых влияющих на компании-потребители направлений, диктуемых временем: степень автоматизации, стратегия развития (в том числе устойчивость на рынке), эластичность архитектуры. Возможность компании-потребителя  учитывать риски при таких условиях в дальнейшем определяет ее выбор.

К примеру, небольшим игрокам стоит присмотреться к комплексному моновендорному решению, а тем, кто крупнее, ориентироваться на нишевые (под нишей подразумевается отрасль) решения. Далее проводилась детализация направлений в группы (представленные ниже), которые раскладывались, в свою очередь, на подгруппы. По возможности и экспертно оцененному весу влияния критерия на оценку подгруппы разбивались оценочные параметры.

Для создания полезного инструмента выбора нами были выделены следующие группы критериев сравнения  SIEM-систем:

  • Архитектура решения — форм-фактор, масштабируемость, методы управления событиями  и схема лицензирования — важный параметр для Enterprise-установок, где необходимо подсчитать конечную стоимость владения решением, учитывая трудоемкость обслуживания, возможность и эффективность реализации в распределенных сетях.
  • Общая информация — будет полезна при презентации руководству или организации референс-визитов, соответствия основных показателей ИТ- и ИБ-стратегии компании. По этим показателям можно судить о зрелости решения и его положении на рынке.
  • Функциональные особенности —наличие и составляющие кастомизируемых параметров, гибкость настройки позволят оценить применимость решения к принятой парадигме развития процессов обеспечения ИБ (аутсорсинг, централизованное, распределенное использование) компании. А качество и количество предустановленных из коробки элементов, а также среднее время старта дадут представление о сроках внедрения до получения первых показателей эффективности.
  • Интеграционные возможности — наличие развитых встроенных и интегрируемых подсистем управления уязвимостями, инцидентами и активами позволит в начальном периоде эксплуатации ограничиться использованием одного продукта, без увеличения количества используемых администратором и аналитиком консолей. А интеграция со сторонними решениями в целях обогащения информации о событиях ИБ, сведения об API и поддерживаемых источниках событий указывают на открытую позицию компании на рынке, умение находить общий язык с другими игроками, говорит о направлениях развития продукта.
  • Дополнительные критерии — параметры, которые подвержены влиянию внешней среды. Это и отчетность, удобство, это и глубина погружения при навигации в рамках интерфейса системы. Все это влияет на оперативность при обработке событий ИБ и выявлении инцидентов ИБ и позволяет примериться к существующим внутри компании KPI. Дорожные карты развития, наличие озвученных планов по разработке коннекторов-парсеров, количество внедрений и поддержка со стороны производителя, а также живость community говорит о заинтересованности в продукте как заказчиков, так и разработчиков.
  • Соответствие направлению импортозамещения — позволит оценить ценность решения как компонента системы соответствия.

Помимо выбора критериев для сравнения перед нами стояла вторая нелегкая задача — отбор продуктов для участия в сравнении. Учитывая ограничения формата статьи на сайте и удобство восприятия, решено было отобрать для первой части сравнения не более семи SIEM-систем. При этом при отборе продуктов учитывались три основных фактора: популярность на российском рынке, реализованная функциональность и происхождение вендора. Последнее было важно для приоритета российским продуктам в рамках государственной политики импортозамещения.

Остальные продукты, не попавшие в первую семерку, было решено оставить для второй части сравнения, которую планируется сделать в будущем в случае успеха нашей инициативы.

В итоге мы остановили свой выбор на наиболее популярных на российском рынке отечественных и зарубежных SIEM-системах. В итоге было отобрано семь систем:

Российские продукты:

  1. MaxPatrol SIEM 4.0 («Позитив текнолоджиз»)
  2. RuSIEM + RuSIEM Analytics  5.6.4 («РУСИЕМ»)

Зарубежные продукты:

  1. Micro Focus ArcSight (ArcSight ESM, ArcSight Investigate, ArcSight Event Broker, ArcSight RepSM, ArcSight UBA) 6.11 (бывший HP)
  2. McAfee Enterprise Security Manager (ESM) 10.2
  3. IBM QRadar Security Intelligence Platform 7.3.1
  4. RSA NetWitness Suite 11.0
  5. Splunk Enterprise 7.0.1 + Splunk App for Enterprise Security 5.1.0

Хотелось бы отметить, что представители всех указанных производителей принимали непосредственное участие в финальной стадии, где нужны были некоторые пояснения и проверка  сведений в сравнительной таблице.

Важно отметить, что готовя это сравнение, мы не ставили целью назвать лучших, мы констатировали факты о продуктах в соответствии с критериями сравнения. А соответствующие выводы о выборе решения, наиболее подходящего под потребности и возможности конечного потребителя, может сделать только сам потребитель.

 

Сравнение SIEM-систем

Общая информация

Критерии оценки/Вендор Micro Focus (HP) ArcSight IBM Qradar McAfee ESM RSA NetWitness Splunk RuSIEM MaxPatrol SIEM
Название компании Micro Focus International PLC IBM (International Business Machines) McAfee LLC RSA Security LLC Splunk Inc ООО «РУСИЕМ» АО «Позитив текнолоджиз»
Штаб-квартира Роквилл, Мэриленд, США; Ньюбери, Беркшир, Великобритания Армонк, Нью-Йорк, США Санта Клара, Калифорния, США Бедфорд, Массачусетс, США Сан-Франциско, Калифорния, США Москва, Россия Москва, Россия
Веб-сайт microfocus.com ibm.com mcafee.com rsa.com splunk.com rusiem.com ptsecurity.com
Целевой сегмент Все секторы. Крупный и средний бизнес Банковский, государственный секторы, крупный и средний бизнес Государственный сектор, крупный и средний бизнес Крупный и средний бизнес Все сегменты во всех отраслях, от бесплатных версий до самых крупных инсталляций Государственный сектор, малый, любой размер бизнеса Все секторы, любой размер бизнеса
Количество партнеров в России (с правом перепродажи) 25 Более 80 500 Более 30 25 9 Более 50
Количество партнеров в России (с правом внедрения) 25 Более 80 5 10 25 4 Более 50
Полное название системы Платформа Micro Focus ArcSight (ArcSight ESM, ArcSight Investigate, ArcSight Event Broker, ArcSight RepSM, ArcSight UBA) IBM QRadar Security Intelligence Platform McAfee Enterprise Security Manager RSA NetWitness Suite Splunk Enterprise + Splunk App for Enterprise Security RuSIEM, RuSIEM Analytics и RvSIEM free Maxpatrol SIEM
Сроки внедрения с заданными характеристиками (на одном объекте с подключением более 300 источников и настройкой 15 базовых правил корреляции, корректировка встроенных) От 1 месяца (зависит от ТЗ, команды исполнителя, вовлеченности заказчика) От 1 месяца (зависит от ТЗ, команды исполнителя, вовлеченности заказчика) От 1 месяца От 1 месяца (зависит от ТЗ, команды исполнителя, вовлеченности заказчика) От 2 недель (при своевременной вовлеченности заказчика, зафиксированных рамках проекта) До 2-3 недель. Зависит от гетерогенности и специфичных источников От 1 месяца
Сравниваемые версии 6.11 7.3.1 10.2 11.0 Splunk Enterprise 7.0.1 + Splunk App for Enterprise Security 5.1.0 5.6.4 4.0

