Комментарии 2
«ArcSight обладает отвратительной технической поддержкой» — это то, что я слышал от клиентов.
Давайте вспомним основную идею OpenSource: клиенты ничего не покупают, они загружают и используют ПО свободно. Авторы и прочие получают деньги за поддержку и предоставление сервисов на базе этого ОПО.
Собственно, вся фишка SIEM-ов, включая опенсурсные бандлы в том, что за ними нужно постоянно наблюдать. Нет такой реальной сети, которая бы сразу подошла под устанавливаемый SIEM — везде нужно допиливать источники событий, правила реагирования, распределение алертов по сегментам сетей и т.д.
Причина всего: пользователи везде разные, цели разные, даже если взять DLP решения, то их тоже нужно постоянно обучать новыми базами документов, чтобы те накопили достаточно ключевых слов и мощно развили внутренние нейросетки, чтобы можно было отлавливать даже измененные тексты утекаемой информации.
Например, сейчас бравые парни из европейской (Австрийской) компании RadarServices активно шагают по России, предлагая удачный бандл: набор предварительно настроенных опенсурсных SIEM на базе сервера под управлением Linux + собственный сервис по постоянной адаптации этого решения под конкретные сетки заказчика.
Т.е. прошаренные профи, которые съели не одну собаку на проведении аудитов по инфобезу, реально каждый день/неделю/месяц подключаются к установленному софту и корректируют правила, его работу, уточняют источники данных и проч, причем по просматриваемым со стороны заказчика каналам, чтобы никакие данные не покидали сеть заказчика (не используется никаких внешних серверов обработки). Слышал, что они даже жесткие диски оставляют у клиентов (даже если это был всего-лишь тестовый сервер), в случае если клиент отказывается продолжать использовать продукт, чтобы ну уж совсем гарантировать, что данные никуда не уйдут. В таком виде перспективы у открытых SIEM определенно есть!
Ну а так как ПО используется не проприетарное, то имеем два огромных плюса:
1. перцы могут допилить любую часть софта под каждого заказчика
2. сервис оказывается в разы дешевле, чем тот же ArcSight
Давайте вспомним основную идею OpenSource: клиенты ничего не покупают, они загружают и используют ПО свободно. Авторы и прочие получают деньги за поддержку и предоставление сервисов на базе этого ОПО.
Собственно, вся фишка SIEM-ов, включая опенсурсные бандлы в том, что за ними нужно постоянно наблюдать. Нет такой реальной сети, которая бы сразу подошла под устанавливаемый SIEM — везде нужно допиливать источники событий, правила реагирования, распределение алертов по сегментам сетей и т.д.
Причина всего: пользователи везде разные, цели разные, даже если взять DLP решения, то их тоже нужно постоянно обучать новыми базами документов, чтобы те накопили достаточно ключевых слов и мощно развили внутренние нейросетки, чтобы можно было отлавливать даже измененные тексты утекаемой информации.
Например, сейчас бравые парни из европейской (Австрийской) компании RadarServices активно шагают по России, предлагая удачный бандл: набор предварительно настроенных опенсурсных SIEM на базе сервера под управлением Linux + собственный сервис по постоянной адаптации этого решения под конкретные сетки заказчика.
Т.е. прошаренные профи, которые съели не одну собаку на проведении аудитов по инфобезу, реально каждый день/неделю/месяц подключаются к установленному софту и корректируют правила, его работу, уточняют источники данных и проч, причем по просматриваемым со стороны заказчика каналам, чтобы никакие данные не покидали сеть заказчика (не используется никаких внешних серверов обработки). Слышал, что они даже жесткие диски оставляют у клиентов (даже если это был всего-лишь тестовый сервер), в случае если клиент отказывается продолжать использовать продукт, чтобы ну уж совсем гарантировать, что данные никуда не уйдут. В таком виде перспективы у открытых SIEM определенно есть!
Ну а так как ПО используется не проприетарное, то имеем два огромных плюса:
1. перцы могут допилить любую часть софта под каждого заказчика
2. сервис оказывается в разы дешевле, чем тот же ArcSight
Спасибо за наводку на RadarServices, посмотрю, что это такое. radarservices.com — они? Не работает что-то пока.
