Вторая часть публичного сравнения популярных российских и зарубежных SIEM-систем по 116 различным критериям, среди которых архитектура, возможности управления инцидентами, подключения источников, анализа данных и визуализации, отказоустойчивости, интеграции и многое другое. В сравнении участвуют FortiSIEM, AlienVault OSSIM, KOMRAD Enterprise SIEM, СёрчИнформ SIEM, NeuroDAT SIEM, Security Capsule и Платформа мониторинга ИБ Visor.
- Введение
- Сравнение SIEM-систем
- 2.1. Общая информация
- 2.2. Соответствие направлению импортозамещения
- 2.3. Управление инцидентами, уязвимостями, активами
- 2.4. Предустановленная функциональность
- 2.5. Визуализация и аналитика
- 2.6. Системная архитектура
- 2.7. Отказоустойчивость и резервирование
- 2.8. Защищенность системы
- 2.9. Объекты системы — методы кастомизации и разработки
- 2.10. Управление событиями и данными
- 2.11. Подключение источников событий
- 2.12. Интеграционные возможности, обогащение данными из других систем
- 2.13. Техническая поддержка и обновления
- 2.14. Лицензирование
- 2.15. Дополнительные параметры (оценочные)
- Выводы
Введение
Интерес к системам управления событиями информационной безопасности (системам класса SIEM — Security Information and Event Management) не утихает, а с ростом зрелости процессов компаний становится только глубже и обширней. Последние несколько лет спрос на них в России также активно стимулируется регуляторами.
SIEM-системы позволяют осуществлять мониторинг информационных систем и систем безопасности, анализировать события в них в режиме реального времени, например, происходящие на рабочих станциях, сетевых устройствах, средствах защиты информации и других элементах ИТ-инфраструктуры компании. Собранные и проанализированные ими данные помогают обнаружить инциденты ИБ или аномалии, оставшиеся незаметными для специализированных средств защиты.
Возникновение массового спроса и многочисленные предложения со стороны вендоров порождают у заказчиков проблемы выбора оптимальной SIEM. Для ее решения нужно время и экспертиза. Чтобы упростить задачу выбора, в 2018 году мы провели первое публичное сравнение SIEM-систем, сравнив между собой семь наиболее популярных систем. Результатом этого исследования стала публикация первой части сравнения SIEM-систем.
Оно оказалось настолько популярным, что мы стали получать множество просьб и предложений расширить список сравниваемых систем, поэтому было принято решение о подготовке второй части, куда попали дополнительно еще семь SIEM-систем.
Мы решили не менять критерии сравнения, оставив их такими же, какими они были в первой части сравнения. Таким образом, результаты двух частей сравнения являются взаимодополняемыми и по желанию читателя могут быть полностью или частично объединены между собой.
Перед ознакомлением с результатами нашего сравнения имеет смысл понять, зачем вам нужна SIEM-система, какие задачи, по вашему мнению, такая система позволит решить. Вооружившись ответами на эти вопросы, можно перейти к изучению результатов сравнения. Технически рекомендуется выделить необходимые параметры и проставить для них «весовые значения» по собственному мнению, основываясь на описании значений критериев в таблице. Далее следует просуммировать значения и вывести собственного лидера среди SIEM-систем, отвечающего задачам вашей компании. Подробнее описано в статье «Методика выбора оптимального средства защиты информации».
