Comments 17
У вас хорошо получаетяся структурированно и лаконично информацию по вендорам представлять. Подписался на блог, спасибо.
Про Splunk с точки зрения Информационной Безопасности (т.е. SIEM-решений) могу добавить, что он активно пальму первенства у HPE ArcSight забирает, квадрант Gartner SIEM 2016 для наглядности:
Наша компания, в том числе под Splunk, пишет ИБ-юзкейсы Use Case Library. Так что жду продолжения цикла статей, надеюсь, сможем опытом в комментариях поделиться.
Про Splunk с точки зрения Информационной Безопасности (т.е. SIEM-решений) могу добавить, что он активно пальму первенства у HPE ArcSight забирает, квадрант Gartner SIEM 2016 для наглядности:
Скрытый текст
Наша компания, в том числе под Splunk, пишет ИБ-юзкейсы Use Case Library. Так что жду продолжения цикла статей, надеюсь, сможем опытом в комментариях поделиться.
Спасибо за комментарий!
А какие Use Cases наиболее востребованы на рынке, исходя из Вашего опыта?
А какие Use Cases наиболее востребованы на рынке, исходя из Вашего опыта?
Я бы сказал, что они к двум категориям относятся: «помогите запустить SIEM» и «нам срочно нужна защита от новой-популярной-угрозы».
В первой категории находятся: мониторинг неудачных авторизаций (подбор паролей, ошибочный ввод пароля в поле логина и т.д.), консолидация событий антивирусной защиты, мониторинг исходящих соединений (на предмет утечки данных, подключения к ТОР-сети, командным центрам ботоводов и т.д.). Часто задача стоит как «помогите показать руководству положительный эффект от внедрения SIEM».
Ну и, соответственно, когда все СМИ трубят о Mirai-ботнете, Ransomware (криптовымогатели), утечке эксплуатируемых ЦРУ уязвимостях нулевого дня — возникает спрос на оперативную защиту уже сегодня (вместо длительной разработки кейса своими силами).
Комплексная защита, такая как обнаружение Advanced Persisted Threat (APT), также попадает во вторую категорию, т.к. это слабоформализуемая задача и эффективнее ее на аутсорс отдать.
В первой категории находятся: мониторинг неудачных авторизаций (подбор паролей, ошибочный ввод пароля в поле логина и т.д.), консолидация событий антивирусной защиты, мониторинг исходящих соединений (на предмет утечки данных, подключения к ТОР-сети, командным центрам ботоводов и т.д.). Часто задача стоит как «помогите показать руководству положительный эффект от внедрения SIEM».
Ну и, соответственно, когда все СМИ трубят о Mirai-ботнете, Ransomware (криптовымогатели), утечке эксплуатируемых ЦРУ уязвимостях нулевого дня — возникает спрос на оперативную защиту уже сегодня (вместо длительной разработки кейса своими силами).
Комплексная защита, такая как обнаружение Advanced Persisted Threat (APT), также попадает во вторую категорию, т.к. это слабоформализуемая задача и эффективнее ее на аутсорс отдать.
А на чем чаще всего эти use case-ы отрабатываете? Splunk, ArcSight, ELK?
Что вообще думаете о ELK? Применим ли он в обычных среднестатистических компаниях без выделенного штата работников по анализу данных?
Что вообще думаете о ELK? Применим ли он в обычных среднестатистических компаниях без выделенного штата работников по анализу данных?
У нас есть внутренний лабораторный демо-стенд, на нем и обкатываем кейсы. Плюс учитываем замечания от первых клиентов, конечно же. Полный список кейсов в таблице приведен.
Касательно ELK — интересно и перспективно. Под данный SIEM (с точки зрения безопасности я этот продукт именно как SIEM возспринимаю) у нас еще нет юзкейсов. Но уже разработан мониторинг «здоровья» ядра и компонентов. Сложные системы сложно поддерживать, эту задачу мы также решаем (для ArcSight, QRadar, Elastic) = Predictive Maintenance.
Касательно ELK — интересно и перспективно. Под данный SIEM (с точки зрения безопасности я этот продукт именно как SIEM возспринимаю) у нас еще нет юзкейсов. Но уже разработан мониторинг «здоровья» ядра и компонентов. Сложные системы сложно поддерживать, эту задачу мы также решаем (для ArcSight, QRadar, Elastic) = Predictive Maintenance.
А для graylog?
Все спросом рынка определяется. Планов у нас много, но пока на самые популярные системы ориентируемся. GreyLog'а в них нет.
В дополнение к Gartner Magiс Quadrant SIEM 2016 (см.мой первый комментарий), вот сегодня ForesterWave for Security Analytics Platforms 2017 Q1 нашел. PDF по ссылке качается.
В дополнение к Gartner Magiс Quadrant SIEM 2016 (см.мой первый комментарий), вот сегодня ForesterWave for Security Analytics Platforms 2017 Q1 нашел. PDF по ссылке качается.
Спасибо за статью! Планирует ли Спланк поддержку Windows Server 2016?
Работал со Splunk. Система реально очень быстрая и удобная. «коробочный» ELK выдавал 1/10 скорости на том же оборудовании.
Только один минус: стоит как крыло самолета. Может даже дороже
Только один минус: стоит как крыло самолета. Может даже дороже
В чем преимущества и недостатки Splunk по сравнению с ManageEngine Log360
Спасибо за вопрос!
В первую очередь, отличие конечно в функционале, у Splunk он гораздо шире (не говоря уже о скорости работы, гибкости, универсальности и пр.). Это в общем. Также сильные стороны описаны в самой статье.
Вот ссылка на еще одно общее сравнение.
Для подробного сравнения стоит понимать предметную область использования.
В первую очередь, отличие конечно в функционале, у Splunk он гораздо шире (не говоря уже о скорости работы, гибкости, универсальности и пр.). Это в общем. Также сильные стороны описаны в самой статье.
Вот ссылка на еще одно общее сравнение.
Для подробного сравнения стоит понимать предметную область использования.
Удобная система, работает шустро и весьма понятно. Сейчас активно изучаю возможности, что очень радует много всяких дополнительных наворотов. Рекомендую.
Можете расписать кейсы в которых спланк идет быть полезен в организации, в которой вы инфраструктура представляет сам только для внутренних пользователей? Пробовал спланк несколько лет назад — очень круто, но не нашел полезного применения + в прошлом году в нашем банке хотели мониторить бизнес процессы, но банку урезали бюджет.
Sign up to leave a comment.
Splunk — общее описание платформы, базовые особенности установки и архитектуры