Сравнение SIEM-систем. Часть 2

Сравнение SIEM-систем. Часть 2

Вторая часть публичного сравнения популярных российских и зарубежных SIEM-систем по 116 различным критериям, среди которых архитектура, возможности управления инцидентами, подключения источников, анализа данных и визуализации, отказоустойчивости, интеграции и многое другое. В сравнении участвуют FortiSIEM, AlienVault OSSIM, KOMRAD Enterprise SIEM, СёрчИнформ SIEM, NeuroDAT SIEM, Security Capsule и Платформа мониторинга ИБ Visor.

 

 

 

  1. Введение
  2. Методология сравнения SIEM-систем
  3. Сравнение SIEM-систем
    1. 3.1. Общая информация
    2. 3.2. Соответствие направлению импортозамещения
    3. 3.3. Управление инцидентами, уязвимостями, активами
    4. 3.4. Предустановленная функциональность
    5. 3.5. Визуализация и аналитика
    6. 3.6. Системная архитектура
    7. 3.7. Отказоустойчивость и резервирование
    8. 3.8. Защищенность системы
    9. 3.9. Объекты системы — методы кастомизации и разработки
    10. 3.10. Управление событиями и данными
    11. 3.11. Подключение источников событий
    12. 3.12. Интеграционные возможности, обогащение данными из других систем
    13. 3.13. Техническая поддержка и обновления
    14. 3.14. Лицензирование
    15. 3.15. Дополнительные параметры (оценочные)
  4. Выводы

 

Введение

Интерес к системам управления событиями информационной безопасности (системам класса SIEM — Security Information and Event Management) не утихает, а с ростом зрелости процессов компаний становится только глубже и обширней. Последние несколько лет спрос на них в России также активно стимулируется регуляторами.

SIEM-системы позволяют осуществлять мониторинг информационных систем и систем безопасности, анализировать события в них в режиме реального времени, например, происходящие на рабочих станциях, сетевых устройствах, средствах защиты информации и других элементах ИТ-инфраструктуры компании. Собранные и проанализированные ими данные помогают обнаружить инциденты ИБ или аномалии, оставшиеся незаметными для специализированных средств защиты.

Возникновение массового спроса и многочисленные предложения со стороны вендоров порождают у заказчиков проблемы выбора оптимальной SIEM. Для ее решения нужно время и экспертиза. Чтобы упростить задачу выбора, в 2018 году мы провели первое публичное сравнение SIEM-систем, сравнив между собой семь наиболее популярных систем. Результатом этого исследования стала публикация первой части сравнения SIEM-систем.

Оно оказалось настолько популярным, что мы стали получать множество просьб и предложений расширить список сравниваемых систем, поэтому было принято решение о подготовке второй части, куда попали дополнительно еще семь SIEM-систем.

Мы решили не менять критерии сравнения, оставив их такими же, какими они были в первой части сравнения. Таким образом, результаты двух частей сравнения являются взаимодополняемыми и по желанию читателя могут быть полностью или частично объединены между собой.

Перед ознакомлением с результатами нашего сравнения имеет смысл понять, зачем вам нужна SIEM-система, какие задачи, по вашему мнению, такая система позволит решить. Вооружившись ответами на эти вопросы, можно перейти к изучению результатов сравнения. Технически рекомендуется выделить необходимые параметры и проставить для них «весовые значения» по собственному мнению, основываясь на описании значений критериев в таблице. Далее следует просуммировать значения и вывести собственного лидера среди SIEM-систем, отвечающего задачам вашей компании. Подробнее описано в главе «Методика выбора оптимальной SIEM-системы» в первой части сравнения.

 

Методология сравнения SIEM-систем

Методология по сравнению с предыдущей частью не претерпела изменений и основывается на следующих группах критериев:  

  • Архитектура решения — форм-фактор, масштабируемость, методы управления событиями и схема лицензирования.
  • Общая информация — будет полезна при презентации руководству или организации референс-визитов, соответствия основных показателей ИТ- и ИБ-стратегии компании.
  • Функциональные особенности — наличие и составляющие кастомизируемых параметров, гибкость настройки позволяют оценить применимость решения к принятой в компании парадигме развития процессов обеспечения ИБ (аутсорсинг, централизованное, распределенное использование).
  • Интеграционные возможности — наличие развитых встроенных и интегрируемых подсистем управления уязвимостями, инцидентами и активами. Интеграция со сторонними решениями в целях обогащения информации о событиях ИБ.
  • Дополнительные критерии — отчетность, удобство, глубина погружения при навигации в рамках интерфейса системы. Дорожные карты развития, наличие озвученных планов по разработке коннекторов-парсеров, количество внедрений и поддержка со стороны производителя, а также живость community.
  • Соответствие направлению импортозамещения — позволяет оценить, насколько ценно решение с точки зрения соответствия тренду импортозамещения.