Сравнение SIEM-систем
Критерии оценки/Вендор | FortiSIEM | AlienVault OSSIM | КОМРАД | СёрчИнформ SIEM | Security Capsule | NeuroDAT SIEM | Visor |
Название компании | Fortinet | AlienVault | АО «НПО «Эшелон» | ООО «СёрчИнформ» | ООО «Инновационные технологии в бизнесе» (ООО «ИТБ») | «Центр безопасности информации» (ООО «ЦБИ») | ФГУП «НПП «Гамма» |
Штаб-квартира | Саннивейл, Калифорния, США | Сан-Матео, Калифорния, США | Москва, Россия | Москва, Россия | Санкт-Петербург, Россия | Королев, Россия | Москва, Россия |
Веб-сайт | fortinet.com | alienvault.com | npo-echelon.ru | searchinform.ru | itb.spb.ru | neurodat.ru | nppgamma.ru |
Целевой сегмент | Малый, крупный и средний бизнес. Государственный сектор | Малый и средний бизнес | Крупный и средний бизнес. Банковский, государственный секторы | Малый, крупный и средний бизнес. Все секторы | Крупный, средний бизнес, малый бизнес. Государственный сектор | Любой размер бизнеса. Все секторы | Малый, крупный и средний бизнес. Государственный сектор |
Количество партнеров в России (с правом перепродажи) | Более 100 | Open source, коммерческую версию Alienvault USM можно купить на maruad.ru | Более 100 | 6 собственных офисов в России, прямые продажи | 3 | Более 50 | AT-Consulting (а также прямые продажи, партнерская сеть активно развивается) |
Количество партнеров в России (с правом внедрения) | Более 100 | Open source, коммерческую версию Alienvault USM можно купить на maruad.ru | Более 100 | Ориентированы на прямые продажи | 2 | 5 | AT-Consulting (а также прямые продажи, партнерская сеть активно развивается) |
Полное название системы | FortiSIEM | Alienvault Open Source Security Information Management | Программный комплекс KOMRAD Enterprise SIEM | СёрчИнформ SIEM | Система мониторинга и корреляции событий информационной безопасности Security Capsule SIEM | NeuroDAT SIEM | Платформа мониторинга информационной безопасности Visor |
Сроки внедрения с заданными характеристиками (на одном объекте с подключением более 300 источников и настройкой 15 базовых правил корреляции, корректировка встроенных) | От 1 до 4 месяцев | От 1 месяца | От 1 месяца | От 6 часов до 8 дней | От 1 месяца | От 1 месяца | От 1 месяца |
Сравниваемые версии | 5.1.2, 5.2.0 (Q1_19) | 5.5 | 2.0 | 1.23.1.4 | 4.1 | 2.0 | 1.2 |
Соответствие направлению импортозамещения
Критерии оценки/Вендор | FortiSIEM | AlienVault OSSIM | КОМРАД | СёрчИнформ SIEM | Security Capsule | NeuroDAT SIEM | Visor |
Крупнейшее из известных внедрений в России (со ссылкой на пресс-релиз либо конкурс) | Не разглашается | Не разглашается | Вооруженные силы РФ | «НефтеТрансСервис» | Предприятия энергетического комплекса (группы Интер РАО) | Не разглашается | Не разглашается |
Языки интерфейса | Английский | Китайский, английский, немецкий, французский, португальский, испанский | Русский | Русский, английский, польский, украинский | Русский | Русский | Русский |
Сертификаты ФСТЭК России | Планируется в 2019 году | Нет | №3498 от 13.01.2016 (НДВ4, ТУ) | №3924 № РОСС RU.0001.01БИ00 (НДВ4, ТУ) | № 6493 от 9.11.2016 (НДВ4, ТУ) | В процессе сертификации | В процессе сертификации (НДВ4, ТУ) |
Наличие в реестре отечественного ПО | Нет | Нет | Регистрационный номер в реестре: 239 | Регистрационный номер в реестре: 4711 | Свидетельство № 1139 от 14 июня 2016 года | Регистрационный номер в реестре: 4283 | Регистрационный номер в реестре: 2016663174 |
Секторы экономики, в которых выполнены внедрения | Телекоммуникации, промышленность, госсектор | Финансовый | Госсектор, коммерческий сектор, банки, SOC-центры | Госсектор и оборона, здравоохранение, IT, ТЭК, пищевая пром-ть, строительство, сельское хозяйство, соц. сфера, торговля, транспорт, услуги, финансовый сектор, ресурсоснабжение | ТЭК, госсектор, территориальный фонд ОМС, предприятия госкорпораций Газпом, Роснефть, Росграница | Госсектор, транспорт, ТЭК | Госсектор |
Страны, в которых выполнены внедрения | Россия, Европа, Казахстан, Америка | Россия | Россия, СНГ | Россия, Беларусь, Украина | Россия | Россия | Россия |
Управление инцидентами, уязвимостями, активами
Критерии оценки/Вендор | FortiSIEM | AlienVault OSSIM | КОМРАД | СёрчИнформ SIEM | Security Capsule | NeuroDAT SIEM | Visor |