Соответствие направлению импортозамещения

Критерии оценки/Вендор Micro Focus (HP) ArcSight IBM Qradar McAfee ESM RSA NetWitness Splunk RuSIEM MaxPatrol SIEM
Крупнейшее из известных внедрений в России (со ссылкой на пресс-релиз либо конкурс) ПАО "Ростелеком" ПАО "Сбербанк" Нет данных ПАО "РусГидро" Яндекс ГБУ СО "Сахалинский областной центр информатизации" ГК Росатом
Языки интерфейса Русский, английский Русский, английский Английский Английский Русский, английский Русский, английский Русский
Сертификаты ФСТЭК России №3605 от 12.08.2016 (НДВ4, ТУ) Нет Нет Нет Нет Нет, в процессе сертификации №3734 от 12.04.2017 (НДВ4, ТУ)
Наличие в реестре отечественного ПО Нет Нет Нет Нет Нет Регистрационный номер в реестре 3808 Регистрационный номер в реестре 1143
Секторы экономики, в которых выполнены внедрения Финансы, государственный сектор, промышленность, связь, торговля, нефтегазовый, ТЭК, металлургия, транспорт Финансы, промышленность, энергетика, управление, связь, транспорт Финансы, промышленность, энергетика, услуги, транспорт Финансы, промышленность, энергетика, управление, связь, транспорт Финансы, государственный сектор, промышленность, связь, торговля, металлургия Госсектор, промышленность, коммерческий сектор, процессинг, банки, интернет-коммерция, реклама Финансы, госсектор, энергетика, промышленность, связь, торговля
Страны в которых выполнены внедрения Северная и Южная Америка, Европа, Азия, Австралия, Африка, Россия и СНГ Россия, СНГ, Европа, Америка, Азия, Африка, Австралия Россия, СНГ, Европа, Америка Россия, СНГ, Европа, Америка, Азия, Африка, Австралия Россия, СНГ, Европа, Азия, Америка Коммерческая версия: Россия, Канада, СНГ. Свободно распространяемая: более 7000 по всему миру Россия, СНГ, Азия, Ближний Восток (по информации от вендора)

Управление инцидентами, уязвимостями, активами

>
Критерии оценки/Вендор Micro Focus (HP) ArcSight IBM Qradar McAfee ESM RSA NetWitness Splunk RuSIEM MaxPatrol SIEM
Карточка инцидента 55 настраиваемых полей 25 полей 8 полей 9 полей 0-236 штатных полей 372 поля, настраиваемые пользователем 19 полей
Пути эскалации инцидента Выстраивание уровней и путей эскалации инцидента Эскалация вручную Эскалация вручную или при формировании автоматического оповещения Эскалация вручную или при формировании оповещения Автоматическая настраиваемая эскалация на SOAR и иные средства реагирования через механизм модульных оповещений Alerts. Ручная эскалация через Workflow Actions в карточке инцидента Эскалация вручную с возможностью изменения критичности, темы и описания Автоматическая маршрутизация инцидента при наличии условий (сработавшего правила, критичности инцидента, критичности активов, свойств активов)
Оповещение об инциденте (почта, мессенджеры, SMS, интеграции) SMTP, SMS, API SMTP, скрипты SMTP, SMS SMTP, скрипты Почта, мессенджеры, скрипты, интеграция со сторонними сервисами SMTP SMTP, скрипты
Принятие решений в рамках процесса обработки инцидентов  Ручное и автоматическое Ручное и автоматическое Ручное и автоматическое Ручное и автоматическое Ручное Ручное Ручное
Интеграция с системами Service Desk  Да (API, email) Да (API, email, SNMP) Да (API, email) Да (Syslog) Да (API, email, SNMP) Да (API, email, syslog) Да (API, email)
Авторегистрация уязвимостей (интеграция со сканерами) Интеграция со всеми популярными сканерами крупных вендоров, возможности по интеграции через API и отчеты различных форматов Интеграция с более 20 сканерами, поддержка формата AXIS Интеграция по API c несколькими сканерами, с Qualis путем выгрузки и импорта XML, по syslog — со всеми Нет Интеграция со сканерами по открытым протоколам. Для популярных сканеров есть модули разбора событий (Qualys, Netxpose Rapid7 и др.)  Интеграция с некоторыми сканерами через API, файловые логи и syslog Отдельный собственный модуль, получение списков от сторонних сканеров уязвимостей, имеющих возможность выгрузки
Настройка собственной модели определения критичности уязвимости Да Нет Можно влиять на параметры критичности, используя метки Assets. Влияние на параметр риска возможно с риск-кореляцией на базе правил Нет Да Да CVSS уязвимости плюс критичность актива в формате CVSS 2.0 
Сортировка уязвимостей по различным критериям — в т. ч. критичности Да Да Да Нет Да Да Нет
Возможность выделения ложных срабатываний В ручном режиме В ручном режиме В ручном режиме В ручном режиме Категоризация в ручном режиме или их снижение с донастройкой корреляционных правил  В ручном режиме В ручном режиме
Риск-корреляция, учет риск-корреляции в правилах Риск-корреляция на уровне корреляционной логики и активов. Доп. встроена в UBA Риск-корреляция с учетом составляющих показателя Magnitude (Relevance, Credibility и Severity) Риск-корреляция на уровне корреляционной логики и параметров критичности  активов Нет Скоринговая модель, учитывающая данные об активах и учетных записях пользователей Через симптомы, определяющие вес события. Через правила корреляции. Через AI с уточнением в правилах Риск-корреляция на уровне корреляционной логики, параметров критичности активов, конфигурационных свойств самого актива, а также его положения в инфраструктуре
Произвольные формулы расчета рисков При самостоятельной реализации риск-корреляции на уровне корреляционной логики Нет При реализации риск-корреляции возможно составить модель корректировки значения критичности Нет Встроено в язык SPL, на который опираются правила корреляции, а также в Risk Analysis Framework Формул нет, но есть возможность. Определяется суммой из одного или нескольких симптомов с весами и правилами корреляции Реализация риск-корреляции на уровне корреляционной логики 
Наличие возможности задания или импорта информации об  активах (assets) ArcSight Asset Import Connector (возможность автоматичесого создания активов), корреляционными правилами, вручную. Возможна интеграция с любыми системами класса CMDB, отвечающими за учет активов От сканеров безопасности, CSV-файлов, API Из Active Directory, при интеграции по API со сканерами, по результатам обнаружения информации об активах в событиях ИБ (ограниченно), с использованием Data Enrichment из CSV или другого формата выгрузки для обогащения данных об активах Нет Штатно описана интеграция с 13 типами и вендорами (AD, CMDB, SCOM, Cisco ISE, Symatec Endpoint Protection и др.)  Импорт в режиме реального времени по событиям и поступающей информации из источников. Правка на уровне удаления элемента актива и шаблона актива Собственные сканеры, проводящие инвентаризацию. Автоматическое создание на основе поступающих событий от собственного сетевого сенсора (анализирует копию трафика). Интеграция с внешними системами через открытый API. Импорт через csv
Определение критичности актива На уровне категории актива На уровне сетевого объекта (группировка в модели системы), критичность источника (выставляется при заве), учет в правилах корреляции Вручную при группировке на основе предзаданных критериев Нет Система встроеных справочников (порты, процессы, виды трафика и др.) с возможностью проставления степени критичности Нет CVSS, с учетом интеграции со сканерами