После выхода первой части сравнения мы получили от читателей много пожеланий добавить в сравнение и другие известные на рынке SIEM-системы. На основании этой информации мы отобрали для второй части еще семь известных на российском рынке отечественных и зарубежных SIEM-систем:

Российские продукты:

  1. KOMRAD Enterprise SIEM 2.0 (АО «НПО «Эшелон»)
  2. NeuroDAT SIEM 2.0 («Центр безопасности информации»)
  3. СёрчИнформ SIEM 1.23 («СёрчИнформ»)
  4. Security Capsule SIEM 4.1 («Инновационные технологии в бизнесе»)
  5. Платформа мониторинга ИБ Visor («НПП «Гамма»)

Зарубежные продукты:

  1. FortiSIEM 5.2 (Fortinet)
  2. Alienvault OSSIM (Open Source Security Information Management) 5.5

Представители всех указанных производителей принимали непосредственное участие в финальной стадии, где нужны были некоторые пояснения и проверка сведений в сравнительной таблице.

Важно отметить, что, готовя это сравнение, мы не ставили целью назвать лучших, мы констатировали факты о продуктах в соответствии с критериями сравнения. А соответствующие выводы о выборе решения, наиболее подходящего под потребности и возможности конечного потребителя, может сделать только сам потребитель.

 

Сравнение SIEM-систем

Общая информация

Критерии оценки/Вендор FortiSIEM AlienVault OSSIM КОМРАД СёрчИнформ SIEM Security Capsule NeuroDAT SIEM Visor
Название компании Fortinet AlienVault АО «НПО «Эшелон» ООО «СёрчИнформ» ООО «Инновационные технологии в бизнесе» (ООО «ИТБ») «Центр безопасности информации» (ООО «ЦБИ») ФГУП «НПП «Гамма»
Штаб-квартира Саннивейл, Калифорния, США Сан-Матео, Калифорния, США Москва, Россия Москва, Россия Санкт-Петербург, Россия Королев, Россия Москва, Россия
Веб-сайт fortinet.com alienvault.com npo-echelon.ru searchinform.ru itb.spb.ru neurodat.ru nppgamma.ru
Целевой сегмент Малый, крупный и средний бизнес. Государственный сектор Малый и средний бизнес Крупный и средний бизнес. Банковский, государственный секторы Малый, крупный и средний бизнес. Все секторы Крупный, средний бизнес, малый бизнес. Государственный сектор Любой размер бизнеса. Все секторы Малый, крупный и средний бизнес. Государственный сектор
Количество партнеров в России (с правом перепродажи) Более 100 Open source, коммерческую версию Alienvault USM можно купить на maruad.ru Более 100 6 собственных офисов в России, прямые продажи 3 Более 50 AT-Consulting (а также прямые продажи, партнерская сеть активно развивается)
Количество партнеров в России (с правом внедрения) Более 100 Open source, коммерческую версию Alienvault USM можно купить на maruad.ru Более 100 Ориентированы на прямые продажи 2 5 AT-Consulting (а также прямые продажи, партнерская сеть активно развивается)
Полное название системы FortiSIEM Alienvault Open Source Security Information Management Программный комплекс KOMRAD Enterprise SIEM СёрчИнформ SIEM Система мониторинга и корреляции событий информационной безопасности Security Capsule SIEM NeuroDAT SIEM Платформа мониторинга информационной безопасности Visor
Сроки внедрения с заданными характеристиками (на одном объекте с подключением более 300 источников и настройкой 15 базовых правил корреляции, корректировка встроенных) От 1 до 4 месяцев От 1 месяца От 1 месяца От 6 часов до 8 дней От 1 месяца От 1 месяца От 1 месяца
Сравниваемые версии 5.1.2, 5.2.0 (Q1_19) 5.5 2.0 1.23.1.4 4.1 2.0 1.2

 