Карточка инцидента | 29 полей, заполняются в зависимости от типа инцидента | 12 полей | 12 полей | Более 50 полей (в зависимости от типа инцидента) | 8 полей | 19 основных полей и более 10 дополнительных (в зависимости от типа инцидента) | 3 представления: краткое — 14 полей, полное — 20 полей, ГосСОПКА — более 30 (в зависимости от типа инцидента) |
Пути эскалации инцидента | Автоматическая эскалация при формировании инцидента по времени (просроченные кейсы и по абсолютному значению — дни, часы), дополнительно — отправка оповещений | Нет | Эскалация вручную с возможностью изменения критичности, темы и описания | Автоматическая эскалация при формировании инцидента в зависимости от заданных критериев | Отправка email. Ручная эскалация в карточке инцидента | Автоматическая маршрутизация инцидента | Инциденты, создаваемые правилами при срабатывании, могут назначаться на рабочие группы пользователей. Дальнейшая эскалация инцидента — вручную пользователями |
Оповещение об инциденте (email, мессенджеры, SMS, интеграции) | Да, email, консоль, различные критерии и инструменты оповещения по настроенной полтике | SMTP, скрипты | SMS, email, syslog | SMTP | Веб-интерфейс, email | ||
Принятие решений в рамках процесса обработки инцидентов | Автоматически на основе предустановленной (дополняемой) базы скриптов | Нет | Ручное | Автоматическое | Нет | Ручное или по заранее заданным критериям | Ручное |
Интеграция с системами Service Desk | Да, API, предустановлены: ConnectWise, ServiceNow, SalesForce | Возможна посредством email | Да (API, email, syslog) | Нет | Нет | Да (API, почта, HP SM) | Нет |
Авторегистрация уязвимостей (интеграция со сканерами) | Да, API, интеграция с любыми внешними инструментами при наличии совместимости и возможности собрать информацию | Да. Есть сканер уязвимостей, для обогащения может использоваться только он | Нет | Нет | Да. Обработка информации из файла отчетов сканера (txt, cvs, XML) | Да. Собственный модуль | Нет |
Настройка собственной модели определения критичности уязвимости | Да | Нет | Нет | Нет | Нет | CVSS-уязвимости плюс критичность актива в формате CVSS 2.0 | Нет |
Сортировка уязвимостей по различным критериям — в т. ч. критичности | Да | Да | Нет | Нет | Нет | Да | Нет |
Возможность выделения ложных срабатываний | Да | Нет | В ручном режиме | Нет | Да | В ручном режиме | В ручном режиме |
Риск-корреляция, учет риск-корреляции в правилах | Да | Да | Риск-корреляция на уровне корреляционной логики | Нет | Нет (в разработке) | Нет | Нет |
Произвольные формулы расчета рисков | Частично: по заданной формуле путем манипуляций значениями переменных | Нет | Риск-корреляция на уровне корреляционной логики | Нет | Нет (в разработке) | Нет | Нет |
Возможность задания или импорта информации об активах (assets) | Да | Да | Импорт в режиме реального времени с помощью скриптов. Импорт вручную из csv. Правка на уровне удаления элемента актива и шаблона актива | Да. Встроенный сканер активов плюс интеграция с AD | Да. AD, сканеры, собственные механизмы | Интеграция с Kaspersky Security Center и службой каталогов AD, ручной ввод | Через встроенный в агентов сканер сети |
Определение критичности актива | Да | Да | Нет | Нет | Да | Нет | Нет |
Предустановленная функциональность
Критерии оценки/Вендор | FortiSIEM | AlienVault OSSIM | КОМРАД | СёрчИнформ SIEM | Security Capsule | NeuroDAT SIEM | Visor |
Наличие предустановленных правил корреляции | Более 650 | 82 | 20 | Более 250 | 118. Управление правилами с помощью языка, близкого к языку запросов SQL | Более 200 | Более 55 |
Наличие предустановленных графических панелей (Dashboards) | Более 150 | 5 | 10 | Менее 10 | Да | Более 80 | 10 |
Наличие предустановленных отчетов | Более 2800 | 11 | 10 | Более 250 | 5 | Более 60 | 10 |
Преднастроенные панели визуализации и отчеты по соответствию стандартам (Compliance) | PCI, COBIT, ITIL, SOX, ISO, ISO27001, HIPAA, GLBA, FISMA, NERC, GPG13, SANS, NIST | PCI DSS 2.0, PCI DSS 3.0, ISO 27002, ISO 27001 | 1 | Нет | Нет (в разработке) | Дополнительные модули по запросу | 2 преднастроенных панели визуализации, 7 преднастроенных отчетов |
Наличие готовых пакетов панелей визуализации, доступных для скачивания | Нет | Нет | Нет | Нет | Нет (в разработке) | Нет | Нет |
Критерии оценки/Вендор | FortiSIEM | AlienVault OSSIM | КОМРАД | СёрчИнформ SIEM | Security Capsule | NeuroDAT SIEM | Visor |
