Первое публичное сравнение популярных российских и иностранных SIEM-систем по 116 различным критериям, среди которых архитектура, возможности управления инцидентами, подключения источников, анализа данных и визуализации, отказоустойчивости, интеграции и многое другое. В сравнении участвуют Micro Focus (HP) ArcSight, McAfee ESM, IBM QRadar, RSA NetWitness, Splunk, MaxPatrol SIEM и RuSIEM. Дополнительно в сравнении приведена краткая инструкция для проведения собственной оценки и выбора оптимальной SIEM-системы, основываясь на результатах нашего сравнения.
- Введение
- Методология сравнения SIEM-систем
- Сравнение SIEM-систем
- 3.1. Общая информация
- 3.2. Соответствие направлению импортозамещения
- 3.3. Управление инцидентами, уязвимостями, активами
- 3.4. Предустановленная функциональность
- 3.5. Визуализация и аналитика
- 3.6. Системная архитектура
- 3.7. Отказоустойчивость и резервирование
- 3.8. Защищенность системы
- 3.9. Объекты системы — методы кастомизации и разработки
- 3.10. Управление событиями и данными
- 3.11. Подключение источников событий
- 3.12. Интеграционные возможности, обогащение данными из других систем
- 3.13. Техническая поддержка и обновления
- 3.14. Лицензирование
- 3.15. Дополнительные параметры (оценочные)
- Выводы
Введение
Это первая часть сравнения, куда не вошли отдельные SIEM-системы. Со второй частью можно ознакомиться здесь — "Сравнение SIEM-систем. Часть 2".
Изменение ландшафта угроз в сторону сложных многовекторных атак и усложнение комплекса средств защиты ведут к быстрому росту популярности систем класса SIEM (Security Information and Event Management) не только в России, но и в мире в целом. Ранее мы уже объясняли, что такое SIEM и для чего она нужна, и проводили подробный обзор мирового и российского рынка SIEM.
Такие решения позволяют осуществлять мониторинг информационных систем, анализировать события безопасности в режиме реального времени, например, происходящие на рабочих станциях, сетевых устройствах, средствах защиты информации и других элементах ИТ-инфраструктуры компании. Собранные и проанализированные ими данные помогают обнаружить инциденты ИБ или аномалии, оставшиеся незаметными для специализированных средств защиты.
Практически ежедневно в новостях публикуются факты об успешных атаках (в том числе целенаправленных и спонсируемых отдельными государствами) на организации, в которых, казалось бы, не было проблем с бюджетами на ИБ и работали грамотные специалисты. В свою очередь рост киберрисков ведет к необходимости в проактивности в ИБ, автоматизированному и тщательному анализу событий, необходимости предвидеть атаку, предугадать ее развитие или хотя бы локализовать проблему с меньшими потерями. Многое из этого умеют делать современные SIEM-системы.
Непосредственно в России рост внимания к SIEM-системам связан с некоторыми локальными изменениями на рынке информационной безопасности, среди которых можно выделить:
- Вступление в силу с 1 января 2018 года Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ и связанных с ним нормативно-правовых актов (приказы ФСБ, ФСТЭК России и постановления правительства России), согласно которым в России создается Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), подразумевающая создание корпоративных и ведомственных центров, где могут использоваться в том числе SIEM-системы.
- Построение корпоративных и ведомственных центров оперативного мониторинга информационной безопасности Security Operation Center (SOC), в том числе с целью взаимодействия с НКЦКИ в рамках системы ГосСОПКА. Чаще всего платформой для автоматизации процессов SOC являются рассматриваемые в обзоре SIEM-решения.
- Увеличение зрелости ИБ во многих крупных компаниях, а значит, и появление потребности автоматизации большого числа процессов.
Возникновение массового спроса и предложения со стороны вендоров порождает у заказчиков проблему выбора, для решения которой нужно время и экспертиза. К сожалению, до настоящего времени в публичном пространстве практически не было актуальных сравнительных материалов, которые бы помогали потенциальным заказчикам выбрать оптимальную для себя SIEM-систему без принятия стороннего оценочного мнения. Мы решили это исправить.
Несмотря на сложность и, казалось бы, неподъемность задачи, мы провели первое открытое независимое сравнение популярных на российском рынке SIEM-систем. Для этого мы пригласили к участию всех желающих, создали открытую группу заинтересованных специалистов, коллегиально на протяжении 6 месяцев прорабатывали критерии сравнения и список производителей-участников, уточняли и выверяли ответы, чтобы получившееся в итоге сравнение было прозрачным. Фактически любой желающий мог высказать свое мнение по улучшению критериев сравнения или о точности приведенной в таблице информации.
Перед ознакомлением с результатами нашего сравнения имеет смысл понять, зачем вам нужна SIEM-система, какие задачи, по вашему мнению, такая система позволит решить. Вооружившись ответами на эти вопросы, можно перейти к изучению результатов сравнения. Технически рекомендуется выделить необходимые параметры и проставить для них «весовые значения» по собственному мнению, основываясь на описании значений критериев в таблице. Далее следует просуммировать значения и вывести собственного лидера среди SIEM-систем, отвечающего задачам вашей компании. Подробнее описано в главе «Методика выбора оптимальной SIEM-системы».
Методология сравнения SIEM-систем
На этапе выбора критериев сравнения в нашей рабочей группе возникали жаркие споры насчет корректности сравнения существующих решений (а рассматриваются далеко не все присутствующие на рынке) или недостаточного раскрытия ряда функциональных возможностей. И тут действительно нужно пояснить: пути развития выбранных нами для сравнения SIEM-систем имеют разные длину (в годах) и направление — поэтому оценивать нужно потенциальному заказчику, основываясь на особенностях своей организации.
Например, потребности сервисного SOC, продающего свои услуги другим компаниям, разительно отличаются от потребностей инфраструктурного внутреннего SOC. И если для первого важно подключить из коробки максимальное количество источников и иметь возможность гибкого управления данными, поступающими от них, то для второго большим приоритетом может стать удобный пользовательский интерфейс и минимальная стоимость владения решением.
И если особенности заказчика формируют потребности, то функциональность продуктов определяет их возможности. Это ориентировка на интеграцию внутри собственной экосистемы, как у Positive Technologies и IBM, или направленность на интеграцию со сторонними решениями, как у RuSIEM и Micro Focus Security. Кроме того, подходы к визуализации и навигации в консоли каждого из решений соответствуют определенной логике, которую не всегда можно оценить четкими критериями, но зато можно эмпирически принять при живой демонстрации.
Группировка критериев осуществлялась на основе базовых влияющих на компании-потребители направлений, диктуемых временем: степень автоматизации, стратегия развития (в том числе устойчивость на рынке), эластичность архитектуры. Возможность компании-потребителя учитывать риски при таких условиях в дальнейшем определяет ее выбор.
К примеру, небольшим игрокам стоит присмотреться к комплексному моновендорному решению, а тем, кто крупнее, ориентироваться на нишевые (под нишей подразумевается отрасль) решения. Далее проводилась детализация направлений в группы (представленные ниже), которые раскладывались, в свою очередь, на подгруппы. По возможности и экспертно оцененному весу влияния критерия на оценку подгруппы разбивались оценочные параметры.