Предустановленная функциональность

Критерии оценки/Вендор Micro Focus (HP) ArcSight IBM Qradar McAfee ESM RSA NetWitness Splunk RuSIEM MaxPatrol SIEM
Наличие предустановленных правил корреляции Около 350 корреляционных сценариев в 20 категориях на 3 уровнях контента доступны в ArcSight Content Brain Более 140, а также Content Extention Pack из IBM X-Force App Exchange Более 180 Более 130 181 в Splunk ES штатно. 
+343 в бесплатном приложении  Splunk Security Essentials 
Более 270 Более 150
Наличие предустановленных графических панелей (Dashboards) 28 7. Дополнительно из AppExchange может быть установлено приложение визуализации IBM QRadar Pulse  Более 100 (совмещено с отчетами) 11 57 10 32
Наличие предустановленных отчетов Более 80 Более 110, а также Content Extention Pack из IBM X-Force App Exchange Более 100 Более 80 462 Более 50 Более 40
Преднастроенные панели визуализации и отчеты по соответствию стандартам (Compliance) PCI DSS, HIPAA, SOX, NERC, FISMA, IT GOV COBIT, FISMA, GLBA, GSX-Memo22, HIPAA, NERC, PCI DSS, SOX BASEL II, EU 8th Directive, FISMA, GIODO, GLBA, GPG-13, HIPAA, NERC, PCI, SOX FISMA, ISO27002, FERPA, GLBA, FFIEC, NERC-CIP, BILL 198, BASEL II, GPG-13, HIPAA, NISPOM, PCI DSS, SOX, SSAE 16 GDPR, HIPAA, FISMA, PCI DSS (платные и бесплатные дополнения к платформе SPLUNK ENTERPRISE и SPLUNK ES) PCI DSS Нет
Наличие готовых пакетов панелей визуализации, доступных для скачивания Пакеты панелей визуализации  доступны в ArcSight Content Brain В составе Content Extention Pack из IBM X-Force App Exchange, а также отдельные приложения Pulse и Incident Overview В составе Content Packs, подгружается по запросу из консоли управления. В Community есть примеры самодельных панелей, периодически такие панели служат причиной корректировки паков Сервис RSA Live Сервис Splunkbase Ресурс для авторизованных клиентов Нет

Визуализация и аналитика

Критерии оценки/Вендор Micro Focus (HP) ArcSight IBM Qradar McAfee ESM RSA NetWitness Splunk RuSIEM MaxPatrol SIEM
Работа с фильтрами (принцип — запросы, поле) Фильтры по полям, полнотекстовый поиск Фильтры по полям, regex, язык AQL Фильтры по полям, regex Фильтры по полям, regex Фильтры по полям, язык SPL Язык запроса, полнотекст, фильтры по полям, regexp, с исключением, составные запросы, распределенные запросы, по симптоматике (понятным терминам, например, "неудачные входы в Windows)" Язык запросов, фильтры по полям, regex
Полнотекстовый поиск по «сырым» событиям Да Да Да Да Да Да Нет
Построение графов сетевого взаимодействия Взаимосвязь между 3 хостами. Возможна интеграция с продуктом сетевого мониторинга Micro Focus Network Node Manager (NNM) Есть близкий аналог классического графа, а также отдельный модуль QRM Да, но ограниченный — отрисовывает линии между хостами в 2 направлениях. Более визуально-адаптивная версия лицензируется отдельно в рамках продукта McAfee Investigator Есть близкий аналог классического графа Есть большое количество графических представлений, реализованных в приложениях Взаимосвязь между двумя хостами с условиями Строится топология сети, расчет достижимости, отображаются на топологии активы со связанными событиями и инцидентами
Создание/изменение кастомизируемых панелей Да Да (есть возможность визуализации с использованием приложений) Да Да Да Да Да
Интерактивная работа с панелями (drill-down) Да Да Да Да Да Да Да
Возможность формирования отчетов в виде документов, форматы экспорта отчетов в виде документов PDF, XLS, RTF, CSV, HTML PDF, HTML, RTF, XML, XLS PDF, HTML, CSV PDF, CSV Raw, PDF, CSV, XML, JSON PDF, XLS, CSV PDF, XLSX, MHT, DOCX, CSV
Формирование и рассылка отчетов по расписанию/по критерию Формирование отчета по расписанию либо вручную. Также есть возможность выбрать дату начала формирования отчета и дату окончания Формирование отчета по расписанию либо вручную. Модуль формирования отчетности доступен снаружи через API, по запросу   Да, задаются любые временные промежутки для отсылки, можно выстроить цепочку действий с формированием отчета, если в течение определенного времени нет автиности по кейсу с событиями, назначенному на человека Формирование отчета по расписанию либо вручную (now или later) Формирование отчетов по правилам с неограниченной сложностью. Отправка отчетов с заданием необходимого расписания. Выбор периода выборки в отчете. Выбор множества каналов доставки отчета Формирование отчетов по активам, событиям, инцидентам, по расписанию  Формирование отчетов по активам, событиям, инцидентам, по расписанию 