Работа с фильтрами (принцип — запросы, поле) | Фильтрация по полям, regex | Фильтрация по полям | Фильтры по полям, regex | Гибкая фильтрация, настраиваемая через интерфейс | Фильтрация по полям, regex | Фильтрация по полям | Фильтрация по полям |
Полнотекстовый поиск по «сырым» событиям | Да | Да | Да | Да | Да | Да | Да |
Построение графов сетевого взаимодействия | Нет | Нет | Строится топология сети, есть близкий аналог классического графа | Да | Нет | Нет | Построение графа связности узлов после запуска сканеров сети на агентах |
Создание/изменение кастомизируемых панелей | Да | Да | Да | Нет (в разработке) | Да | Да | Да |
Интерактивная работа с панелями (drill-down) | Да | Да | Да | Да | Да | Да | Да |
Возможность формирования отчетов в виде документов, форматы экспорта отчетов в виде документов | PDF, HTML, CSV | PDF, CSV | PDF, HTML, XML, XLS, XLSX, TXT | Да | XLSX, CSV, HTML | Карточки инцидентов в json-формате ГосСОПКА | |
Формирование и рассылка отчетов по расписанию/по критерию | По расписанию, по правилу, политикой нотификации | Нет | Формирование отчетов по виджетам, событиям, инцидентам | Нет | Да | Формирование отчетов по активам, событиям, инцидентам | Нет |
Критерии оценки/Вендор | FortiSIEM | AlienVault OSSIM | КОМРАД | СёрчИнформ SIEM | Security Capsule | NeuroDAT SIEM | Visor |
Операционная система в основе решения | CentOS | Debian Linux | Debian | Windows | Главный модуль, коррелятор, агрегатор, анализатор: Microsoft. Сборщики: Microsoft, FreeBSD | Windows, Astra Linux | Windows Server |
СУБД | PostgreSQL | RedisDB, MySQL | Своя NoSQL (основа — LevelDB) | MongoDB | В базовой поставке PostgreSQL. Возможно использование Microsoft SQL Server 2012, MySQL, Firebird, MongoDB | PostgreSQL | Microsoft SQL Server |
Наличие сформированных образов для платформ виртуализации | VMWare, KVM | Нет | VMWare, Hyper-V, KVM, QEMU | Нет | VMWare, VirtualBox, Microsoft Hyper-V, |
VMWare, KVM, Hyper-V | VMWare, VirtualBox, Microsoft Hyper-V |
Распределенное развертывание компонентов | Да | Нет | Да | Да | Да | Да | Да |
Возможность хранения данных на внешних носителях (NAS/SAN) | Да | Нет | Да | Да | Да | Да | Да |
Ограничение потребления канала при передаче событий от сборщиков до центра системы (для распределенных систем) | Без регулировки | Нет | Регулирование нагрузки на прием встроенными средствами компонентов | Без регулировки | Да | Агент мониторинга осуществляет сбор, фильтрацию, нормализацию, агрегацию | Настройка объема (в МБ) отправляемых данных агентом в день серверу |
Средняя степень сжатия при передаче сырых событий | До х8 | Нет | Нет | Нет | Нет (в разработке) | Специальный алгоритм сжатия при передаче данных мониторинга от агентов в модуль «Менеджер агентов» | При передаче от агента серверу используется gzip |
Средняя степень сжатия при хранении нормализованных событий | До х8 | Официальных данных нет. На практике ~1/5 | x2-10 | Нет | Нет (в разработке) | x5 | Нет |
Ограничения по количеству обрабатываемых событий в секунду | Жестких ограничений нет, зависит от состава компонентов решения. Согласно публичному гайду, тестирование проводилось до 30000 EPS | Жестких ограничений нет. Рекомендовано не более 1000 | Лимитированы только аппаратными ограничениями | Не имеет программного ограничения EPS — может быть ограничено аппаратной конфигурацией используемого оборудования | 3000 | 50000 | Агентом на узле до 2500, от агентов к серверу до 7500, Syslog-сервер до 25000 |
Возможность увеличения мощности компонентов системы | Да | Нет | Горизонтальное и вертикальное масштабирование | Расширение доступных аппаратных ресурсов, докупка дополнительных лицензий | Да | Улучшение аппаратной платформы | Аппаратно-виртуальное |
Возможность развития системы за счет добавления дополнительных компонентов (параллельное масштабирование) | Да | Нет | Да | Да | Да | Да | Нет (в разработке) |
Минимальное количество серверов для разворачивания системы | 3 | 1 | 1 | 1 | 1 | 1 | 1 |
Тип консоли администратора | Веб-консоль, CLI | Веб-консоль | Веб-консоль, CLI | Толстый клиент | Толстый клиент | Веб-консоль, толстый клиент | Веб-консоль |
Отказоустойчивость и резервирование
Критерии оценки/Вендор | FortiSIEM | AlienVault OSSIM | КОМРАД | СёрчИнформ SIEM | Security Capsule | NeuroDAT SIEM | Visor |