Соответствие направлению импортозамещения

Критерии оценки/Вендор FortiSIEM AlienVault OSSIM КОМРАД СёрчИнформ SIEM Security Capsule NeuroDAT SIEM Visor
Крупнейшее из известных внедрений в России (со ссылкой на пресс-релиз либо конкурс) Не разглашается Не разглашается Вооруженные силы РФ «НефтеТрансСервис»  Предприятия энергетического комплекса (группы Интер РАО) Не разглашается Не разглашается
Языки интерфейса Английский  Китайский, английский, немецкий, французский, португальский, испанский Русский Русский, английский, польский, украинский Русский Русский Русский
Сертификаты ФСТЭК России Планируется в 2019 году Нет №3498 от 13.01.2016 (НДВ4, ТУ) №3924 № РОСС RU.0001.01БИ00 (НДВ4, ТУ) № 6493 от 9.11.2016 (НДВ4, ТУ) В процессе сертификации В процессе сертификации (НДВ4, ТУ)
Наличие в реестре отечественного ПО Нет Нет Регистрационный номер в реестре: 239 Регистрационный номер в реестре: 4711 Свидетельство № 1139 от 14 июня 2016 года Регистрационный номер в реестре: 4283 Регистрационный номер в реестре: 2016663174
Секторы экономики, в которых выполнены внедрения Телекоммуникации, промышленность, госсектор Финансовый Госсектор, коммерческий сектор, банки, SOC-центры Госсектор и оборона, здравоохранение, IT, ТЭК, пищевая пром-ть, строительство, сельское хозяйство, соц. сфера, торговля, транспорт, услуги, финансовый сектор, ресурсоснабжение ТЭК, госсектор, территориальный фонд ОМС, предприятия госкорпораций Газпом, Роснефть, Росграница Госсектор, транспорт, ТЭК Госсектор
Страны, в которых выполнены внедрения Россия, Европа, Казахстан, Америка Россия Россия, СНГ Россия, Беларусь, Украина Россия Россия Россия

 

Управление инцидентами, уязвимостями, активами

Критерии оценки/Вендор FortiSIEM AlienVault OSSIM КОМРАД СёрчИнформ SIEM Security Capsule NeuroDAT SIEM Visor
Карточка инцидента 29 полей, заполняются в зависимости от типа инцидента 12 полей 12 полей Более 50 полей (в зависимости от типа инцидента) 8 полей 19 основных полей и более 10 дополнительных (в зависимости от типа инцидента) 3 представления: краткое — 14 полей, полное — 20 полей, ГосСОПКА — более 30 (в зависимости от типа инцидента)
Пути эскалации инцидента Автоматическая эскалация при формировании инцидента по времени (просроченные кейсы и по абсолютному значению — дни, часы), дополнительно — отправка оповещений  Нет Эскалация вручную с возможностью изменения критичности, темы и описания Автоматическая эскалация при формировании инцидента в зависимости от заданных критериев Отправка email. Ручная эскалация в карточке инцидента Автоматическая маршрутизация инцидента Инциденты, создаваемые правилами при срабатывании, могут назначаться на рабочие группы пользователей. Дальнейшая эскалация инцидента — вручную пользователями
Оповещение об инциденте (email, мессенджеры, SMS, интеграции) Да, email, консоль, различные критерии и инструменты оповещения по настроенной полтике Email SMTP, скрипты Email SMS, email, syslog SMTP Веб-интерфейс, email
Принятие решений в рамках процесса обработки инцидентов  Автоматически на основе предустановленной (дополняемой) базы скриптов  Нет Ручное Автоматическое Нет Ручное или по заранее заданным критериям Ручное
Интеграция с системами Service Desk  Да, API, предустановлены: ConnectWise, ServiceNow, SalesForce Возможна посредством email Да (API, email, syslog) Нет Нет Да (API, почта, HP SM) Нет
Авторегистрация уязвимостей (интеграция со сканерами) Да, API, интеграция с любыми внешними инструментами при наличии совместимости и возможности собрать информацию  Да. Есть сканер уязвимостей, для обогащения может использоваться только он Нет Нет Да. Обработка информации из файла отчетов сканера (txt, cvs, XML) Да. Собственный модуль Нет
Настройка собственной модели определения критичности уязвимости Да Нет Нет Нет Нет CVSS-уязвимости плюс критичность актива в формате CVSS 2.0 Нет
Сортировка уязвимостей по различным критериям — в т. ч. критичности Да Да Нет Нет Нет Да Нет
Возможность выделения ложных срабатываний Да Нет В ручном режиме Нет Да В ручном режиме В ручном режиме
Риск-корреляция, учет риск-корреляции в правилах Да Да Риск-корреляция на уровне корреляционной логики Нет Нет (в разработке) Нет Нет
Произвольные формулы расчета рисков Частично: по заданной формуле путем манипуляций значениями переменных Нет Риск-корреляция на уровне корреляционной логики  Нет Нет (в разработке) Нет Нет
Возможность задания или импорта информации об активах (assets) Да Да Импорт в режиме реального времени с помощью скриптов. Импорт вручную из csv. Правка на уровне удаления элемента актива и шаблона актива Да. Встроенный сканер активов плюс интеграция с AD Да. AD, сканеры, собственные механизмы Интеграция с Kaspersky Security Center и службой каталогов AD, ручной ввод Через встроенный в агентов сканер сети
Определение критичности актива Да Да Нет Нет Да Нет Нет