Системная архитектура

Критерии оценки/Вендор Micro Focus (HP) ArcSight IBM Qradar McAfee ESM RSA NetWitness Splunk RuSIEM MaxPatrol SIEM
Операционная система в основе решения Red Hat Enterprise Linux\CentOS\SuSE Enterprise Linux Red Hat Enterprise Linux Customized Mcafee linux CentOS 7 Linux с ядром 2.6+, Windows Server 2008 R2 и выше Ubuntu x64 Windows, Debian
СУБД CORR-Engine PostgreSQL, Ariel DB SQLite Своя NoSQL Своя система хранения данных (плоские файлы) Elasticsearch, RuSIEM DB, postgresql, ClickHouse, neo4j Elasticsearch
Наличие сформированных образов для платформ виртуализации  VmWare VMware, AWS VMware, KVM, AWS VMware, AWS, AZURE VMWare, AZURE, AWS, Docker Hub VMWare, Hyper-V, KVM, QEMU VMWare
Распределенное развертывание компонентов Да, для подсистемы сбора, ядро в роадмапе (ESM v.7) Да Да Да Да Да Да
Возможность хранения данных на внешних носителях (NAS/SAN) Да Да Да Да Да Да Да
Ограничение потребления канала при передаче событий от сборщиков до центра системы (для распределенных систем) Гибкая настройка частоты опроса, количества событий, утилизации полосы и времени передачи данных Гибкая настройка частоты опроса, количества событий, утилизации полосы и времени передачи данных Регулирование нагрузки на прием встроенными средствами компонентов Встроенное (от источника событий до компонента SIEM-системы, от компонента SIEM-системы «сборщик» до компонента SIEM-системы «обработчика»), настраиваются временные интервалы для передачи данных Есть возможность централизованного снятия/подъема лимитов. Имеется функция сжатия трафика (SSL compression и non-SSL)  От агента до сервера — шейпинг по времени и дням недели с установкой полосы. Между нодами — QoS Любой агент можно установить в версии Advanced Agent, в таком случае он будет осуществлять сбор, фильтрацию, нормализацию, агрегацию
Средняя степень сжатия при передаче сырых событий До 10x Зависит от типа данных, до 10x Нет Да, от источника событий до SIEM-компонента «сборщик» упаковка в ZIP-архив, степень сжатия не настраивается Да, зависит от конкретных данных, в среднем коэффициент сжатия 0.3-0.5 Нет До 7x
Средняя степень сжатия при хранении нормализованных событий 7х-10х 5x-10x 20x 5х (не рекомендуется использовать, только для хранения архивных событий, степень сжатия сильно зависит от содержимого событий) Зависит от конкретных данных, в среднем коэффициент сжатия 2х До 0.7х оптимально без существенной потери производительности средствами Elastic Search x5
Ограничения по количеству обрабатываемых событий в секунду ArcSight Connector — 2-4к EPS, Event Broker — более 500к EPS, ArcSight ESM — 50к EPS Зависит от лицензии EPS Ограничивается разными типами лицензий / аппратных бандлов. Лицензии на ПО без привязки к аппаратной составляющей могут расширяться аддонами Только аппаратные ограничения (веделенные аппаратные мощности, пропускная способность сетевого интерфейса) Лимитированы только аппаратными ограничениями До 90к EPS событиями 300B на одну ноду, без лимита в распределенной инсталляции 15kEPS
30kEPS
Возможность увеличения мощности компонентов системы Расширением доступных аппаратных ресурсов
Расширением доступных аппаратных ресурсов, в соответствии с рекомендациями
производителя
Лицензии на ПО без привязки к аппаратной составляющей могут расширяться аддонами. Аппартные решения не расширяются Горизонтальное и вертикальное масштабирование Расширение стека лицензий. Аппаратное увеличение памяти и кол-ва ядер CPU увеличивает кол-во одновременно выполняемых запросов Расширение лицензии, установка дополнительных серверов. Поддерживается расширение за счет RvSIEM free Расширение лицензии или улучшение аппаратной платформы
Возможность развития системы за счет добавления дополнительных компонентов (параллельное масштабирование) Да Да Да Да Да Да Да
Минимальное количество серверов для разворачивания системы 1 1 1 3 1 1 1
Тип консоли администратора Веб-консоль (ArcSight Command Center) и толстый клиент (ArcSight Console) Веб-консоль Веб-консоль Веб-консоль Веб-консоль, CLI Веб-консоль Веб-консоль

Отказоустойчивость и резервирование

Критерии оценки/Вендор Micro Focus (HP) ArcSight IBM Qradar McAfee ESM RSA NetWitness Splunk RuSIEM MaxPatrol SIEM
Возможности по резервированию ядра системы HA (Active-Passive) и Dual Feed (Active-Active) Схема disaster recovery (только собираемые данные) или HA (Active-Passive)  HA, Redundant ESM Для виртуальной инсталляции средствами гипервизора (vSphere HA — активный-активный. Снапшот — активный-пассивный). Для ПАК активный-пассивный HA/DR. Active/Active. Кол-во сайтов/реплик не ограничено Пассивный, disaster recovery Активный-пассивный
Возможности по резервированию компонентов сбора событий Load-Balancer Connector Все компоненты Логическо-архитектурное резервирование, активный-активный Активный-активный Определяется логически и архитектурно Пассивный, disaster recovery Активный-активный
Возможность сохранения событий локально на сборщике, если отсутствует связь с ядром Да, хранение событий осуществляется на ArcSight Connector или ArcSight Event Broker Да ESM collector Да Да, размер кэша настраивается Да, с ротацией более старых в зависимости от свободного места на диске. MQ Да
Резервирование конфигурации системы, возможность автоматического восстановления Резервное копирование конфигурации Да (в случае физического выхода из строя — восстановление в ручном режиме) Резервное копирование конфигурации, Redundant ESM Резерврирование конфигурации, данных. Восстановление вручную Автоматическое восстановление при сбоях, возможно сохранение конфигурации на внешние носители  Автоматическое архивирование конфигурации, восстановление оператором на указанное время Нет
Возможность восстановления базы данных после сбоев Да (DR сценарии или решения по отказоустойчивости) Автоматическое резервирование. Возможность восстановления (выбор вариантов) в ручном режиме Автоматическое восстановление в режиме Redundant ESM Да (вручную путем копирования в соотвествующие директории) Резервное копирование и восстановление данных по методике вендора в открытой документации Автоматическое. Команда оператора. Средствами кластера Да.  Готовые утилиты по воостановлению работоспособности БД