Для создания полезного инструмента выбора нами были выделены следующие группы критериев сравнения SIEM-систем:
- Архитектура решения — форм-фактор, масштабируемость, методы управления событиями и схема лицензирования — важный параметр для Enterprise-установок, где необходимо подсчитать конечную стоимость владения решением, учитывая трудоемкость обслуживания, возможность и эффективность реализации в распределенных сетях.
- Общая информация — будет полезна при презентации руководству или организации референс-визитов, соответствия основных показателей ИТ- и ИБ-стратегии компании. По этим показателям можно судить о зрелости решения и его положении на рынке.
- Функциональные особенности —наличие и составляющие кастомизируемых параметров, гибкость настройки позволят оценить применимость решения к принятой парадигме развития процессов обеспечения ИБ (аутсорсинг, централизованное, распределенное использование) компании. А качество и количество предустановленных из коробки элементов, а также среднее время старта дадут представление о сроках внедрения до получения первых показателей эффективности.
- Интеграционные возможности — наличие развитых встроенных и интегрируемых подсистем управления уязвимостями, инцидентами и активами позволит в начальном периоде эксплуатации ограничиться использованием одного продукта, без увеличения количества используемых администратором и аналитиком консолей. А интеграция со сторонними решениями в целях обогащения информации о событиях ИБ, сведения об API и поддерживаемых источниках событий указывают на открытую позицию компании на рынке, умение находить общий язык с другими игроками, говорит о направлениях развития продукта.
- Дополнительные критерии — параметры, которые подвержены влиянию внешней среды. Это и отчетность, удобство, это и глубина погружения при навигации в рамках интерфейса системы. Все это влияет на оперативность при обработке событий ИБ и выявлении инцидентов ИБ и позволяет примериться к существующим внутри компании KPI. Дорожные карты развития, наличие озвученных планов по разработке коннекторов-парсеров, количество внедрений и поддержка со стороны производителя, а также живость community говорит о заинтересованности в продукте как заказчиков, так и разработчиков.
- Соответствие направлению импортозамещения — позволит оценить ценность решения как компонента системы соответствия.
Помимо выбора критериев для сравнения перед нами стояла вторая нелегкая задача — отбор продуктов для участия в сравнении. Учитывая ограничения формата статьи на сайте и удобство восприятия, решено было отобрать для первой части сравнения не более семи SIEM-систем. При этом при отборе продуктов учитывались три основных фактора: популярность на российском рынке, реализованная функциональность и происхождение вендора. Последнее было важно для приоритета российским продуктам в рамках государственной политики импортозамещения.
Остальные продукты, не попавшие в первую семерку, было решено оставить для второй части сравнения, которую планируется сделать в будущем в случае успеха нашей инициативы.
В итоге мы остановили свой выбор на наиболее популярных на российском рынке отечественных и зарубежных SIEM-системах. В итоге было отобрано семь систем:
Российские продукты:
- MaxPatrol SIEM 4.0 («Позитив текнолоджиз»)
- RuSIEM + RuSIEM Analytics 5.6.4 («РУСИЕМ»)
Зарубежные продукты:
- Micro Focus ArcSight (ArcSight ESM, ArcSight Investigate, ArcSight Event Broker, ArcSight RepSM, ArcSight UBA) 6.11 (бывший HP)
- McAfee Enterprise Security Manager (ESM) 10.2
- IBM QRadar Security Intelligence Platform 7.3.1
- RSA NetWitness Suite 11.0
- Splunk Enterprise 7.0.1 + Splunk App for Enterprise Security 5.1.0
Хотелось бы отметить, что представители всех указанных производителей принимали непосредственное участие в финальной стадии, где нужны были некоторые пояснения и проверка сведений в сравнительной таблице.
Важно отметить, что готовя это сравнение, мы не ставили целью назвать лучших, мы констатировали факты о продуктах в соответствии с критериями сравнения. А соответствующие выводы о выборе решения, наиболее подходящего под потребности и возможности конечного потребителя, может сделать только сам потребитель.
Сравнение SIEM-систем
Общая информация
Критерии оценки/Вендор | Micro Focus (HP) ArcSight | IBM Qradar | McAfee ESM | RSA NetWitness | Splunk | RuSIEM | MaxPatrol SIEM |
Название компании | Micro Focus International PLC | IBM (International Business Machines) | McAfee LLC | RSA Security LLC | Splunk Inc | ООО «РУСИЕМ» | АО «Позитив текнолоджиз» |
Штаб-квартира | Роквилл, Мэриленд, США; Ньюбери, Беркшир, Великобритания | Армонк, Нью-Йорк, США | Санта Клара, Калифорния, США | Бедфорд, Массачусетс, США | Сан-Франциско, Калифорния, США | Москва, Россия | Москва, Россия |
Веб-сайт | microfocus.com | ibm.com | mcafee.com | rsa.com | splunk.com | rusiem.com | ptsecurity.com |
Целевой сегмент | Все секторы. Крупный и средний бизнес | Банковский, государственный секторы, крупный и средний бизнес | Государственный сектор, крупный и средний бизнес | Крупный и средний бизнес | Все сегменты во всех отраслях, от бесплатных версий до самых крупных инсталляций | Государственный сектор, малый, любой размер бизнеса | Все секторы, любой размер бизнеса |
Количество партнеров в России (с правом перепродажи) | 25 | Более 80 | 500 | Более 30 | 25 | 9 | Более 50 |
Количество партнеров в России (с правом внедрения) | 25 | Более 80 | 5 | 10 | 25 | 4 | Более 50 |
Полное название системы | Платформа Micro Focus ArcSight (ArcSight ESM, ArcSight Investigate, ArcSight Event Broker, ArcSight RepSM, ArcSight UBA) | IBM QRadar Security Intelligence Platform | McAfee Enterprise Security Manager | RSA NetWitness Suite | Splunk Enterprise + Splunk App for Enterprise Security | RuSIEM, RuSIEM Analytics и RvSIEM free | Maxpatrol SIEM |
Сроки внедрения с заданными характеристиками (на одном объекте с подключением более 300 источников и настройкой 15 базовых правил корреляции, корректировка встроенных) | От 1 месяца (зависит от ТЗ, команды исполнителя, вовлеченности заказчика) | От 1 месяца (зависит от ТЗ, команды исполнителя, вовлеченности заказчика) | От 1 месяца | От 1 месяца (зависит от ТЗ, команды исполнителя, вовлеченности заказчика) | От 2 недель (при своевременной вовлеченности заказчика, зафиксированных рамках проекта) | До 2-3 недель. Зависит от гетерогенности и специфичных источников | От 1 месяца |
Сравниваемые версии | 6.11 | 7.3.1 | 10.2 | 11.0 | Splunk Enterprise 7.0.1 + Splunk App for Enterprise Security 5.1.0 | 5.6.4 | 4.0 |
Соответствие направлению импортозамещения