Возможности по резервированию ядра системы | Средствами гипервизора (виртуализации) | Нет | Пассивный | Для виртуальной инсталляции средствами гипервизора (vSphere HA — активный-активный. Снапшот — активный-пассивный) | Горячий резерв | Активный-пассивный | Пассивный (в разработке активный) |
Возможности по резервированию компонентов сбора событий | Средствами гипервизора (виртуализации) | Нет | Пассивный | Активный-активный | Перенаправление (балансировка) | Активный-активный | Пассивный (в разработке активный) |
Возможность сохранения событий локально на сборщике, если отсутствует связь с ядром | Да | Нет | Да | Да, размер кэша настраивается | Да | Да | Да |
Резервирование конфигурации системы, возможность автоматического восстановления | Сохранение — да, восстановление вручную |
Резервирование конфигурации вручную | Резервирование конфигурации, данных. Восстановление вручную | Резервирование конфигурации, восстановление вручную | Локально в системе | Да | Резервирование конфигурации, восстановление вручную |
Возможность восстановления базы данных после сбоев | Да | В ручном режиме | Вручную путем копирования в соответствующие директории | Сохранение конфигурации и БД на внешнем/сетевом хранилище, локально в системе | Автоматическое восстановление | Да | Средствами Microsoft SQL |
Критерии оценки/Вендор | FortiSIEM | AlienVault OSSIM | КОМРАД | СёрчИнформ SIEM | Security Capsule | NeuroDAT SIEM | Visor |
Ролевая модель (RBAC) | Да | Да | Да | Да | Да | Да | Да |
Аутентификация (интеграция с LDAP, Radius) | Да (LDAP, RADIUS) | LDAP | Нет | Локальная, LDAP, AD | Да | Нет | Только внутренняя |
Журналирование изменений объектов — инициированных пользователями | Да | Да | Да | Да | Логирование действий пользователей, логирование функционирования системы | Да | Да |
Журналирование изменений объектов — инициированных системными компонентами | Да | Нет | Да | Да | Да | Да | Да |
Безопасные протоколы передачи данных между компонентами системы | Да | Да | TLS/SSL | Защита канала между сервером и толстыми клиентами | Нет, предполагается наличие защиты каналов связи | SSL | TLS/SSL |
Объекты системы — методы кастомизации и разработки
Критерии оценки/Вендор | FortiSIEM | AlienVault OSSIM | КОМРАД | СёрчИнформ SIEM | Security Capsule | NeuroDAT SIEM | Visor |
Возможности управления ИТ-активами | Да | Да | Возможность создания и редактирования после заведения вручную | Нет | Нет | Возможность редактирования после заведения, создание вручную, формирование групп активов | Да |
Изменение панели визуализации | Да | Нет | Встроенный конструктор, фильтрация, drill-down | Нет | Да | Нет | Да |
Встроенный конструктор отчетов (показатели и графики) | Да | Нет | Да | Да | Да | Фильтрация через генерацию отчета | Нет, отчеты разрабатываются индивидуально |
Варианты оповещения | Email, консоль, SNMP, XML | Email, запуск скрипта | Консоль, SMTP, API | Консоль, SMTP | SMS, email, syslog | SMTP | Веб-интерфейс, email |
Управление правилами корреляции | Да | Объектный конструктор | Объектный конструктор | Объектный конструктор | Да | Объектный конструктор | SQL-подобный язык движка корреляции NESPER |
Возможность изменения и добавления категорий нормализации | Да | Нет | Много встроенных категорий, возможность создания собственных | Много встроенных категорий | Да | Встроенные категории, возможность создания собственных | Встроенные категории, возможности изменения нет (в разработке) |
Возможность использования внешних динамических листов, массивов данных | Да | Нет | Статические списки, API и скрипт | Нет | Нет | Динамические таблицы, наполняемые из событий, правил корреляции, API, поддержка импорт/экспорт. Возможность использовать динамические листы при обогащении событий и в правилах корреляции | Нет |
Возможность добавления временных зон и их использование как переменных правил корреляции | Да | Нет | Да | Да | Есть возможность задания временных параметров в правилах корреляции | Да | Да |
Парсинг, возможность измения или создания новых коннекторов к разным типам устройств | Да | Да | Парсеры могут быть изменены или созданы пользователем. Разработка парсеров в рамках поддержки | На основе графического интерфейса, в рамках используемых протоколов | Да | Все источники по запросу заказчика | Парсеры могут быть изменены или созданы пользователем. Разработка парсеров в рамках поддержки |