Защищенность системы

Критерии оценки/Вендор Micro Focus (HP) ArcSight IBM Qradar McAfee ESM RSA NetWitness Splunk RuSIEM MaxPatrol SIEM
Ролевая модель RBAC RBAC RBAC RBAC RBAC Настраиваемая RBAC
Аутентификация (интеграция с LDAP, Radius) Локальная, Radius, LDAP, Active Directory Локальная, Radius, Tacacs, Active Directory, LDAP Локальная, RADIUS, CAC, Active Directory, LDAP Active Directory Active Directory, LDAP, SAML, RADIUS Локально, LDAP, гибридная (локально и LDAP) LDAP
Журналирование изменений объектов — инициированных пользователями Да Да Да Да Да Да Да
Журналирование изменений объектов — инициированных системными компонентами Да Да Да Да Да Да Да
Безопасные протоколы передачи данных между компонентами системы Передача событий от ArcSight connector до ArcSight ESM шифруется, можно использовать стандарт FIPS при передаче событий TLS SSL TLS TLS/SSL TLS/SSL TLS

Объекты системы — методы кастомизации и разработки

Критерии оценки/Вендор Micro Focus (HP) ArcSight IBM Qradar McAfee ESM RSA NetWitness Splunk RuSIEM MaxPatrol SIEM
Возможности управления ИТ-активами Автоматическое и ручное создание. Возможность редактирования (в т. ч. на уровне правил корреляции) Возможность создания и редактирования после заведения вручную Есть группировка, назначение критичности, определение категорий нормализации. Автоматическое и ручное создание Нет Автоматическое и ручное создание, редактирование и удаление элементов Только ручное удаление актива и изменение шаблона Возможность автоматического поиска и создания
Изменение панели визуализации  В модулях Logger, ESM и Investigate Встроенный конструктор, фильтрация, drill-down Встроенный конструктор Встроенный конструктор, фильтрация, drill-down Встроенный конструктор, язык для создания поисковых запросов и визуализации, инструменты фильтрации и drill-down Встроенный конструктор, фильтрация, drill-down Встроенный конструктор, фильтрация, drill-down
Встроенный конструктор отчетов (показатели и графики) ArcSight Report Designer, можно создавать любые шаблоны или использовать Javascript при генерации отчетов Встроенный конструктор, фильтрация Встроенный конструктор Встроенный конструктор Встроенный конструктор, язык для создания поисковых запросов и визуализации, набор инструментов статистики и т. д. Встроенный конструктор, фильтрация, сложные отчеты через аналитику, подсчет среднего, суммы, накопленной. Кастомизируется пользователем Встроенного конструктора нет, фильтрация через генерацию отчета
Варианты оповещения Консоль, SMTP, телефонный звонок, через запуск скриптов в ArcSight CounterACT Connector (любые чаты или системы оповещения) Консоль, SMTP, API Консоль, SMTP, SMS, API Консоль, SMTP Консоль, SMTP, SMS, HelpDesk, API Консоль, SMTP, API SMTP или через API
Управление правилами корреляции Объектный конструктор Объектный конструтор, язык AQL Объектный конструктор Объектный конструктор, язык Esper Конструктор, язык поисковых запросов Графический конструктор Язык поисковых запросов
Возможность изменения и добавления категорий нормализации Большое количество встроенных категорий, возможность создания собственных Большое количество встроенных категорий, возможность использования ограниченного числа пользовательских категорий Оперирование встроенными, создание собственных категорий Нет Создание, изменение, удаление с помощью Common Information Models (CIM), основанном на моделях данных (DataModels) Изменение парсеров в конфигурационных файлах Встроенные категории, возможность создания собственных
Возможность использования внешних динамических листов, массивов данных Репутационные листы Встроенная подписка на IBM XForce, также есть приложение для интеграции с внешними источниками (STIX/TAXII и др.) Есть возможность приема данных из внешних ресурсов, базовые репутационные листы, отдельно подписка на сервисы репутации Одноуровневый список, подсистема обогащения данных (например, результат запросов в стороннюю БД), временная таблица в памяти Репутационные базы (41 встроена). Обогащение событий: базы данных, geoip, API, scripts Статические списки, интеграция со СКУД, API и скрипт Динамические таблицы, наполняемые из событий, правил корреляции, API, поддержка импорт/экспорт. Возможность использовать динамические листы при обогащении событий и в правилах корреляции
Возможность добавления временных зон и их использвоание как переменных правил корреляции Да В явном виде нет. Операции со временем доступны в правилах корреляции и AQL Да В явном виде нет. Можно создать кастомное поле с привязкой к коллектору и использовать его в корреляции Да Да, дни недели и часы Да
Парсинг, возможность измения или создания новых коннекторов к разным типов устройств Возможность парсить события, используя локальные переменные (в самой консоли), производить повторный парсинг (например, в одном из полей есть события, которые необходимо разнести по разным столбцам) Встроенная функция создания собственных DSM-модулей (адаптеров) нестандартных источников Встроенный конструктор для парсеров на базе regex, возможность разнесения данных по полям, присвоения категорий нормализации Отдельное приложение-конструктор или XML-файл Язык процессинга машинных данных SPL  Парсеры могут быть изменены или созданы пользователем. В основе логический язык, схожий с logstash. Разработка парсеров также осуществляется в рамках поддержки Все источников заказчика в рамках техподдержки
Статические листы (массивы данных), наполняемые из полей события ИБ в системе вручную или при срабатывании критерия Неограниченное количество столбцов. Active list может заполняться вручную и при срабатывании правил. Можно импортировать события в Active list из CSV-файла (например, импортировать название вендора устройства по MAC-адресу) Reference List, динамически формируемые объекты. Наполняются из API, CSV, правила корреляции Watchlist — 2 столбца Watchlist — 1 столбец. Таблица (Feed) Вручную — пользовательское контекстное правило (Action) в карточке инцидента. Автоматически — пользовательское срабатывание модуля оповещения по результатам отработки правила корреляции или запроса по планировщику. Хранилище итогов — индексы, справочники (CSV, KV-store MongoDB, внешняя СУБД или иная  система с API) Статические списки Табличные списки