Критерии оценки/Вендор | Micro Focus (HP) ArcSight | IBM Qradar | McAfee ESM | RSA NetWitness | Splunk | RuSIEM | MaxPatrol SIEM |
Крупнейшее из известных внедрений в России (со ссылкой на пресс-релиз либо конкурс) | ПАО "Ростелеком" | ПАО "Сбербанк" | Нет данных | ПАО "РусГидро" | Яндекс | ГБУ СО "Сахалинский областной центр информатизации" | ГК Росатом |
Языки интерфейса | Русский, английский | Русский, английский | Английский | Английский | Русский, английский | Русский, английский | Русский |
Сертификаты ФСТЭК России | №3605 от 12.08.2016 (НДВ4, ТУ) | Нет | Нет | Нет | Нет | Нет, в процессе сертификации | №3734 от 12.04.2017 (НДВ4, ТУ) |
Наличие в реестре отечественного ПО | Нет | Нет | Нет | Нет | Нет | Регистрационный номер в реестре 3808 | Регистрационный номер в реестре 1143 |
Секторы экономики, в которых выполнены внедрения | Финансы, государственный сектор, промышленность, связь, торговля, нефтегазовый, ТЭК, металлургия, транспорт | Финансы, промышленность, энергетика, управление, связь, транспорт | Финансы, промышленность, энергетика, услуги, транспорт | Финансы, промышленность, энергетика, управление, связь, транспорт | Финансы, государственный сектор, промышленность, связь, торговля, металлургия | Госсектор, промышленность, коммерческий сектор, процессинг, банки, интернет-коммерция, реклама | Финансы, госсектор, энергетика, промышленность, связь, торговля |
Страны в которых выполнены внедрения | Северная и Южная Америка, Европа, Азия, Австралия, Африка, Россия и СНГ | Россия, СНГ, Европа, Америка, Азия, Африка, Австралия | Россия, СНГ, Европа, Америка | Россия, СНГ, Европа, Америка, Азия, Африка, Австралия | Россия, СНГ, Европа, Азия, Америка | Коммерческая версия: Россия, Канада, СНГ. Свободно распространяемая: более 7000 по всему миру | Россия, СНГ, Азия, Ближний Восток (по информации от вендора) |
Управление инцидентами, уязвимостями, активами
Критерии оценки/Вендор | Micro Focus (HP) ArcSight | IBM Qradar | McAfee ESM | RSA NetWitness | Splunk | RuSIEM | MaxPatrol SIEM |
Карточка инцидента | 55 настраиваемых полей | 25 полей | 8 полей | 9 полей | 0-236 штатных полей | 372 поля, настраиваемые пользователем | 19 полей |
Пути эскалации инцидента | Выстраивание уровней и путей эскалации инцидента | Эскалация вручную | Эскалация вручную или при формировании автоматического оповещения | Эскалация вручную или при формировании оповещения | Автоматическая настраиваемая эскалация на SOAR и иные средства реагирования через механизм модульных оповещений Alerts. Ручная эскалация через Workflow Actions в карточке инцидента | Эскалация вручную с возможностью изменения критичности, темы и описания | Автоматическая маршрутизация инцидента при наличии условий (сработавшего правила, критичности инцидента, критичности активов, свойств активов) |
Оповещение об инциденте (почта, мессенджеры, SMS, интеграции) | SMTP, SMS, API | SMTP, скрипты | SMTP, SMS | SMTP, скрипты | Почта, мессенджеры, скрипты, интеграция со сторонними сервисами | SMTP | SMTP, скрипты |
Принятие решений в рамках процесса обработки инцидентов | Ручное и автоматическое | Ручное и автоматическое | Ручное и автоматическое | Ручное и автоматическое | Ручное | Ручное | Ручное |
Интеграция с системами Service Desk | Да (API, email) | Да (API, email, SNMP) | Да (API, email) | Да (Syslog) | Да (API, email, SNMP) | Да (API, email, syslog) | Да (API, email) |
Авторегистрация уязвимостей (интеграция со сканерами) | Интеграция со всеми популярными сканерами крупных вендоров, возможности по интеграции через API и отчеты различных форматов | Интеграция с более 20 сканерами, поддержка формата AXIS | Интеграция по API c несколькими сканерами, с Qualis путем выгрузки и импорта XML, по syslog — со всеми | Нет | Интеграция со сканерами по открытым протоколам. Для популярных сканеров есть модули разбора событий (Qualys, Netxpose Rapid7 и др.) | Интеграция с некоторыми сканерами через API, файловые логи и syslog | Отдельный собственный модуль, получение списков от сторонних сканеров уязвимостей, имеющих возможность выгрузки |
Настройка собственной модели определения критичности уязвимости | Да | Нет | Можно влиять на параметры критичности, используя метки Assets. Влияние на параметр риска возможно с риск-кореляцией на базе правил | Нет | Да | Да | CVSS уязвимости плюс критичность актива в формате CVSS 2.0 |
Сортировка уязвимостей по различным критериям — в т. ч. критичности | Да | Да | Да | Нет | Да | Да | Нет |
Возможность выделения ложных срабатываний | В ручном режиме | В ручном режиме | В ручном режиме | В ручном режиме | Категоризация в ручном режиме или их снижение с донастройкой корреляционных правил | В ручном режиме | В ручном режиме |
Риск-корреляция, учет риск-корреляции в правилах | Риск-корреляция на уровне корреляционной логики и активов. Доп. встроена в UBA | Риск-корреляция с учетом составляющих показателя Magnitude (Relevance, Credibility и Severity) | Риск-корреляция на уровне корреляционной логики и параметров критичности активов | Нет | Скоринговая модель, учитывающая данные об активах и учетных записях пользователей | Через симптомы, определяющие вес события. Через правила корреляции. Через AI с уточнением в правилах | Риск-корреляция на уровне корреляционной логики, параметров критичности активов, конфигурационных свойств самого актива, а также его положения в инфраструктуре |
Произвольные формулы расчета рисков | При самостоятельной реализации риск-корреляции на уровне корреляционной логики | Нет | При реализации риск-корреляции возможно составить модель корректировки значения критичности | Нет | Встроено в язык SPL, на который опираются правила корреляции, а также в Risk Analysis Framework | Формул нет, но есть возможность. Определяется суммой из одного или нескольких симптомов с весами и правилами корреляции | Реализация риск-корреляции на уровне корреляционной логики |
Наличие возможности задания или импорта информации об активах (assets) | ArcSight Asset Import Connector (возможность автоматичесого создания активов), корреляционными правилами, вручную. Возможна интеграция с любыми системами класса CMDB, отвечающими за учет активов | От сканеров безопасности, CSV-файлов, API | Из Active Directory, при интеграции по API со сканерами, по результатам обнаружения информации об активах в событиях ИБ (ограниченно), с использованием Data Enrichment из CSV или другого формата выгрузки для обогащения данных об активах | Нет | Штатно описана интеграция с 13 типами и вендорами (AD, CMDB, SCOM, Cisco ISE, Symatec Endpoint Protection и др.) | Импорт в режиме реального времени по событиям и поступающей информации из источников. Правка на уровне удаления элемента актива и шаблона актива | Собственные сканеры, проводящие инвентаризацию. Автоматическое создание на основе поступающих событий от собственного сетевого сенсора (анализирует копию трафика). Интеграция с внешними системами через открытый API. Импорт через csv |