Статические листы (массивы данных), наполняемые из полей события ИБ в системе вручную или при срабатывании критерия | Да | Нет | Статические списки | Статические списки | Нет | Табличные списки | Наполняются вручную |
Управление событиями и данными
Критерии оценки/Вендор | FortiSIEM | AlienVault OSSIM | КОМРАД | СёрчИнформ SIEM | Security Capsule | NeuroDAT SIEM | Visor |
Агрегация событий по типу | Да | Нет | Да | Да | Да | Да | Да |
Нормализация событий | Да | Да | Да, приведение данных о событиях всех источников к единому формату | Да | Да | Да | Да |
Метод сбора событий с источников | Агентский и безагентский | Агентский и безагентский | Агентский и безагентский | Агентский и безагентский | Безагентский. В предыдущей версии: агентский и безагентский | Агентский и безагентский | Агентский и безагентский |
Основные поддерживаемые форматы сбора событий | Syslog, CEF, WMI, SQL Pull, txt и др. | Syslog, WMI, SQL Pull, text | Syslog, CEF, WMI, SSH, FTP, SFTP, SNMP, ODBC/SQL, SMB, OSSEC-агент, NetFlow |
Syslog, TLS Syslog, ODBC, WinRPC, SQL, EVENT LOGGING, ORACLE, 1C | Syslog, WMI, ODBC, WinRPC, SQL SNMP, из файла, SMB, GET\POST QUERY, SMTP | Syslog, ODBC | Syslog, SQL Pull, локальный WMI через установленного агента, удаленный WMI без установки агента |
Возможность сохранения исходных событий (Log Management) | Да | Нет | В исходном и нормализованном виде | Нет | Да | Да | Только в нормализованном виде |
Возможность автообновления предустановленных парсеров событий | Да | Да | Да (ручное) | Нет | Да | Нет | Нет |
Возможность сбора данных о сетевом трафике | NetFlow | Да | Netflow, sFlow и др. | Нет | Да, Span\NetFlow | Отдельный модуль, использующий Span\NetFlow | Нет |
Корреляция по историческим данным | Нет | Нет | Нет | Да (при установке системы или при обновлении) | Да | Нет | Нет |
Подключение источников событий
Критерии оценки/Вендор | FortiSIEM | AlienVault OSSIM | КОМРАД | СёрчИнформ SIEM | Security Capsule | NeuroDAT SIEM | Visor |
Количество поддерживаемых источников событий | В рамках лицензии ограничивается только производительностью аппаратной части | Без ограничений | 70+ | 20+ профилей и возможность подключения более 300 источников | 6000+. Зависит от архитектуры целевой системы и требований заказчика | 100+ | 10+ |
Возможность подключения нестандартных источников | Да, разработка парсера | Да | Требуется разработка парсера | Да, если источник работает с Syslog | Да | Требуется разработка парсера | Требуется разработка парсера |
Автообнаружение источников событий (автоматическое заведение источников событий при получении логов по syslog) | Да | Нет | Да | Нет | Да | Нет | Да |
Интеграционные возможности, обогащение данными из других систем
Критерии оценки/Вендор | FortiSIEM | AlienVault OSSIM | КОМРАД | СёрчИнформ SIEM | Security Capsule | NeuroDAT SIEM | Visor |
Встроенная или подключаемая поведенческая аналитика (UBA&UEBA) | Да, встроенные механизмы | Нет | Нет | Нет | Нет | Нет | Нет |
Использование технологий искусственного интеллекта, автоматизации аналитики верхнего уровня | Да | Нет | Нет | Нет | Нет (в разработке) | Нет | Нет |
Использование алгоритмов машинного обучения | Да | Нет | Нет | Нет | Нет (в разработке) | Нет | Нет |
Интеграция со службами каталогов | Да | Нет | Нет | Да | Да | Да. Выгрузка узлов и пользователей | Нет |
Прием данных с другого решения типа SIEM/LM | Да | Да | Да | Да | Да | Да | Да |
Интеграция с ITSM/CMDB | Да | Нет | Нет | Нет | Нет | С HPE Service Manager | Нет |
Подключение репутационных баз по IP | Да | Да | Да | Нет | Да | Нет | Нет |
Импорт IOC | Да | Нет | Нет | Нет | Нет | Нет | Нет |
Другие интеграции и виды коннекторов | Да | Нет | Плагины | Нет | Да | Да | Интегрирована с СОB «Кречет», управление через API из веб-интерфейса Visor |
Наличие и вид API | REST API | Нет | REST API | REST API | Нет | WebAPI и SQL | Нет |
Импорт/экспорт данных с другой инсталляции системы | Да | Нет | Да | Да | Да | Да | Нет |
Техническая поддержка и обновления
Критерии оценки/Вендор | FortiSIEM | AlienVault OSSIM | КОМРАД | СёрчИнформ SIEM | Security Capsule | NeuroDAT SIEM | Visor |