Управление событиями и данными

Критерии оценки/Вендор Micro Focus (HP) ArcSight IBM Qradar McAfee ESM RSA NetWitness Splunk RuSIEM MaxPatrol SIEM
Агрегация событий по типу Да (можно выбирать количество событий и временную метку для агрегации, набор полей, которые должны совпадать для агрегации, поле, в которое будет прописываться сумма агрегированных событий, или размер входящих/исходящих пакетов (Bytes IN/Bytes OUT)) Да Да Да при отображении, нет при хранении Да, при отображаении Нет Да
Нормализация событий Да Да Да Да Да при отображении, можно настроить при сборе Да Да
Метод сбора событий с источников Агентский и безагентский Агентский и безагентский Агентский и безагентский Агентский и безагентский Агентский и безагентский Агентский и безагентский Агентский и безагентский
Основные поддерживаемые форматы сбора событий  Все возможные, кроме FTP Syslog, TLS Syslog, Log File Protocol, SNMP, JDBC, WinRPC, OPSEC, HTTP, FTP, scp Syslog, MEF, SCP, HTTP, FTP, SFTP, NFS, CIFS Syslog, Netflow, ODBC, WinRPC, VMware, SDEE, SNMP, Log File Protocol, AWS, AZURE, OPSEC Любые возможные. Часто используются: Syslog, Wineventlog, Perfmon, WMI, OPSEC LEA, file, SNMP, JDBC, SDEE, Netflow, SQL, HTTP Syslog, WMI, FTP, checkpoint lea, cisco sdee, file, ms sql, mysql, oracle, 1c, windows event log, hashlog Syslog, Log File Protocol, SNMP, ODBC, WinRPC, OPSEC, FTP, smb, vSphere API, WMI
Возможность сохранения исходных событий (Log Management) Да (встроенная функциональность) Да (встроенная функциональность) Да (ELM — как отдельно лицензируемый продукт, позволяющий производить полнотекстовый поиск). Функция Data Archival — как бесплатная альтернатива — сохраняет данные, поступающие на reciever в TXT  Да (по умолчанию идет сохранение) Текстовые данные первично попадают в хранилище в том виде, в каком они сформировались на источнике без доп. форматирования. На их основе происходит дальнейшая нормализация в CIM-модель, на основе которой работают правила корреляции Да (встроенная функциональность) Да. Не только на основе того, откуда пришел лог (пример с syslog), но и на основе данных в самих событиях
Возможность автообновления предустановленных парсеров событий Да (при использовании ArcMC) Да Да (ручное, автоматическое) Да Да Да (отключаемый автомат или запуск вручную. Раз-два в неделю) Да (при обновлении PTKB с ручной загрузкой)
Возможность сбора данных о сетевом трафике Netflow/J-flow/IPFIX SPAN, Netflow, sFlow, jFlow и др. Nitro IPS/IDS, NetFlow, sFlow и другие SPAN, Netflow, sFlow, jFlow и др., а также полный захват сетевых пакетов NetFlow, jFlow, sFlow, IPFIX, HTTP, MySQL, IMAP, POP3, XMPP, приложение  Splunk App For Steam SPAN, RuSIAM Network Sensor Отдельный модуль, использующий SPAN или
NetFlow
Корреляция по историческим данным Да Да Да Нет Да Нет Нет

Подключение источников событий

Критерии оценки/Вендор Micro Focus (HP) ArcSight IBM Qradar McAfee ESM RSA NetWitness Splunk RuSIEM MaxPatrol SIEM
Количество поддерживаемых источников событий 300+ 300+ 300+ 290+ 2000+ 63 уникальных модели, 300+ разновидностей и версий 200+ (по уточнению вендора)
Возможность подключения нестандартных источников Пишется ArcSight Flex Connector (возможно написание под следующие источники: log-file, database (с возможностью JOIN для забора событий из разных таблиц), json, scanner, snmp, syslog, xml) Требуется разработка парсера Требуется разработка парсера Требуется разработка парсера Требуется разработка парсера Возможно автопарсерами или написание парсера. Возможна разработка транспорта Можно подлкючить источники за счет вендора (самостоятельно пишет парсеры в рамках ТП)
Автообнаружение источников событий (Автоматическое заведение источников событий при получении логов по syslog) Да Да Да Да Да Да Да

Интеграционные возможности, обогащение данными из других систем

Критерии оценки/Вендор Micro Focus (HP) ArcSight IBM Qradar McAfee ESM RSA NetWitness Splunk RuSIEM MaxPatrol SIEM
Встроенная или подключаемая поведенческая аналитика (UBA&UEBA) ArcSight UBA User Behavior Analytics for QRadar Нет Нет Встроенная на базе Splunk Extreme Search, Splunk UBA Только AI+DL в модуле аналитики Нет
Использование технологий искусственного интеллекта, автоматизации аналитики верхнего уровня В ESM нет, есть выделенное решение для аналитики — Investigate QRadar Advisor With Watson В комплекте нет, на базе отдельно лицензируемого продукта McAfee Investigator Нет Встроенный в Splunk ES 5.0.+ функциональность Workbench Investigator DL, ML на базе RuSIEM Analitics (включение после закупки лицензии на компонент) Нет
Использование алгоритмов машинного обучения ArcSight UBA QRadar Advisor With Watson Да, при интеграции с Investigator Нет Splunk UBA, Splunk ML Toolkit, Splunk Extreme Search PMML, AI, DL Нет
Интеграция со службами каталогов Для выгрузки пользователей и для аутентификации Для аутентификации — да. Для расширения возможности выгрузки из каталога — через приложение Аутентификация пользователей, назначение фильтров по объектам AD, импорт активов Аутентификация  Для выгрузки пользователей и устройств, для прозрачной аутентификации Аутентификация, интеграция со СКУД Аутентификация пользователей, назначение прав
Прием данных с другого решения типа SIEM/LM Да Да Да Да Да Да Да
Интеграция с ITSM/CMDB Да Да (REST API) Да Да (RSA Archer) Да Нет Да (через API)
Подключение репутационных баз по IP ArcSight RepSM Да (свои от IBM X-Force и сторонние) Да (свои и сторонние) Да (свои (RSA Live) и сторонние) Да Да (фиды в модуле аналитики) Да (PT Knowledge Base и сторонние)
Импорт IOC Да Да Да Да Да Нет Да
Другие интеграции и виды коннекторов Возможности интеграции с любыми plain-text источниками данных, ODBC/JDBC БД, работа с API, функции Velocity Templates и Java, любые скрипты на уровне ОС Через магазин приложений (IBM App Exchange) На базе McAfee SIEM Collector — забор данных из файлов, баз данных Через плагины REST API, SDK, SplunkJS, ODBC и др. Через file, syslog, API Через API
Наличие и вид API WebAPI REST API REST API REST API REST API с полным набором возможных в системе операций REST API c аутентификацией и проверкой прав REST API
Импорт/экспорт данных с другой инсталляции системы Да Да Да Да Да Да Да (через скрипты)