Определение критичности актива | На уровне категории актива | На уровне сетевого объекта (группировка в модели системы), критичность источника (выставляется при заве), учет в правилах корреляции | Вручную при группировке на основе предзаданных критериев | Нет | Система встроеных справочников (порты, процессы, виды трафика и др.) с возможностью проставления степени критичности | Нет | CVSS, с учетом интеграции со сканерами |
Предустановленная функциональность
Критерии оценки/Вендор | Micro Focus (HP) ArcSight | IBM Qradar | McAfee ESM | RSA NetWitness | Splunk | RuSIEM | MaxPatrol SIEM |
Наличие предустановленных правил корреляции | Около 350 корреляционных сценариев в 20 категориях на 3 уровнях контента доступны в ArcSight Content Brain | Более 140, а также Content Extention Pack из IBM X-Force App Exchange | Более 180 | Более 130 | 181 в Splunk ES штатно. +343 в бесплатном приложении Splunk Security Essentials |
Более 270 | Более 150 |
Наличие предустановленных графических панелей (Dashboards) | 28 | 7. Дополнительно из AppExchange может быть установлено приложение визуализации IBM QRadar Pulse | Более 100 (совмещено с отчетами) | 11 | 57 | 10 | 32 |
Наличие предустановленных отчетов | Более 80 | Более 110, а также Content Extention Pack из IBM X-Force App Exchange | Более 100 | Более 80 | 462 | Более 50 | Более 40 |
Преднастроенные панели визуализации и отчеты по соответствию стандартам (Compliance) | PCI DSS, HIPAA, SOX, NERC, FISMA, IT GOV | COBIT, FISMA, GLBA, GSX-Memo22, HIPAA, NERC, PCI DSS, SOX | BASEL II, EU 8th Directive, FISMA, GIODO, GLBA, GPG-13, HIPAA, NERC, PCI, SOX | FISMA, ISO27002, FERPA, GLBA, FFIEC, NERC-CIP, BILL 198, BASEL II, GPG-13, HIPAA, NISPOM, PCI DSS, SOX, SSAE 16 | GDPR, HIPAA, FISMA, PCI DSS (платные и бесплатные дополнения к платформе SPLUNK ENTERPRISE и SPLUNK ES) | PCI DSS | Нет |
Наличие готовых пакетов панелей визуализации, доступных для скачивания | Пакеты панелей визуализации доступны в ArcSight Content Brain | В составе Content Extention Pack из IBM X-Force App Exchange, а также отдельные приложения Pulse и Incident Overview | В составе Content Packs, подгружается по запросу из консоли управления. В Community есть примеры самодельных панелей, периодически такие панели служат причиной корректировки паков | Сервис RSA Live | Сервис Splunkbase | Ресурс для авторизованных клиентов | Нет |
Визуализация и аналитика
Критерии оценки/Вендор | Micro Focus (HP) ArcSight | IBM Qradar | McAfee ESM | RSA NetWitness | Splunk | RuSIEM | MaxPatrol SIEM |
Работа с фильтрами (принцип — запросы, поле) | Фильтры по полям, полнотекстовый поиск | Фильтры по полям, regex, язык AQL | Фильтры по полям, regex | Фильтры по полям, regex | Фильтры по полям, язык SPL | Язык запроса, полнотекст, фильтры по полям, regexp, с исключением, составные запросы, распределенные запросы, по симптоматике (понятным терминам, например, "неудачные входы в Windows)" | Язык запросов, фильтры по полям, regex |
Полнотекстовый поиск по «сырым» событиям | Да | Да | Да | Да | Да | Да | Нет |
Построение графов сетевого взаимодействия | Взаимосвязь между 3 хостами. Возможна интеграция с продуктом сетевого мониторинга Micro Focus Network Node Manager (NNM) | Есть близкий аналог классического графа, а также отдельный модуль QRM | Да, но ограниченный — отрисовывает линии между хостами в 2 направлениях. Более визуально-адаптивная версия лицензируется отдельно в рамках продукта McAfee Investigator | Есть близкий аналог классического графа | Есть большое количество графических представлений, реализованных в приложениях | Взаимосвязь между двумя хостами с условиями | Строится топология сети, расчет достижимости, отображаются на топологии активы со связанными событиями и инцидентами |
Создание/изменение кастомизируемых панелей | Да | Да (есть возможность визуализации с использованием приложений) | Да | Да | Да | Да | Да |
Интерактивная работа с панелями (drill-down) | Да | Да | Да | Да | Да | Да | Да |
Возможность формирования отчетов в виде документов, форматы экспорта отчетов в виде документов | PDF, XLS, RTF, CSV, HTML | PDF, HTML, RTF, XML, XLS | PDF, HTML, CSV | PDF, CSV | Raw, PDF, CSV, XML, JSON | PDF, XLS, CSV | PDF, XLSX, MHT, DOCX, CSV |
Формирование и рассылка отчетов по расписанию/по критерию | Формирование отчета по расписанию либо вручную. Также есть возможность выбрать дату начала формирования отчета и дату окончания | Формирование отчета по расписанию либо вручную. Модуль формирования отчетности доступен снаружи через API, по запросу | Да, задаются любые временные промежутки для отсылки, можно выстроить цепочку действий с формированием отчета, если в течение определенного времени нет автиности по кейсу с событиями, назначенному на человека | Формирование отчета по расписанию либо вручную (now или later) | Формирование отчетов по правилам с неограниченной сложностью. Отправка отчетов с заданием необходимого расписания. Выбор периода выборки в отчете. Выбор множества каналов доставки отчета | Формирование отчетов по активам, событиям, инцидентам, по расписанию | Формирование отчетов по активам, событиям, инцидентам, по расписанию |
Системная архитектура
Критерии оценки/Вендор | Micro Focus (HP) ArcSight | IBM Qradar | McAfee ESM | RSA NetWitness | Splunk | RuSIEM | MaxPatrol SIEM |
Операционная система в основе решения | Red Hat Enterprise Linux\CentOS\SuSE Enterprise Linux | Red Hat Enterprise Linux | Customized Mcafee linux | CentOS 7 | Linux с ядром 2.6+, Windows Server 2008 R2 и выше | Ubuntu x64 | Windows, Debian |
СУБД | CORR-Engine | PostgreSQL, Ariel DB | SQLite | Своя NoSQL | Своя система хранения данных (плоские файлы) | Elasticsearch, RuSIEM DB, postgresql, ClickHouse, neo4j | Elasticsearch |
Наличие сформированных образов для платформ виртуализации | VmWare | VMware, AWS | VMware, KVM, AWS | VMware, AWS, AZURE | VMWare, AZURE, AWS, Docker Hub | VMWare, Hyper-V, KVM, QEMU | VMWare |
Распределенное развертывание компонентов | Да, для подсистемы сбора, ядро в роадмапе (ESM v.7) | Да | Да | Да | Да | Да | Да |
Возможность хранения данных на внешних носителях (NAS/SAN) | Да | Да | Да | Да | Да | Да | Да |