Язык поддержки | Английский | Нет | Русский | Русский, английский | Русский | Русский | Русский |
Поддержка по email | Да | Нет | Да | Да | Да | Да | Да |
Поддержка по телефону | Да | Нет | Да | Да | Да | Да | Да |
Период обслуживания | 24х7 | Нет | Зависит от типа SLA: 8х5 или 24х7 | Согласно условиям договора | 24х7 | Зависит от типа SLA: 8x5 или 24х7 | Зависит от типа техподдержки (стандартая или расширенная) |
Время реагирования на инцидент | От 4 часов | Нет | Зависит от договора поддержки | Согласно условиям договора | От 1 часа | От 2 часов при стандартной поддержке 8x5, быстрее — в соответствии с SLA | Зависит от типа техподдержки (стандартая или расширенная) |
Время решения инцидента | Зависит от сложности инцидента | Нет | Зависит от сложности инцидента | Зависит от сложности инцидента и условий договора | Зависит от сложности инцидента | Зависит от приоритета и сложности инцидента | Зависит от типа техподдержки (стандартая или расширенная) |
Возможность выезда к клиенту для решения инцидента | Индивидуально, по договоренности | Нет | Да | Да | Да | Да | Да |
Наличие доступной технической документации на сайте или по запросу | Размещена на сайте | Размещена на сайте | Размещена на сайте | Доступна по запросу у менеджера | Размещена на сайте | Доступна по запросу у менеджера | По запросу (в 2019 появится на сайте) |
Обновление предустановленных компонентов (дашборды, отчеты, правила корреляции) | По мере выхода обновлений ПО, в среднем 1 раз в квартал | С разной периодичностью | С разной периодичностью | 7-12 раз в год | 1 раз в месяц | 1 раз в месяц | Да, по запросу |
Критерии оценки/Вендор | FortiSIEM | AlienVault OSSIM | КОМРАД | СёрчИнформ SIEM | Security Capsule | NeuroDAT SIEM | Visor |
Метрики лицензирования — модульность | По кол-ву: EPS на систему, отслеживаемых устройств, отслеживаемых конечных устройств, агентов расширенного мониторинга для серверов, по сервису IOC | Open source, GNU | Лицензии ПО: Base, All-in-One, Enterprise. Лицензирование по модулям | По количеству отслеживаемых пользователей/оборудования/IP | Модули системы, ориентировка на кол-во клиентов, а также наименование источника события (ПО, ПАК) | По количеству уникальных активов, по модулям | По модулям — сервер, агент. Отдельная лицензия на техподдержку |
Метрики лицензирования — минимальная поставка | Устройство (appl, vappl, SW) все-в-одном с поддержкой не менее 50 устройств и 500 EPS | Open source, GNU | Лицензия Base на виртуальной машине | Инсталляция на одном сервере | Сборщик + Агрегатор + Консоль + Клиент | Инсталляция на одном сервере | Лицензия на сервер |
Метрики лицензирования — возможности расширения | Расширение кол-ва поддерживаемых устройств, EPS; расширение кол-ва модулей не требует дополнительного лицензирования | Open source, возможно приобрести лицензию на AlienVault USM | Расширение базовой лицензии, покупка дополнительных компонентов | Расширение на требуемое количество пользователей/оборудования/IP | Модули системы | Расширение базовой лицензии, покупка дополнительных компонентов | Покупка дополнительных компонентов |
Прайс-лист — открытый/закрытый | Закрытый, по запросу | Нет данных | Открытый | Закрытый | Закрытый | Закрытый | Закрытый, по запросу |
Варианты поставки — on-premise (software, vmappl, appl), SaaS | Software, vmappl, appl, SaaS | Software | Software, hardware appliance | Software | Программный, программно-аппаратный | Software, hardware appliance | Software, hardware appliance |
Отсутствие оплаты поддержки — нет обновлений/нет права использовать решение (при оплате не передаются неисключительные права на ПО) | Нет обновлений | Open Source, GNU | Обязательное приобретение поддержки на 1 год, после — нет возможности обращаться в техподдержку без оплаты | Лицензия бессрочная. Нет обновлений, нет возможности обращаться в техподдержку | Нет обновлений | Обязательное приобретение поддержки на 1 год уровня базовый (включена в стоимость), после — нет возможности обращаться в техподдержку без оплаты | При покупке в стоимость включена стандартная техподдержка на год. Далее продуктом можно пользоваться, но для техподдержки нужно продлевать лицензию |
Необходимые лицензии на стороннее ПО | Нет | Нет | Нет | Windows Server, MS SQL Server | Нет | Astra Linux, Microsoft Windows, Postgres Pro |