 

Предустановленная функциональность

Критерии оценки/Вендор FortiSIEM AlienVault OSSIM КОМРАД СёрчИнформ SIEM Security Capsule NeuroDAT SIEM Visor
Наличие предустановленных правил корреляции Более 650 82 20 Более 250 118. Управление правилами с помощью языка, близкого к языку запросов SQL  Более 200 Более 55
Наличие предустановленных графических панелей (Dashboards) Более 150 5 10 Менее 10 Да Более 80 10
Наличие предустановленных отчетов Более 2800 11 10 Более 250 5 Более 60 10
Преднастроенные панели визуализации и отчеты по соответствию стандартам (Compliance) PCI, COBIT, ITIL, SOX, ISO, ISO27001, HIPAA, GLBA, FISMA, NERC, GPG13, SANS, NIST PCI DSS 2.0, PCI DSS 3.0, ISO 27002, ISO 27001  1 Нет Нет (в разработке) Дополнительные модули по запросу 2 преднастроенных панели визуализации, 7 преднастроенных отчетов
Наличие готовых пакетов панелей визуализации, доступных для скачивания Нет Нет Нет Нет Нет (в разработке) Нет Нет

 

Визуализация и аналитика

Критерии оценки/Вендор FortiSIEM AlienVault OSSIM КОМРАД СёрчИнформ SIEM Security Capsule NeuroDAT SIEM Visor
Работа с фильтрами (принцип — запросы, поле) Фильтрация по полям, regex  Фильтрация по полям Фильтры по полям, regex Гибкая фильтрация, настраиваемая через интерфейс Фильтрация по полям, regex Фильтрация по полям Фильтрация по полям
Полнотекстовый поиск по «сырым» событиям Да Да Да Да Да Да Да
Построение графов сетевого взаимодействия Нет Нет Строится топология сети, есть близкий аналог классического графа Да Нет Нет Построение графа связности узлов после запуска сканеров сети на агентах
Создание/изменение кастомизируемых панелей Да Да Да Нет (в разработке) Да Да Да
Интерактивная работа с панелями (drill-down) Да Да Да Да Да Да Да
Возможность формирования отчетов в виде документов, форматы экспорта отчетов в виде документов PDF, HTML, CSV PDF PDF, CSV PDF, HTML, XML, XLS, XLSX, TXT Да XLSX, CSV, HTML Карточки инцидентов в json-формате ГосСОПКА
Формирование и рассылка отчетов по расписанию/по критерию По расписанию, по правилу, политикой нотификации Нет Формирование отчетов по виджетам, событиям, инцидентам Нет Да Формирование отчетов по активам, событиям, инцидентам Нет

 

Системная архитектура

Критерии оценки/Вендор FortiSIEM AlienVault OSSIM КОМРАД СёрчИнформ SIEM Security Capsule NeuroDAT SIEM Visor
Операционная система в основе решения CentOS Debian Linux Debian Windows Главный модуль, коррелятор, агрегатор, анализатор: Microsoft. Сборщики: Microsoft, FreeBSD Windows, Astra Linux Windows Server
СУБД PostgreSQL RedisDB, MySQL Своя NoSQL (основа — LevelDB)  MongoDB В базовой поставке PostgreSQL. Возможно использование  Microsoft SQL Server 2012, MySQL, Firebird, MongoDB PostgreSQL Microsoft SQL Server
Наличие сформированных образов для платформ виртуализации  VMWare, KVM Нет VMWare, Hyper-V, KVM, QEMU Нет VMWare, VirtualBox,
Microsoft Hyper-V,
VMWare, KVM, Hyper-V VMWare, VirtualBox,
Microsoft Hyper-V
Распределенное развертывание компонентов Да Нет Да Да Да Да Да
Возможность хранения данных на внешних носителях (NAS/SAN) Да Нет Да Да Да Да Да
Ограничение потребления канала при передаче событий от сборщиков до центра системы (для распределенных систем) Без регулировки Нет Регулирование нагрузки на прием встроенными средствами компонентов Без регулировки Да Агент мониторинга осуществляет сбор, фильтрацию, нормализацию, агрегацию Настройка объема (в МБ) отправляемых данных агентом в день серверу
Средняя степень сжатия при передаче сырых событий До х8 Нет Нет Нет Нет (в разработке) Специальный алгоритм сжатия при передаче данных мониторинга от агентов в модуль «Менеджер агентов» При передаче от агента серверу используется gzip
Средняя степень сжатия при хранении нормализованных событий До х8 Официальных данных нет. На практике ~1/5 x2-10 Нет Нет (в разработке) x5 Нет
Ограничения по количеству обрабатываемых событий в секунду Жестких ограничений нет, зависит от состава компонентов решения. Согласно публичному гайду, тестирование проводилось до 30000 EPS Жестких ограничений нет. Рекомендовано не более 1000 Лимитированы только аппаратными ограничениями Не имеет программного ограничения EPS — может быть ограничено аппаратной конфигурацией используемого оборудования 3000 50000 Агентом на узле до 2500, от агентов к серверу до 7500, Syslog-сервер до 25000
Возможность увеличения мощности компонентов системы Да Нет Горизонтальное и вертикальное масштабирование Расширение доступных аппаратных ресурсов, докупка дополнительных лицензий Да Улучшение аппаратной платформы Аппаратно-виртуальное
Возможность развития системы за счет добавления дополнительных компонентов (параллельное масштабирование) Да Нет Да Да Да Да Нет (в разработке)
Минимальное количество серверов для разворачивания системы 3 1 1 1 1 1 1
Тип консоли администратора Веб-консоль, CLI Веб-консоль Веб-консоль, CLI Толстый клиент Толстый клиент Веб-консоль, толстый клиент Веб-консоль