Ограничение потребления канала при передаче событий от сборщиков до центра системы (для распределенных систем) | Гибкая настройка частоты опроса, количества событий, утилизации полосы и времени передачи данных | Гибкая настройка частоты опроса, количества событий, утилизации полосы и времени передачи данных | Регулирование нагрузки на прием встроенными средствами компонентов | Встроенное (от источника событий до компонента SIEM-системы, от компонента SIEM-системы «сборщик» до компонента SIEM-системы «обработчика»), настраиваются временные интервалы для передачи данных | Есть возможность централизованного снятия/подъема лимитов. Имеется функция сжатия трафика (SSL compression и non-SSL) | От агента до сервера — шейпинг по времени и дням недели с установкой полосы. Между нодами — QoS | Любой агент можно установить в версии Advanced Agent, в таком случае он будет осуществлять сбор, фильтрацию, нормализацию, агрегацию |
Средняя степень сжатия при передаче сырых событий | До 10x | Зависит от типа данных, до 10x | Нет | Да, от источника событий до SIEM-компонента «сборщик» упаковка в ZIP-архив, степень сжатия не настраивается | Да, зависит от конкретных данных, в среднем коэффициент сжатия 0.3-0.5 | Нет | До 7x |
Средняя степень сжатия при хранении нормализованных событий | 7х-10х | 5x-10x | 20x | 5х (не рекомендуется использовать, только для хранения архивных событий, степень сжатия сильно зависит от содержимого событий) | Зависит от конкретных данных, в среднем коэффициент сжатия 2х | До 0.7х оптимально без существенной потери производительности средствами Elastic Search | x5 |
Ограничения по количеству обрабатываемых событий в секунду | ArcSight Connector — 2-4к EPS, Event Broker — более 500к EPS, ArcSight ESM — 50к EPS | Зависит от лицензии EPS | Ограничивается разными типами лицензий / аппратных бандлов. Лицензии на ПО без привязки к аппаратной составляющей могут расширяться аддонами | Только аппаратные ограничения (веделенные аппаратные мощности, пропускная способность сетевого интерфейса) | Лимитированы только аппаратными ограничениями | До 90к EPS событиями 300B на одну ноду, без лимита в распределенной инсталляции | 15kEPS 30kEPS |
Возможность увеличения мощности компонентов системы | Расширением доступных аппаратных ресурсов | Расширением доступных аппаратных ресурсов, в соответствии с рекомендациями производителя |
Лицензии на ПО без привязки к аппаратной составляющей могут расширяться аддонами. Аппартные решения не расширяются | Горизонтальное и вертикальное масштабирование | Расширение стека лицензий. Аппаратное увеличение памяти и кол-ва ядер CPU увеличивает кол-во одновременно выполняемых запросов | Расширение лицензии, установка дополнительных серверов. Поддерживается расширение за счет RvSIEM free | Расширение лицензии или улучшение аппаратной платформы |
Возможность развития системы за счет добавления дополнительных компонентов (параллельное масштабирование) | Да | Да | Да | Да | Да | Да | Да |
Минимальное количество серверов для разворачивания системы | 1 | 1 | 1 | 3 | 1 | 1 | 1 |
Тип консоли администратора | Веб-консоль (ArcSight Command Center) и толстый клиент (ArcSight Console) | Веб-консоль | Веб-консоль | Веб-консоль | Веб-консоль, CLI | Веб-консоль | Веб-консоль |
Отказоустойчивость и резервирование
Критерии оценки/Вендор | Micro Focus (HP) ArcSight | IBM Qradar | McAfee ESM | RSA NetWitness | Splunk | RuSIEM | MaxPatrol SIEM |
Возможности по резервированию ядра системы | HA (Active-Passive) и Dual Feed (Active-Active) | Схема disaster recovery (только собираемые данные) или HA (Active-Passive) | HA, Redundant ESM | Для виртуальной инсталляции средствами гипервизора (vSphere HA — активный-активный. Снапшот — активный-пассивный). Для ПАК активный-пассивный | HA/DR. Active/Active. Кол-во сайтов/реплик не ограничено | Пассивный, disaster recovery | Активный-пассивный |
Возможности по резервированию компонентов сбора событий | Load-Balancer Connector | Все компоненты | Логическо-архитектурное резервирование, активный-активный | Активный-активный | Определяется логически и архитектурно | Пассивный, disaster recovery | Активный-активный |
Возможность сохранения событий локально на сборщике, если отсутствует связь с ядром | Да, хранение событий осуществляется на ArcSight Connector или ArcSight Event Broker | Да | ESM collector | Да | Да, размер кэша настраивается | Да, с ротацией более старых в зависимости от свободного места на диске. MQ | Да |
Резервирование конфигурации системы, возможность автоматического восстановления | Резервное копирование конфигурации | Да (в случае физического выхода из строя — восстановление в ручном режиме) | Резервное копирование конфигурации, Redundant ESM | Резерврирование конфигурации, данных. Восстановление вручную | Автоматическое восстановление при сбоях, возможно сохранение конфигурации на внешние носители | Автоматическое архивирование конфигурации, восстановление оператором на указанное время | Нет |
Возможность восстановления базы данных после сбоев | Да (DR сценарии или решения по отказоустойчивости) | Автоматическое резервирование. Возможность восстановления (выбор вариантов) в ручном режиме | Автоматическое восстановление в режиме Redundant ESM | Да (вручную путем копирования в соотвествующие директории) | Резервное копирование и восстановление данных по методике вендора в открытой документации | Автоматическое. Команда оператора. Средствами кластера | Да. Готовые утилиты по воостановлению работоспособности БД |
Защищенность системы
Критерии оценки/Вендор | Micro Focus (HP) ArcSight | IBM Qradar | McAfee ESM | RSA NetWitness | Splunk | RuSIEM | MaxPatrol SIEM |
Ролевая модель | RBAC | RBAC | RBAC | RBAC | RBAC | Настраиваемая | RBAC |
Аутентификация (интеграция с LDAP, Radius) | Локальная, Radius, LDAP, Active Directory | Локальная, Radius, Tacacs, Active Directory, LDAP | Локальная, RADIUS, CAC, Active Directory, LDAP | Active Directory | Active Directory, LDAP, SAML, RADIUS | Локально, LDAP, гибридная (локально и LDAP) | LDAP |
Журналирование изменений объектов — инициированных пользователями | Да | Да | Да | Да | Да | Да | Да |
Журналирование изменений объектов — инициированных системными компонентами | Да | Да | Да | Да | Да | Да | Да |
Безопасные протоколы передачи данных между компонентами системы | Передача событий от ArcSight connector до ArcSight ESM шифруется, можно использовать стандарт FIPS при передаче событий | TLS | SSL | TLS | TLS/SSL | TLS/SSL | TLS |
Объекты системы — методы кастомизации и разработки
Критерии оценки/Вендор | Micro Focus (HP) ArcSight | IBM Qradar | McAfee ESM | RSA NetWitness | Splunk | RuSIEM | MaxPatrol SIEM |