Техническая поддержка и обновления

Критерии оценки/Вендор Micro Focus (HP) ArcSight IBM Qradar McAfee ESM RSA NetWitness Splunk RuSIEM MaxPatrol SIEM
Язык поддержки Русский, английский Русский, английский Английский Английский, за отдельную плату русский Английский Русский, английский Русский
Поддержка по email Да Да Да Да Да Да Да
Поддержка по телефону Да Да Да Да Да Да Да
Период обслуживания 24x7 24х7 Зависит от типа SLA: 8х5 или 24х7 24х7 Зависит от типа SLA: 8x5 или 24х7 Зависит от типа SLA: 8х5 или 24х7 Зависит от типа SLA: 8x5 или 24х7
Время реагирования на инцидент Зависит от договора поддержки (SLA) Зависит от договора поддержки (SLA) Зависит от договора поддержки Зависит от SLA Зависит от типа SLA и приоритета Зависит от типа SLA и приоритета От 2 часов при стандартной поддержке 8x5, более быстро — в соответствии с SLA
Время решения инцидента Зависит от сложности инцидента Зависит от сложности и критичности инцидента Зависит от сложности инцидента Зависит от сложности и критичности инцидента Зависит от типа SLA и приоритета Зависит от типа SLA, приоритета и сложности инцидента В зависимости от приоритета и сложности инцидента
Возможность выезда к клиенту для решения инцидента Да Да Да Да Да, в рамках приобретенных часов профессионального сервиса (PS) Да Да
Наличие доступной технической документации на сайте или по запросу Вся документация в свободном доступе на портале сообщества. Присутствует, размещена на сайте Присутствует, размещена на сайте Присутствует, размещена на сайте Полная и актуальная документация на сайте Присутствует, размещена на сайте На портале технической поддержки, поставляется с продуктом
Обновление предустановленных компонентов (дашборды, отчеты, правила корреляции) С различной периодичностью С различной периодичностью Ежедневно или по установленному расписанию  С различной периодичностью С различной периодичностью 1-2 раза в неделю и чаще На партнерском портале  может выдаваться по запросу

Лицензирование

Критерии оценки/Вендор Micro Focus (HP) ArcSight IBM Qradar McAfee ESM RSA NetWitness Splunk RuSIEM MaxPatrol SIEM
Метрики лицензирования — модульность ArcSight Logger — Raw Гб/день; 
ArcSight ESM — EPS (события в секунду); 
ArcSight Investigate — Гб/день;
ArcSight UBA — по пользователям
Кол-во событий — EPS. Кол-во flow — FPM. Модули системы. Лицензии на 1 год и более По EPS
Подписка GTI, по серверам
Объемы хранения логов — Гб/день. Объемы сетевых пакетов — Тб/день. Конечные узлы — кол-во. Лицензии вечные (perpetual) или годовые (subscription) Лицензирование по объему собираемых данных в день: ГБ/день. Лицензии годовые и бессрочные. Сервера/ресурсы/инсталляции не лицензируются По модулям, количеству серверов, по EPS По количеству уникальных активов, по модулям
Метрики лицензирования — минимальная поставка ArcSight ESM — 250 EPS + ArcSight Data Platform — 15 Гб/день; ArcSight ESM Express — 250 EPS; Only ArcSight Data Platform — 5 Гб/день Кол-во событий — 100 EPS. Free version: IBM QRadar Community Edition (50 EPS + 5 000 FPM) От 1 сервер от 1000 EPS Логи — 50 Гб/день. Сетевые пакеты — 1 Тб/день Лицензия Splunk Enterprise на 1 Гб/день + лицензия Splunk Enterprise Security на 1 Гб/день 1 сервер All-in-one Иснталляция на одном сервере
Метрики лицензирования — возможности расширения +50 EPS/ + 5 Гб/день Да (горизонтальные и вертикальные) Лицензии на EPS Да (горизонтальные и вертикальные) Расширение лицензий на требуемый объем данных Лицензии на EPS, модули, новые ноды Расширять базовую лицензию на активы, приобрести дополнительные компоненты
Прайс-лист — открытый/закрытый Закрытый Закрытый Закрытый Закрытый Закрытый Закрытый Закрытый
Варианты поставки — on-premise (software, vmappl, appl), SaaS On-premise (software, appliance), cloud (Azure, AWS) Software, hardware appliance, SaaS vmappl, hardware appliance Software, hardware appliance, SaaS Software, SaaS Software, hardware appliance, SaaS. Software, hardware appliance
Отсутствие оплаты поддержки — нет обновлений/нет права использовать решение (при оплате не передаются неисключительные права на ПО) Без вендороской поддержки — нет обновлений/тип лицензии — бессрочный Нет обновлений, нет возможнсоти обращаться в техподдержку Нет возможнсоти обращаться в техподдержку Нет обновлений, нет возможнсоти обращаться в техподдержку, информационное сообщение в интерфейсе Обязательное приобритение поддержки на 1 год, после — нет возможности обращаться в техподдержку без оплаты Отсутствие оплаты для коммерческой версии — нет обновлений Все лицензии срочные
Необходимые лицензии на стороннее ПО Нет Нет Нет Нет Нет Нет Microsoft Windows
Схема продаж (партнерская/прямая/смешанная) Партнерская Партнерская (в исключительных случаях прямая) Партнерская Партнерская (в исключительных случаях прямая) Партнерская Cмешанная Партнерская

Дополнительные параметры (оценочные)

Критерии оценки/Вендор Micro Focus (HP) ArcSight IBM Qradar McAfee ESM RSA NetWitness Splunk RuSIEM MaxPatrol SIEM
Время разработки решения (срок существования) 18 лет 15лет (в основе QRadar от Q1 Labs) 12 лет (NitroSecurity SIEM) 12 лет (в основе enVision от Network Intelligence) 15 лет 4 года 3+ года
Наличие дорожной карты развития продукта Да (конфиденциальные данные) Да (под NDA) Да (под NDA) Да (конфиденциальные данные) Публично — нет. Ключевые годовые проекты объявляются для партнеров и сотрудников Splunk на ежегодном мероприятии Да (под NDA). По мере необходимости и приоритетов заказчиков Да (под NDA)
Количество стратегических партнеров/интегрируемых решений SOC Prime; Elastic, и т.д. 22 в рамках IBM Security Intelligence Alliance, 10+ в рамках IBM Security App Exchange, отдельно Cisco and IBM Security 33 партнера, подробно по ссылке 187 в рамках RSA Ready program 68 в рамках Splunk Technology Partners  14 в России, 8 в мире 29+ партнеров, запланирована инетеграция с 15 в 2018-м году

 

Методика выбора оптимальной SIEM-системы

Важное примечание!