 

Отказоустойчивость и резервирование

Критерии оценки/Вендор FortiSIEM AlienVault OSSIM КОМРАД СёрчИнформ SIEM Security Capsule NeuroDAT SIEM Visor
Возможности по резервированию ядра системы Средствами гипервизора (виртуализации) Нет Пассивный Для виртуальной инсталляции средствами гипервизора (vSphere HA — активный-активный. Снапшот — активный-пассивный) Горячий резерв Активный-пассивный Пассивный (в разработке активный)
Возможности по резервированию компонентов сбора событий Средствами гипервизора (виртуализации) Нет Пассивный Активный-активный Перенаправление (балансировка) Активный-активный Пассивный (в разработке активный)
Возможность сохранения событий локально на сборщике, если отсутствует связь с ядром Да Нет Да Да, размер кэша настраивается Да Да Да
Резервирование конфигурации системы, возможность автоматического восстановления Сохранение — да,
восстановление вручную
Резервирование конфигурации вручную Резервирование конфигурации, данных. Восстановление вручную Резервирование конфигурации, восстановление вручную Локально в системе Да Резервирование конфигурации, восстановление вручную
Возможность восстановления базы данных после сбоев Да В ручном режиме Вручную путем копирования в соответствующие директории Сохранение конфигурации и БД на внешнем/сетевом хранилище, локально в системе Автоматическое восстановление Да Средствами Microsoft SQL

 

Защищенность системы

Критерии оценки/Вендор FortiSIEM AlienVault OSSIM КОМРАД СёрчИнформ SIEM Security Capsule NeuroDAT SIEM Visor
Ролевая модель (RBAC) Да Да Да Да Да Да Да
Аутентификация (интеграция с LDAP, Radius) Да (LDAP, RADIUS) LDAP Нет Локальная, LDAP, AD Да Нет Только внутренняя
Журналирование изменений объектов — инициированных пользователями Да Да Да Да Логирование действий пользователей, логирование функционирования системы Да Да
Журналирование изменений объектов — инициированных системными компонентами Да Нет Да Да Да Да Да
Безопасные протоколы передачи данных между компонентами системы Да Да TLS/SSL Защита канала между сервером и толстыми клиентами Нет, предполагается наличие защиты каналов связи SSL TLS/SSL

 