Возможности управления ИТ-активами | Автоматическое и ручное создание. Возможность редактирования (в т. ч. на уровне правил корреляции) | Возможность создания и редактирования после заведения вручную | Есть группировка, назначение критичности, определение категорий нормализации. Автоматическое и ручное создание | Нет | Автоматическое и ручное создание, редактирование и удаление элементов | Только ручное удаление актива и изменение шаблона | Возможность автоматического поиска и создания |
Изменение панели визуализации | В модулях Logger, ESM и Investigate | Встроенный конструктор, фильтрация, drill-down | Встроенный конструктор | Встроенный конструктор, фильтрация, drill-down | Встроенный конструктор, язык для создания поисковых запросов и визуализации, инструменты фильтрации и drill-down | Встроенный конструктор, фильтрация, drill-down | Встроенный конструктор, фильтрация, drill-down |
Встроенный конструктор отчетов (показатели и графики) | ArcSight Report Designer, можно создавать любые шаблоны или использовать Javascript при генерации отчетов | Встроенный конструктор, фильтрация | Встроенный конструктор | Встроенный конструктор | Встроенный конструктор, язык для создания поисковых запросов и визуализации, набор инструментов статистики и т. д. | Встроенный конструктор, фильтрация, сложные отчеты через аналитику, подсчет среднего, суммы, накопленной. Кастомизируется пользователем | Встроенного конструктора нет, фильтрация через генерацию отчета |
Варианты оповещения | Консоль, SMTP, телефонный звонок, через запуск скриптов в ArcSight CounterACT Connector (любые чаты или системы оповещения) | Консоль, SMTP, API | Консоль, SMTP, SMS, API | Консоль, SMTP | Консоль, SMTP, SMS, HelpDesk, API | Консоль, SMTP, API | SMTP или через API |
Управление правилами корреляции | Объектный конструктор | Объектный конструтор, язык AQL | Объектный конструктор | Объектный конструктор, язык Esper | Конструктор, язык поисковых запросов | Графический конструктор | Язык поисковых запросов |
Возможность изменения и добавления категорий нормализации | Большое количество встроенных категорий, возможность создания собственных | Большое количество встроенных категорий, возможность использования ограниченного числа пользовательских категорий | Оперирование встроенными, создание собственных категорий | Нет | Создание, изменение, удаление с помощью Common Information Models (CIM), основанном на моделях данных (DataModels) | Изменение парсеров в конфигурационных файлах | Встроенные категории, возможность создания собственных |
Возможность использования внешних динамических листов, массивов данных | Репутационные листы | Встроенная подписка на IBM XForce, также есть приложение для интеграции с внешними источниками (STIX/TAXII и др.) | Есть возможность приема данных из внешних ресурсов, базовые репутационные листы, отдельно подписка на сервисы репутации | Одноуровневый список, подсистема обогащения данных (например, результат запросов в стороннюю БД), временная таблица в памяти | Репутационные базы (41 встроена). Обогащение событий: базы данных, geoip, API, scripts | Статические списки, интеграция со СКУД, API и скрипт | Динамические таблицы, наполняемые из событий, правил корреляции, API, поддержка импорт/экспорт. Возможность использовать динамические листы при обогащении событий и в правилах корреляции |
Возможность добавления временных зон и их использвоание как переменных правил корреляции | Да | В явном виде нет. Операции со временем доступны в правилах корреляции и AQL | Да | В явном виде нет. Можно создать кастомное поле с привязкой к коллектору и использовать его в корреляции | Да | Да, дни недели и часы | Да |
Парсинг, возможность измения или создания новых коннекторов к разным типов устройств | Возможность парсить события, используя локальные переменные (в самой консоли), производить повторный парсинг (например, в одном из полей есть события, которые необходимо разнести по разным столбцам) | Встроенная функция создания собственных DSM-модулей (адаптеров) нестандартных источников | Встроенный конструктор для парсеров на базе regex, возможность разнесения данных по полям, присвоения категорий нормализации | Отдельное приложение-конструктор или XML-файл | Язык процессинга машинных данных SPL | Парсеры могут быть изменены или созданы пользователем. В основе логический язык, схожий с logstash. Разработка парсеров также осуществляется в рамках поддержки | Все источников заказчика в рамках техподдержки |
Статические листы (массивы данных), наполняемые из полей события ИБ в системе вручную или при срабатывании критерия | Неограниченное количество столбцов. Active list может заполняться вручную и при срабатывании правил. Можно импортировать события в Active list из CSV-файла (например, импортировать название вендора устройства по MAC-адресу) | Reference List, динамически формируемые объекты. Наполняются из API, CSV, правила корреляции | Watchlist — 2 столбца | Watchlist — 1 столбец. Таблица (Feed) | Вручную — пользовательское контекстное правило (Action) в карточке инцидента. Автоматически — пользовательское срабатывание модуля оповещения по результатам отработки правила корреляции или запроса по планировщику. Хранилище итогов — индексы, справочники (CSV, KV-store MongoDB, внешняя СУБД или иная система с API) | Статические списки | Табличные списки |
Управление событиями и данными
Критерии оценки/Вендор | Micro Focus (HP) ArcSight | IBM Qradar | McAfee ESM | RSA NetWitness | Splunk | RuSIEM | MaxPatrol SIEM |
Агрегация событий по типу | Да (можно выбирать количество событий и временную метку для агрегации, набор полей, которые должны совпадать для агрегации, поле, в которое будет прописываться сумма агрегированных событий, или размер входящих/исходящих пакетов (Bytes IN/Bytes OUT)) | Да | Да | Да при отображении, нет при хранении | Да, при отображаении | Нет | Да |
Нормализация событий | Да | Да | Да | Да | Да при отображении, можно настроить при сборе | Да | Да |
Метод сбора событий с источников | Агентский и безагентский | Агентский и безагентский | Агентский и безагентский | Агентский и безагентский | Агентский и безагентский | Агентский и безагентский | Агентский и безагентский |
Основные поддерживаемые форматы сбора событий | Все возможные, кроме FTP | Syslog, TLS Syslog, Log File Protocol, SNMP, JDBC, WinRPC, OPSEC, HTTP, FTP, scp | Syslog, MEF, SCP, HTTP, FTP, SFTP, NFS, CIFS | Syslog, Netflow, ODBC, WinRPC, VMware, SDEE, SNMP, Log File Protocol, AWS, AZURE, OPSEC | Любые возможные. Часто используются: Syslog, Wineventlog, Perfmon, WMI, OPSEC LEA, file, SNMP, JDBC, SDEE, Netflow, SQL, HTTP | Syslog, WMI, FTP, checkpoint lea, cisco sdee, file, ms sql, mysql, oracle, 1c, windows event log, hashlog | Syslog, Log File Protocol, SNMP, ODBC, WinRPC, OPSEC, FTP, smb, vSphere API, WMI |