После принятия решения о старте проекта важно понимать, что инвестиции в SIEM — это инвестиции в будущее, а соответственно, не стоит ждать быстрых результатов. До максимальной эффективности решения еще нужно пройти несколько этапов — здесь и само внедрение решения, выработка и выверка отчетных показателей, организация базовых процессов, а также непрерывный процесс совершенствования, как организационный, так и технический.

На что точно стоит обратить внимание: видение рынка производителями SIEM-систем, стратегию в течение 3-5 лет, общее время на рынке, интеграцию с другими решениями. От этого зависит, насколько успешность вашего проекта будет привязана к конкретному производителю, его страновой принадлежности и парадигме развития.

Параметр простоты и удобства использования немаловажен, так как влияет на динамику внедрения изменений, совершенствования и масштабирования создаваемой системы.

Далее мы публикуем краткую инструкцию по проведению индивидуальной экспертной оценки SIEM-систем собственными силами, которая поможет, ориентируясь на данные из таблицы, оценить применимость представленных решений к вашим задачам. Методика основана на известной методике «домик качества»

Для примера ниже приведем краткий вариант, но вполне возможно по указанному методу развернуть все критерии, приведенные в таблице, и оценить соответствие с вашими потребностями.

1-й шаг — определение списка потребностей (ниже приведены для примера), в отсортированном по приоритетности порядке. В соответствии с порядком проставляем индекс значимости (1-9):

  1. Простота установки — 9
  2. Импортозамещение — 7
  3. Простота использования — 5
  4. Оперативность реагирования — 3
  5. Стоимость закупки и эксплуатации — 1

Индекс проставляется в соответствии с вашей экспертной оценкой, при наличии достаточных обосновывающих факторов.

2-й шаг — определение технических характеристик, мы для упрощения возьмем группы критериев, приведенные в нашем сравнении выше. Для подсчета в более достоверном варианте можно начать с критериев и подгрупп, при переходе на уровень выше определяя среднее значение. Предлагается, ориентируясь на информацию в таблице, сравнения заполнить поля весовыми «значениями» от 0 до 9. По итогам выставить среднее значение для каждой группы критериев.

Таблица 1

Критерий \ Решение SIEM №1 SIEM №2 SIEM №3
Архитектура решения 4 3 4
Функциональные особенности 3 4 4
Соответствие направлению импортозамещения  4 4 3
Интеграционные возможности 4 4 4
Дополнительные критерии 4 4 4

Для нас связь критерия и потребности будет основным  показателем:

  1. Сильная связь — умножаем значение критерия на индекс значимости, разделенный на 100.
  2. Средняя связь — умножаем значение критерия на индекс значимости, разделенный на 200.
  3. При отсутствии связи между критерием и потребностью — проставляется 0.

Итак, попробуем применить полученные значения критериев (Таблица 1) относительно наших потребностей, определенных выше:

Таблица 2

Критерий \ потребность Простота установки (0,9) Импортозамещение (0,7) Простота использования (0,5) Оперативность реагирования (0,3) Стоимость закупки и эксплуатации (0,1)
Архитектура решения 3,6 0 2 0 0,4
Функциональные особенности 0 0 1,5 0,9 0,3
Соответствие направлению импортозамещения  0 2,8 0 0 0
Интеграционные возможности 3,6 2,8 2 1,2 0
Дополнительные критерии 3,6 2,8 0 0 0,4
ИТОГО 10,8 8,4 5,5 2,1 1,1

При таком расчете можно определить предпочтительное решение простой подстановкой — значений из таблицы 1 в таблицу 2. При этом если показатели систем различаются незначительно (как в рассматриваемом случае), то итоговое значение будет наглядным. Поэкспериментировав на наших умозрительных данных, получаем таблицу 3.

Таблица 3

SIEM №1 SIEM №2 SIEM №3
27,9 27,3 28,1

Таким образом, учитывая определенные нами цели, стратегию компании и оценку критичности влияющих факторов, можно отдать предпочтение наиболее подходящей нам SIEM-системе.

Выводы

В приведенном сравнении SIEM-систем мы не делали их итогового ранжирования, надеясь, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какой из рассмотренных продуктов наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к функциональным возможностям SIEM-систем, а значит, сможет сделать из сравнения правильный именно для него вывод.

В дальнейшем мы планируем сделать подобное сравнение с участием и других SIEM-систем, не попавших в первую часть сравнения. Кроме этого, планируется опубликовать памятку по импортозамещению, обзоры отдельных продуктов и ряд аналитических статей о практике использования современных SIEM-систем.

Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:

  1. Александр Кузнецов, руководитель направления ИБ, НТЦ «Вулкан»
  2. Виктор Гордеев, начальник отдела систем мониторинга,  «Информзащита»
  3. Глеб Суходольский, эксперт отдела систем мониторинга, «Информзащита»
  4. Юрий Дробышевский, инженер внедрения решений ИБ, компания SVIT IT
  5. Андрей Скрипкин, эксперт по информационной безопасности
  6. Сергей Кохан, ведущий специалист по внедрению систем ИБ, компания SVIT IT
  7. Вячеслав Тупиков, ведущий архитектор решений направления SOC, Micro Focus Security в России
  8. Артем Медведев, руководитель направления, Micro Focus Security в России
  9. Игорь Бажин, коммерческий представитель, Micro Focus Security в России
  10. Роман Андреев, ведущий консультант, Security Intelligence & IRP & Threat, IBM RCIS
  11. Эльман Бейбутов, менеджер по продажам решений безопасности, IBM RCIS
  12. Алексей Матвеев, руководитель группы инженеров, RRC Россия
  13. Тимур Багиров, менеджер по продуктам Splunk, RRC Россия
  14. Сергей Андросов, эксперт по продуктам Splunk, RRC Россия
  15. Иван Силкин, технический специалист, «Волга-Блоб»
  16. Олеся Шелестова, генеральный директор, «РУСИЕМ»
  17. Владимир Бенгин, эксперт, Positive Technologies
  18. Андрей Войтенко, эксперт, Positive Technologies
  19. Дмитрий Новиков, технический директор, компания «Инфозащита»
Полезные ссылки: 

Подпишитесь
в Facebook

Я уже с вами
Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новые статьи на Anti-Malware.ru