Объекты системы — методы кастомизации и разработки

Критерии оценки/Вендор FortiSIEM AlienVault OSSIM КОМРАД СёрчИнформ SIEM Security Capsule NeuroDAT SIEM Visor
Возможности управления ИТ-активами Да Да Возможность создания и редактирования после заведения вручную Нет Нет Возможность редактирования после заведения, создание вручную, формирование групп активов Да
Изменение панели визуализации  Да Нет Встроенный конструктор, фильтрация, drill-down Нет Да Нет Да
Встроенный конструктор отчетов (показатели и графики) Да Нет Да Да Да Фильтрация через генерацию отчета Нет, отчеты разрабатываются индивидуально
Варианты оповещения Email, консоль, SNMP, XML  Email, запуск скрипта Консоль, SMTP, API Консоль, SMTP SMS, email, syslog SMTP Веб-интерфейс, email
Управление правилами корреляции Да Объектный конструктор Объектный конструктор Объектный конструктор Да Объектный конструктор SQL-подобный язык движка корреляции NESPER
Возможность изменения и добавления категорий нормализации Да Нет Много встроенных категорий, возможность создания собственных Много встроенных категорий Да Встроенные категории, возможность создания собственных Встроенные категории, возможности изменения нет (в разработке)
Возможность использования внешних динамических листов, массивов данных Да Нет Статические списки, API и скрипт Нет Нет Динамические таблицы, наполняемые из событий, правил корреляции, API, поддержка импорт/экспорт. Возможность использовать динамические листы при обогащении событий и в правилах корреляции Нет
Возможность добавления временных зон и их использование как переменных правил корреляции Да Нет Да Да Есть возможность задания временных параметров в правилах корреляции Да Да
Парсинг, возможность измения или создания новых коннекторов к разным типам устройств Да Да Парсеры могут быть изменены или созданы пользователем. Разработка парсеров в рамках поддержки На основе графического интерфейса, в рамках используемых протоколов Да Все источники по запросу заказчика Парсеры могут быть изменены или созданы пользователем. Разработка парсеров  в рамках поддержки
Статические листы (массивы данных), наполняемые из полей события ИБ в системе вручную или при срабатывании критерия Да Нет Статические списки Статические списки Нет Табличные списки Наполняются вручную

 

Управление событиями и данными

Критерии оценки/Вендор FortiSIEM AlienVault OSSIM КОМРАД СёрчИнформ SIEM Security Capsule NeuroDAT SIEM Visor
Агрегация событий по типу Да Нет Да Да Да Да Да
Нормализация событий Да Да Да, приведение данных о событиях всех источников к единому формату  Да Да Да Да
Метод сбора событий с источников Агентский и безагентский Агентский и безагентский Агентский и безагентский Агентский и безагентский Безагентский. В предыдущей версии: агентский и безагентский Агентский и безагентский Агентский и безагентский
Основные поддерживаемые форматы сбора событий  Syslog, CEF, WMI, SQL Pull, txt и др.  Syslog, WMI, SQL Pull, text Syslog, CEF, WMI, SSH,
FTP, SFTP, SNMP,
ODBC/SQL, SMB, OSSEC-агент, NetFlow
Syslog, TLS Syslog, ODBC, WinRPC, SQL, EVENT LOGGING, ORACLE, 1C Syslog, WMI, ODBC, WinRPC, SQL SNMP, из файла, SMB, GET\POST QUERY, SMTP Syslog, ODBC Syslog, SQL Pull, локальный WMI через установленного агента, удаленный WMI без установки агента
Возможность сохранения исходных событий (Log Management) Да Нет В исходном и нормализованном виде Нет Да Да Только в нормализованном виде
Возможность автообновления предустановленных парсеров событий Да Да Да (ручное) Нет Да Нет Нет
Возможность сбора данных о сетевом трафике NetFlow Да Netflow, sFlow и др. Нет Да, Span\NetFlow Отдельный модуль, использующий Span\NetFlow Нет
Корреляция по историческим данным Нет Нет Нет Да (при установке системы или при обновлении) Да Нет Нет

 

Подключение источников событий

Критерии оценки/Вендор FortiSIEM AlienVault OSSIM КОМРАД СёрчИнформ SIEM Security Capsule NeuroDAT SIEM Visor
Количество поддерживаемых источников событий В рамках лицензии ограничивается только производительностью аппаратной части Без ограничений 70+ 20+ профилей и возможность подключения более 300 источников 6000+. Зависит от архитектуры целевой системы и требований заказчика 100+ 10+
Возможность подключения нестандартных источников Да, разработка парсера Да Требуется разработка парсера Да, если источник работает с Syslog Да Требуется разработка парсера Требуется разработка парсера
Автообнаружение источников событий (автоматическое заведение источников событий при получении логов по syslog) Да Нет Да Нет Да Нет Да

 

Интеграционные возможности, обогащение данными из других систем

Критерии оценки/Вендор FortiSIEM AlienVault OSSIM КОМРАД СёрчИнформ SIEM Security Capsule NeuroDAT SIEM Visor
Встроенная или подключаемая поведенческая аналитика (UBA&UEBA) Да, встроенные механизмы Нет Нет Нет Нет Нет Нет
Использование технологий искусственного интеллекта, автоматизации аналитики верхнего уровня Да Нет Нет Нет Нет (в разработке) Нет Нет
Использование алгоритмов машинного обучения Да Нет Нет Нет Нет (в разработке) Нет Нет
Интеграция со службами каталогов Да Нет Нет Да Да Да. Выгрузка узлов и пользователей Нет
Прием данных с другого решения типа SIEM/LM Да Да Да Да Да Да Да
Интеграция с ITSM/CMDB Да Нет Нет Нет Нет С HPE Service Manager Нет
Подключение репутационных баз по IP Да Да Да Нет Да Нет Нет
Импорт IOC Да Нет Нет Нет Нет Нет Нет
Другие интеграции и виды коннекторов Да Нет Плагины Нет Да Да Интегрирована с СОB «Кречет», управление через API из веб-интерфейса Visor
Наличие и вид API REST API Нет REST API  REST API Нет WebAPI и SQL Нет
Импорт/экспорт данных с другой инсталляции системы Да Нет Да Да Да Да Нет