Возможность сохранения исходных событий (Log Management) | Да (встроенная функциональность) | Да (встроенная функциональность) | Да (ELM — как отдельно лицензируемый продукт, позволяющий производить полнотекстовый поиск). Функция Data Archival — как бесплатная альтернатива — сохраняет данные, поступающие на reciever в TXT | Да (по умолчанию идет сохранение) | Текстовые данные первично попадают в хранилище в том виде, в каком они сформировались на источнике без доп. форматирования. На их основе происходит дальнейшая нормализация в CIM-модель, на основе которой работают правила корреляции | Да (встроенная функциональность) | Да. Не только на основе того, откуда пришел лог (пример с syslog), но и на основе данных в самих событиях |
Возможность автообновления предустановленных парсеров событий | Да (при использовании ArcMC) | Да | Да (ручное, автоматическое) | Да | Да | Да (отключаемый автомат или запуск вручную. Раз-два в неделю) | Да (при обновлении PTKB с ручной загрузкой) |
Возможность сбора данных о сетевом трафике | Netflow/J-flow/IPFIX | SPAN, Netflow, sFlow, jFlow и др. | Nitro IPS/IDS, NetFlow, sFlow и другие | SPAN, Netflow, sFlow, jFlow и др., а также полный захват сетевых пакетов | NetFlow, jFlow, sFlow, IPFIX, HTTP, MySQL, IMAP, POP3, XMPP, приложение Splunk App For Steam | SPAN, RuSIAM Network Sensor | Отдельный модуль, использующий SPAN или NetFlow |
Корреляция по историческим данным | Да | Да | Да | Нет | Да | Нет | Нет |
Подключение источников событий
Критерии оценки/Вендор | Micro Focus (HP) ArcSight | IBM Qradar | McAfee ESM | RSA NetWitness | Splunk | RuSIEM | MaxPatrol SIEM |
Количество поддерживаемых источников событий | 300+ | 300+ | 300+ | 290+ | 2000+ | 63 уникальных модели, 300+ разновидностей и версий | 200+ (по уточнению вендора) |
Возможность подключения нестандартных источников | Пишется ArcSight Flex Connector (возможно написание под следующие источники: log-file, database (с возможностью JOIN для забора событий из разных таблиц), json, scanner, snmp, syslog, xml) | Требуется разработка парсера | Требуется разработка парсера | Требуется разработка парсера | Требуется разработка парсера | Возможно автопарсерами или написание парсера. Возможна разработка транспорта | Можно подлкючить источники за счет вендора (самостоятельно пишет парсеры в рамках ТП) |
Автообнаружение источников событий (Автоматическое заведение источников событий при получении логов по syslog) | Да | Да | Да | Да | Да | Да | Да |
Интеграционные возможности, обогащение данными из других систем
Критерии оценки/Вендор | Micro Focus (HP) ArcSight | IBM Qradar | McAfee ESM | RSA NetWitness | Splunk | RuSIEM | MaxPatrol SIEM |
Встроенная или подключаемая поведенческая аналитика (UBA&UEBA) | ArcSight UBA | User Behavior Analytics for QRadar | Нет | Нет | Встроенная на базе Splunk Extreme Search, Splunk UBA | Только AI+DL в модуле аналитики | Нет |
Использование технологий искусственного интеллекта, автоматизации аналитики верхнего уровня | В ESM нет, есть выделенное решение для аналитики — Investigate | QRadar Advisor With Watson | В комплекте нет, на базе отдельно лицензируемого продукта McAfee Investigator | Нет | Встроенный в Splunk ES 5.0.+ функциональность Workbench Investigator | DL, ML на базе RuSIEM Analitics (включение после закупки лицензии на компонент) | Нет |
Использование алгоритмов машинного обучения | ArcSight UBA | QRadar Advisor With Watson | Да, при интеграции с Investigator | Нет | Splunk UBA, Splunk ML Toolkit, Splunk Extreme Search | PMML, AI, DL | Нет |
Интеграция со службами каталогов | Для выгрузки пользователей и для аутентификации | Для аутентификации — да. Для расширения возможности выгрузки из каталога — через приложение | Аутентификация пользователей, назначение фильтров по объектам AD, импорт активов | Аутентификация | Для выгрузки пользователей и устройств, для прозрачной аутентификации | Аутентификация, интеграция со СКУД | Аутентификация пользователей, назначение прав |
Прием данных с другого решения типа SIEM/LM | Да | Да | Да | Да | Да | Да | Да |
Интеграция с ITSM/CMDB | Да | Да (REST API) | Да | Да (RSA Archer) | Да | Нет | Да (через API) |
Подключение репутационных баз по IP | ArcSight RepSM | Да (свои от IBM X-Force и сторонние) | Да (свои и сторонние) | Да (свои (RSA Live) и сторонние) | Да | Да (фиды в модуле аналитики) | Да (PT Knowledge Base и сторонние) |
Импорт IOC | Да | Да | Да | Да | Да | Нет | Да |
Другие интеграции и виды коннекторов | Возможности интеграции с любыми plain-text источниками данных, ODBC/JDBC БД, работа с API, функции Velocity Templates и Java, любые скрипты на уровне ОС | Через магазин приложений (IBM App Exchange) | На базе McAfee SIEM Collector — забор данных из файлов, баз данных | Через плагины | REST API, SDK, SplunkJS, ODBC и др. | Через file, syslog, API | Через API |
Наличие и вид API | WebAPI | REST API | REST API | REST API | REST API с полным набором возможных в системе операций | REST API c аутентификацией и проверкой прав | REST API |
Импорт/экспорт данных с другой инсталляции системы | Да | Да | Да | Да | Да | Да | Да (через скрипты) |
Техническая поддержка и обновления
Критерии оценки/Вендор | Micro Focus (HP) ArcSight | IBM Qradar | McAfee ESM | RSA NetWitness | Splunk | RuSIEM | MaxPatrol SIEM |
Язык поддержки | Русский, английский | Русский, английский | Английский | Английский, за отдельную плату русский | Английский | Русский, английский | Русский |
Поддержка по email | Да | Да | Да | Да | Да | Да | Да |
Поддержка по телефону | Да | Да | Да | Да | Да | Да | Да |
Период обслуживания | 24x7 | 24х7 | Зависит от типа SLA: 8х5 или 24х7 | 24х7 | Зависит от типа SLA: 8x5 или 24х7 | Зависит от типа SLA: 8х5 или 24х7 | Зависит от типа SLA: 8x5 или 24х7 |
Время реагирования на инцидент | Зависит от договора поддержки (SLA) | Зависит от договора поддержки (SLA) | Зависит от договора поддержки | Зависит от SLA | Зависит от типа SLA и приоритета | Зависит от типа SLA и приоритета | От 2 часов при стандартной поддержке 8x5, более быстро — в соответствии с SLA |
Время решения инцидента | Зависит от сложности инцидента | Зависит от сложности и критичности инцидента | Зависит от сложности инцидента | Зависит от сложности и критичности инцидента | Зависит от типа SLA и приоритета | Зависит от типа SLA, приоритета и сложности инцидента | В зависимости от приоритета и сложности инцидента |
Возможность выезда к клиенту для решения инцидента | Да | Да | Да | Да | Да, в рамках приобретенных часов профессионального сервиса (PS) | Да | Да |