Windows Server, MS SQL Server |
Схема продаж (партнерская/прямая/смешанная) | Партнерская | Бесплатно, Open source | Партнерская (в исключительных случаях прямая) | Прямые продажи | Смешанная | Смешанная | Прямая, но со стратегией перехода на партнерскую в 2019 году |
Дополнительные параметры (оценочные)
Критерии оценки/Вендор | FortiSIEM | AlienVault OSSIM | КОМРАД | СёрчИнформ SIEM | Security Capsule | NeuroDAT SIEM | Visor |
Время разработки решения (срок существования) | 10 лет | 10 лет | 6 лет | 5 лет | 12 лет (АРМ АБ, ПАКАБ) | 2 года (версия по Astra Linux) | 4 года |
Наличие дорожной карты развития продукта | Да, по запросу | Да | Да (под NDA) | Да, конфиденциальные данные | Да | Да (под NDA) | Да, по запросу |
Количество стратегических партнеров/интегрируемых решений | Более 70 | 1 партнер | 25+ партнеров в России | 15+ партнеров, запланирована интеграция с 9 в 2019 году | 15 на 2019 год | 10+ партнеров, запланирована инетеграция с 15 в 2019 году | Нет |
Выводы
Подводя итоги второй части сравнения, отметим несколько особенностей.
Интересным моментом является подход в части совмещения ряда функций. Очевидное влияние тут оказывают регуляторные направления: набор функций, минимально закрываемый несколькими системами из коробки, напоминает копию выкладки из методических указаний ФСБ России по построению корпоративного центра ГосСОПКА и взаимодействию с НКЦКИ. Таким образом, прослеживаются как направление вектора развития, так и сдерживающие факторы (то, что не направлено на прямое соответствие, не будет иметь определяющего веса при развитии продукта).
Можно сформировать образ MVP (Minimal Viable Product) в классе SIEM-систем, ориентированных на построение корпоративных центров ГосСОПКА. Для этого выделим основные особенности по направлениям:
- Соответствие. Наличие сертификата ФСТЭК России и присутствие в реестре отечественного ПО, но при этом отсутствие готовых отчетов, направленных на соответствие.
- Функциональность. Парсинг событий и разработка коннекторов по запросу заказчика, но при этом есть полнотекстовый поиск по событиям и хранение таких событий в исходном виде.
- Удобство использования. Наличие толстых клиентов для управления решением. При этом чаще всего планируется или уже осуществлен переход на веб-консоль. Отчетность и дашборды неизменяемые, обновление установленных компонентов не бесшовное и не автоматическое.
- Интеграция. В составе нет модных AI и UEBA, но есть интеграции со средствами защиты российского производства, в частности с системами DLP и IPS. В частных случаях есть API, а значит, есть задел для дальнейшей интеграции.
- Лицензирование по количеству активов, определяемых при сканировании и/или при анализе событий от активов — это в противовес привычному EPS (Events Per Second), используемому почти во всех решениях из первой части сравнения.
Активная интеграция с возможностью управления внешними средствами не является приоритетным направлением — в этой части обзора только два игрока ориентированы на прозрачную интеграцию внутри линейки продуктов одного производителя, остальные решения позиционируются скорее как универсальные.
Основные тренды понятны и обусловлены рациональными причинами — все производители ориентируются на движущие силы своего (или важного для них) рынка и уделяют меньше времени и внимания тем функциям, которые не являются основными для предполагаемой категории заказчиков.
Мы традиционно не делали итогового ранжирования сравниваемых решений: уверены, что, ознакомившись с представленными результатами сравнения SIEM-систем, каждый читатель сможет сделать правильный для себя вывод.
Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:
1. Дмитрий Купецкий, системный инженер, Fortinet
2. Дмитрий Шулинин, руководитель центра управления инцидентами ИБ, Align Technology R'n'D
3. Вадим Пучкин, менеджер по работе с партнерами, НПО «Эшелон»
4. Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»
5. Ирина Байгушева, аналитик отдела разработки, «Инновационные Технологии в Бизнесе»
6. Виталий Тарнавский, эксперт отдела защиты информации, «Инновационные Технологии в Бизнесе»
7. Владислав Мукминов, начальник управления, «Центр безопасности информации»
8. Александр Клопков, менеджер продукта Visor, ФГУП НПП «Гамма»