 

Техническая поддержка и обновления

Критерии оценки/Вендор FortiSIEM AlienVault OSSIM КОМРАД СёрчИнформ SIEM Security Capsule NeuroDAT SIEM Visor
Язык поддержки Английский  Нет Русский Русский, английский Русский Русский Русский
Поддержка по email Да Нет Да Да Да Да Да
Поддержка по телефону Да Нет Да Да Да Да Да
Период обслуживания 24х7 Нет Зависит от типа SLA: 8х5 или 24х7 Согласно условиям договора 24х7 Зависит от типа SLA: 8x5 или 24х7 Зависит от типа техподдержки (стандартая или расширенная)
Время реагирования на инцидент От 4 часов Нет Зависит от договора поддержки Согласно условиям договора От 1 часа От 2 часов при стандартной поддержке 8x5, быстрее — в соответствии с SLA Зависит от типа техподдержки (стандартая или расширенная)
Время решения инцидента Зависит от сложности инцидента Нет Зависит от сложности инцидента Зависит от сложности инцидента и условий договора Зависит от сложности инцидента Зависит от приоритета и сложности инцидента Зависит от типа техподдержки (стандартая или расширенная)
Возможность выезда к клиенту для решения инцидента Индивидуально, по договоренности Нет Да Да Да Да Да
Наличие доступной технической документации на сайте или по запросу Размещена на сайте Размещена на сайте Размещена на сайте Доступна по запросу у менеджера Размещена на сайте Доступна по запросу у менеджера По запросу (в 2019 появится на сайте)
Обновление предустановленных компонентов (дашборды, отчеты, правила корреляции) По мере выхода обновлений ПО, в среднем 1 раз в квартал С разной периодичностью С разной периодичностью 7-12 раз в год 1 раз в месяц 1 раз в месяц Да, по запросу

 

Лицензирование

Критерии оценки/Вендор FortiSIEM AlienVault OSSIM КОМРАД СёрчИнформ SIEM Security Capsule NeuroDAT SIEM Visor
Метрики лицензирования — модульность По кол-ву: EPS на систему, отслеживаемых устройств, отслеживаемых конечных устройств, агентов расширенного мониторинга для серверов, по сервису IOC Open source, GNU Лицензии ПО: Base, All-in-One, Enterprise. Лицензирование по модулям По количеству отслеживаемых пользователей/оборудования/IP Модули системы, ориентировка на кол-во клиентов, а также наименование источника события (ПО, ПАК) По количеству уникальных активов, по модулям По модулям — сервер, агент. Отдельная лицензия на техподдержку
Метрики лицензирования — минимальная поставка Устройство (appl, vappl, SW) все-в-одном с поддержкой не менее 50 устройств и 500 EPS Open source, GNU Лицензия Base на виртуальной машине Инсталляция на одном сервере Сборщик + Агрегатор + Консоль + Клиент Инсталляция на одном сервере Лицензия на сервер
Метрики лицензирования — возможности расширения Расширение кол-ва поддерживаемых устройств, EPS; расширение кол-ва модулей не требует дополнительного лицензирования Open source, возможно приобрести лицензию на AlienVault USM Расширение базовой лицензии, покупка дополнительных компонентов Расширение на требуемое количество пользователей/оборудования/IP Модули системы Расширение базовой лицензии, покупка дополнительных компонентов Покупка дополнительных компонентов
Прайс-лист — открытый/закрытый Закрытый, по запросу Нет данных Открытый Закрытый Закрытый Закрытый Закрытый, по запросу
Варианты поставки — on-premise (software, vmappl, appl), SaaS Software, vmappl, appl, SaaS Software Software, hardware appliance Software Программный, программно-аппаратный Software, hardware appliance Software, hardware appliance
Отсутствие оплаты поддержки — нет обновлений/нет права использовать решение (при оплате не передаются неисключительные права на ПО) Нет обновлений Open Source, GNU Обязательное приобретение поддержки на 1 год, после — нет возможности обращаться в техподдержку без оплаты Лицензия бессрочная. Нет обновлений, нет возможности обращаться в техподдержку Нет обновлений Обязательное приобретение поддержки на 1 год уровня базовый (включена в стоимость), после — нет возможности обращаться в техподдержку без оплаты При покупке в стоимость включена стандартная техподдержка на год. Далее продуктом можно пользоваться, но для техподдержки нужно продлевать лицензию
Необходимые лицензии на стороннее ПО Нет Нет Нет Windows Server, MS SQL Server Нет  Astra Linux,
Microsoft Windows,
Postgres Pro
Windows Server, MS SQL Server
Схема продаж (партнерская/прямая/смешанная) Партнерская Бесплатно, Open source Партнерская (в исключительных случаях прямая) Прямые продажи Смешанная Смешанная Прямая, но со стратегией перехода на партнерскую в 2019 году