Наличие доступной технической документации на сайте или по запросу | Вся документация в свободном доступе на портале сообщества. | Присутствует, размещена на сайте | Присутствует, размещена на сайте | Присутствует, размещена на сайте | Полная и актуальная документация на сайте | Присутствует, размещена на сайте | На портале технической поддержки, поставляется с продуктом |
Обновление предустановленных компонентов (дашборды, отчеты, правила корреляции) | С различной периодичностью | С различной периодичностью | Ежедневно или по установленному расписанию | С различной периодичностью | С различной периодичностью | 1-2 раза в неделю и чаще | На партнерском портале может выдаваться по запросу |
Лицензирование
Критерии оценки/Вендор | Micro Focus (HP) ArcSight | IBM Qradar | McAfee ESM | RSA NetWitness | Splunk | RuSIEM | MaxPatrol SIEM |
Метрики лицензирования — модульность | ArcSight Logger — Raw Гб/день; ArcSight ESM — EPS (события в секунду); ArcSight Investigate — Гб/день; ArcSight UBA — по пользователям |
Кол-во событий — EPS. Кол-во flow — FPM. Модули системы. Лицензии на 1 год и более | По EPS Подписка GTI, по серверам |
Объемы хранения логов — Гб/день. Объемы сетевых пакетов — Тб/день. Конечные узлы — кол-во. Лицензии вечные (perpetual) или годовые (subscription) | Лицензирование по объему собираемых данных в день: ГБ/день. Лицензии годовые и бессрочные. Сервера/ресурсы/инсталляции не лицензируются | По модулям, количеству серверов, по EPS | По количеству уникальных активов, по модулям |
Метрики лицензирования — минимальная поставка | ArcSight ESM — 250 EPS + ArcSight Data Platform — 15 Гб/день; ArcSight ESM Express — 250 EPS; Only ArcSight Data Platform — 5 Гб/день | Кол-во событий — 100 EPS. Free version: IBM QRadar Community Edition (50 EPS + 5 000 FPM) | От 1 сервер от 1000 EPS | Логи — 50 Гб/день. Сетевые пакеты — 1 Тб/день | Лицензия Splunk Enterprise на 1 Гб/день + лицензия Splunk Enterprise Security на 1 Гб/день | 1 сервер All-in-one | Иснталляция на одном сервере |
Метрики лицензирования — возможности расширения | +50 EPS/ + 5 Гб/день | Да (горизонтальные и вертикальные) | Лицензии на EPS | Да (горизонтальные и вертикальные) | Расширение лицензий на требуемый объем данных | Лицензии на EPS, модули, новые ноды | Расширять базовую лицензию на активы, приобрести дополнительные компоненты |
Прайс-лист — открытый/закрытый | Закрытый | Закрытый | Закрытый | Закрытый | Закрытый | Закрытый | Закрытый |
Варианты поставки — on-premise (software, vmappl, appl), SaaS | On-premise (software, appliance), cloud (Azure, AWS) | Software, hardware appliance, SaaS | vmappl, hardware appliance | Software, hardware appliance, SaaS | Software, SaaS | Software, hardware appliance, SaaS. | Software, hardware appliance |
Отсутствие оплаты поддержки — нет обновлений/нет права использовать решение (при оплате не передаются неисключительные права на ПО) | Без вендороской поддержки — нет обновлений/тип лицензии — бессрочный | Нет обновлений, нет возможнсоти обращаться в техподдержку | Нет возможнсоти обращаться в техподдержку | Нет обновлений, нет возможнсоти обращаться в техподдержку, информационное сообщение в интерфейсе | Обязательное приобритение поддержки на 1 год, после — нет возможности обращаться в техподдержку без оплаты | Отсутствие оплаты для коммерческой версии — нет обновлений | Все лицензии срочные |
Необходимые лицензии на стороннее ПО | Нет | Нет | Нет | Нет | Нет | Нет | Microsoft Windows |
Схема продаж (партнерская/прямая/смешанная) | Партнерская | Партнерская (в исключительных случаях прямая) | Партнерская | Партнерская (в исключительных случаях прямая) | Партнерская | Cмешанная | Партнерская |
Дополнительные параметры (оценочные)
Критерии оценки/Вендор | Micro Focus (HP) ArcSight | IBM Qradar | McAfee ESM | RSA NetWitness | Splunk | RuSIEM | MaxPatrol SIEM |
Время разработки решения (срок существования) | 18 лет | 15лет (в основе QRadar от Q1 Labs) | 12 лет (NitroSecurity SIEM) | 12 лет (в основе enVision от Network Intelligence) | 15 лет | 4 года | 3+ года |
Наличие дорожной карты развития продукта | Да (конфиденциальные данные) | Да (под NDA) | Да (под NDA) | Да (конфиденциальные данные) | Публично — нет. Ключевые годовые проекты объявляются для партнеров и сотрудников Splunk на ежегодном мероприятии | Да (под NDA). По мере необходимости и приоритетов заказчиков | Да (под NDA) |
Количество стратегических партнеров/интегрируемых решений | SOC Prime; Elastic, и т.д. | 22 в рамках IBM Security Intelligence Alliance, 10+ в рамках IBM Security App Exchange, отдельно Cisco and IBM Security | 33 партнера, подробно по ссылке | 187 в рамках RSA Ready program | 68 в рамках Splunk Technology Partners | 14 в России, 8 в мире | 29+ партнеров, запланирована инетеграция с 15 в 2018-м году |
Выводы
В приведенном сравнении SIEM-систем мы не делали их итогового ранжирования, надеясь, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какой из рассмотренных продуктов наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к функциональным возможностям SIEM-систем, а значит, сможет сделать из сравнения правильный именно для него вывод.
В дальнейшем мы планируем опубликовать памятку по импортозамещению, обзоры отдельных продуктов и ряд аналитических статей о практике использования современных SIEM-систем. Также можете ознакомиться с методикой выбора оптимального средства защиты информации.
Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:
- Александр Кузнецов, руководитель направления ИБ, НТЦ «Вулкан»
- Виктор Гордеев, начальник отдела систем мониторинга, «Информзащита»
- Глеб Суходольский, эксперт отдела систем мониторинга, «Информзащита»
- Юрий Дробышевский, инженер внедрения решений ИБ, компания SVIT IT
- Андрей Скрипкин, эксперт по информационной безопасности
- Сергей Кохан, ведущий специалист по внедрению систем ИБ, компания SVIT IT
- Вячеслав Тупиков, ведущий архитектор решений направления SOC, Micro Focus Security в России
- Артем Медведев, руководитель направления, Micro Focus Security в России
- Игорь Бажин, коммерческий представитель, Micro Focus Security в России
- Роман Андреев, ведущий консультант, Security Intelligence & IRP & Threat, IBM RCIS
- Эльман Бейбутов, менеджер по продажам решений безопасности, IBM RCIS
- Алексей Матвеев, руководитель группы инженеров, RRC Россия
- Тимур Багиров, менеджер по продуктам Splunk, RRC Россия
- Сергей Андросов, эксперт по продуктам Splunk, RRC Россия
- Иван Силкин, технический специалист, «Волга-Блоб»
- Олеся Шелестова, генеральный директор, «РУСИЕМ»
- Владимир Бенгин, эксперт, Positive Technologies
- Андрей Войтенко, эксперт, Positive Technologies
- Дмитрий Новиков, технический директор, компания «Инфозащита»