По поводу техподдержки ArcSight ничего говорить не буду, т.к. лично я с ним мало работал и поводов обращаться в техподдержку не было. Сам продукт, в общем, на мой взгляд неплох, хотя и замороченней по сравнению с тем же QRadar или McAfee.
Да, действительно, SIEM «из коробки» не встанет в реальную сеть, весь вопрос в том, сколько времени потребуется на ее допиливание. Скажем, когда ставили QRadar, он сразу подхватил все источники клиента — имелась большая внутренняя база источников + регулярное ее обновление на сайте. Т.е. руками надо было только их переименовать более-менее осмысленно. Есть ли такие же базы источников у OpenSource SIEM — вопрос, который меня сильно занимает. Есть ли у них возможность развертывания агентов, чтобы получать события непосредственно из ОС юзера?
По поводу корректировки правил — каждый день-неделю-месяц их корректировать? Это имеет смысл на этапе внедрения, скорректировать, скажем, правила сетевых аномалий, аномального поведения пользователя и т.д., на основе которых мы будем генерировать «преступления» (offenses). Корректировку проводим исключительно для того, чтобы не нагенерировать излишних «преступлений». С источниками аналогично, хотя тут облегчается тем, что SIEM их может найти сама. Так что, в конечном итоге, нормально настроенная SIEM после ее сдачи в эксплуатации не должна нуждаться в еженедельной и ежедневной корректировке правил. В основном корректируются ложно-положительные реакции SIEM.
В части случаев система успешно работает с предустановленным базовым набором правил (которые шли вместе с ней).
По OpenSource, в итоге:
1) А не окажется ли, что результат этого «допиливания» не будет работать криво и не превысит по стоимости проприетарное решение?
2) А могут ли они нормально работать в виртуальном окружении? McAfee, например, выпускает отдельно свои продукты в сборке Virtual Appliance — что дает гарантию не наступить на какие-нибудь неприятные грабли при установке в виртуальную среду
По поводу техподдержки ArcSight ничего говорить не буду, т.к. лично я с ним мало работал и поводов обращаться в техподдержку не было. Сам продукт, в общем, на мой взгляд неплох, хотя и замороченней по сравнению с тем же QRadar или McAfee.
Да, действительно, SIEM «из коробки» не встанет в реальную сеть, весь вопрос в том, сколько времени потребуется на ее допиливание. Скажем, когда ставили QRadar, он сразу подхватил все источники клиента — имелась большая внутренняя база источников + регулярное ее обновление на сайте. Т.е. руками надо было только их переименовать более-менее осмысленно. Есть ли такие же базы источников у OpenSource SIEM — вопрос, который меня сильно занимает. Есть ли у них возможность развертывания агентов, чтобы получать события непосредственно из ОС юзера?
По поводу корректировки правил — каждый день-неделю-месяц их корректировать? Это имеет смысл на этапе внедрения, скорректировать, скажем, правила сетевых аномалий, аномального поведения пользователя и т.д., на основе которых мы будем генерировать «преступления» (offenses). Корректировку проводим исключительно для того, чтобы не нагенерировать излишних «преступлений». С источниками аналогично, хотя тут облегчается тем, что SIEM их может найти сама. Так что, в конечном итоге, нормально настроенная SIEM после ее сдачи в эксплуатации не должна нуждаться в еженедельной и ежедневной корректировке правил. В основном корректируются ложно-положительные реакции SIEM.
В части случаев система успешно работает с предустановленным базовым набором правил (которые шли вместе с ней).
По OpenSource, в итоге:
1) А не окажется ли, что результат этого «допиливания» не будет работать криво и не превысит по стоимости проприетарное решение?
2) А могут ли они нормально работать в виртуальном окружении? McAfee, например, выпускает отдельно свои продукты в сборке Virtual Appliance — что дает гарантию не наступить на какие-нибудь неприятные грабли при установке в виртуальную среду
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
SIEM-системы: а есть ли перспективы у OpenSource?