 

Дополнительные параметры (оценочные)

Критерии оценки/Вендор FortiSIEM AlienVault OSSIM КОМРАД СёрчИнформ SIEM Security Capsule NeuroDAT SIEM Visor
Время разработки решения (срок существования) 10 лет 10 лет 6 лет 5 лет 12 лет (АРМ АБ, ПАКАБ) 2 года (версия по Astra Linux) 4 года
Наличие дорожной карты развития продукта Да, по запросу Да Да (под NDA) Да, конфиденциальные данные Да Да (под NDA) Да, по запросу
Количество стратегических партнеров/интегрируемых решений Более 70 1 партнер 25+ партнеров в России 15+ партнеров, запланирована интеграция с 9 в 2019 году 15 на 2019 год 10+ партнеров, запланирована инетеграция с 15 в 2019 году Нет 

 

Выводы

Подводя итоги второй части сравнения, отметим несколько особенностей.

Интересным моментом является подход в части совмещения ряда функций. Очевидное влияние тут оказывают регуляторные направления: набор функций, минимально закрываемый несколькими системами из коробки, напоминает копию выкладки из методических указаний ФСБ России по построению корпоративного центра ГосСОПКА и взаимодействию с НКЦКИ. Таким образом, прослеживаются как направление вектора развития, так и сдерживающие факторы (то, что не направлено на прямое соответствие, не будет иметь определяющего веса при развитии продукта).

Можно сформировать образ MVP (Minimal Viable Product) в классе SIEM-систем, ориентированных на построение корпоративных центров ГосСОПКА. Для этого выделим основные особенности по направлениям:

  • Соответствие. Наличие сертификата ФСТЭК России и присутствие в реестре отечественного ПО, но при этом отсутствие готовых отчетов, направленных на соответствие.
  • Функциональность. Парсинг событий и разработка коннекторов по запросу заказчика, но при этом есть полнотекстовый поиск по событиям и хранение таких событий в исходном виде.
  • Удобство использования. Наличие толстых клиентов для управления решением. При этом чаще всего планируется или уже осуществлен переход на веб-консоль. Отчетность и дашборды неизменяемые, обновление установленных компонентов не бесшовное и не автоматическое.
  • Интеграция. В составе нет модных AI и UEBA, но есть интеграции со средствами защиты российского производства, в частности с системами DLP и IPS. В частных случаях есть API, а значит, есть задел для дальнейшей интеграции.
  • Лицензирование по количеству активов, определяемых при сканировании и/или при анализе событий от активов — это в противовес привычному EPS (Events Per Second), используемому почти во всех решениях из первой части сравнения.

Активная интеграция с возможностью управления внешними средствами не является приоритетным направлением — в этой части обзора только два игрока ориентированы на прозрачную интеграцию внутри линейки продуктов одного производителя, остальные решения позиционируются скорее как универсальные.

Основные тренды понятны и обусловлены рациональными причинами — все производители ориентируются на движущие силы своего (или важного для них) рынка и уделяют меньше времени и внимания тем функциям, которые не являются основными для предполагаемой категории заказчиков.

Мы традиционно не делали итогового ранжирования сравниваемых решений: уверены, что, ознакомившись с представленными результатами сравнения SIEM-систем, каждый читатель сможет сделать правильный для себя вывод.

Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:

1. Дмитрий Купецкий, системный инженер, Fortinet

2. Дмитрий Шулинин, руководитель центра управления инцидентами ИБ, Align Technology R'n'D

3. Вадим Пучкин, менеджер по работе с партнерами, НПО «Эшелон»

4. Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»

5. Ирина Байгушева, аналитик отдела разработки, «Инновационные Технологии в Бизнесе»

6. Виталий Тарнавский, эксперт отдела защиты информации, «Инновационные Технологии в Бизнесе»

7. Владислав Мукминов, начальник управления, «Центр безопасности информации»

8. Александр Клопков, менеджер продукта Visor, ФГУП НПП «Гамма»

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru