Clever Geek Handbook

SIEM was bist du wir haben normal kommuniziert

Hallo! Im Dienst musste ich mich der Tatsache stellen, dass das SIEM-System implementiert werden musste. Ich erzähle nur meine Lebenserfahrung darüber, welche SIEMs ich implementiert habe und plus oder minus, was wir für ihren Preis bekommen. Solch ein Mini-Rezensent von Lösungen, die auf dem Markt sind. Wenn Sie Erfahrung mit diesem oder jenem System haben, frage ich unter dem Schnitt, wir werden dieses Thema gerne diskutieren. Ich denke, für diejenigen, die vor einer Wahl stehen, wird es sehr nützlich sein, zu lesen.



Das erste SIEM, auf das ich bei der Implementierung in der N-Bank gestoßen bin, ist ArkSite.



Es ist ziemlich lange her, vor 5-6 Jahren. Ja, ich verstehe, dass es bereits aktualisiert wurde, einige Brötchen hinzugefügt wurden und so weiter. ABER bitte beachten Sie, dass sich auch alle Lösungen weiterentwickelt haben.



Also was uns gefallen hat und was nicht.



Gefallen.



  1. Gute Sammler an Geräten
  2. Es ist möglich, Ereignisse aus vielen Quellen zu sammeln und Protokolle sofort zu analysieren
  3. Ziemlich funktionale Konsole
  4. Eine einfache Programmiersprache zum Erstellen benutzerdefinierter Regeln
  5. Es gibt ein Geschäft mit Addons


Dies ist wahrscheinlich alles, was mir gefallen hat. Das System funktioniert wie eine Uhr, aber für die Analyse müssen Sie sich darauf einlassen. Eine Schulung ist erforderlich, da Sie kein einfaches Verständnis dieses Tools erwarten. Das Levelsystem eines guten kompetenten SOC.



Mochte es nicht.



  1. Wenn Sie anfangs ein wenig EPS genommen haben, lässt das System Sie nach 30 Tagen nicht mehr als Sie verwenden, die Korrelation funktioniert nicht.
  2. Die Benutzeroberfläche ist ehrlich gesagt mittelmäßig, eine separate Steuerkonsole wirft ebenfalls Fragen auf
  3. Die Weboberfläche ist im Allgemeinen ein Durchschnitt zwischen Dashboards und Konfigurationen
  4. – , . – .
  5. java,
  6. = ))) ,
  7. , .


Ich beschreibe eine rein persönliche Meinung aus Erfahrung, deshalb bitte ich Sie, nicht zu viel Tomaten zu werfen.



Der nächste Patient in der Schlange ist IBM QRadar.



Ich hatte keine Zeit, mich sehr genau kennenzulernen, also beschreibe ich nur, was ich gesehen habe - stellen Sie sich einen gepanzerten Zug vor, auf den Schienen ist alles in Ordnung. Wenn Sie jedoch den zweiten gepanzerten Zug auf die gleichen Schienen setzen, fallen beide gepanzerten Züge. Mit dem System ist es dasselbe - aus irgendeinem Grund fällt alles, wenn eine große Anzahl von Menschen mit denselben Anforderungen arbeitet. Jemand mag schreien, dass wir alle rukazhopy sind und nicht wissen, wie man etwas macht, aber die Tatsache bleibt. Gleichzeitig alarmiert es nirgendwo, schreibt nicht.

Nur boomt und das wars. Und dann müssen Sie lange warten, bis alles aufgeht. Übrigens frisst dieser gepanzerte Zug wie viel Treibstoff (Ressourcen lesen). Und egal wie viel Sie diesen Kraftstoff hinzufügen, alles reicht ihm nicht. Und es geht nicht schneller. Ich frage mich immer noch warum, schreibe, wer weiß, kann.



Soooooo, jetzt gehen wir zum nächsten System - McAfee ESM.



Da ich das Glück hatte, an ihr zu basteln, kann ich mitteilen, was mir gefallen hat und was nicht. Siemka selbst geht entweder alles in einem oder nimmt es für Teile - jedes Modul einzeln.



Gefallen.



  1. Dashboards und Regeln sind sofort einsatzbereit
  2. Einfache Kollektoreinrichtung
  3. Korrelation und Aggregation sofort einsatzbereit
  4. Anschließen von Schwachstellenscannern ohne Tanzen mit einem Tamburin
  5. Schaltet sich nicht aus, wenn EPS überschritten wird
  6. Einfache Installation (im Gegensatz zu Ark zum Beispiel)
  7. Funktioniert aufgrund von Elastic sehr schnell


Mochte es nicht.



  1. Die Verbindung zu einem separaten Speicher wird offen gesagt so lala implementiert
  2. Er schreibt nicht immer, was genau mit dem Sammler los ist, wir rauchen das Handbuch
  3. Der Sammler unter der Win-Maschine sagt, dass alles in Ordnung ist, aber Sie müssen SIEM selbst einchecken, wenn dies der Fall ist.
  4. Wenn Sie einige Quellen wie MISP anschließen, gibt es kein Fenster zur Fehlerbehebung. Sie müssen an einer anderen Stelle suchen.
  5. Auf seltsame Weise fallen einzelne Module ab und werden wiederhergestellt.
  6. Er spricht über das Problem - aber Sie müssen in der Konfiguration nachsehen, er schreibt das Problem nicht sofort in die Warnung.


Das System ist also recht einfach und basiert auf einer eigenen Linux-Version des Herstellers. Es gibt eine Reihe von Befehlen, die für die Verwaltung von Linux bekannt sind, flexibel und bequem. Beschränkt nicht die bequeme Vorgehensweise, die der Administrator benötigt. Für die Analyse gibt es auch viele Daten, die bequemer dargestellt werden.



Hier ist ein kurzer Überblick darüber, was ich gesehen habe und was meine Eindrücke waren. Wenn Sie mehr über welches System erfahren möchten, schreiben Sie, ich werde versuchen, einen Artikel interessanter und technischer zu gestalten.



Vielen Dank für Ihre Zeit und Ihr Lesen. Es ist äußerst interessant zu wissen, was nach dem Kriterium Preis / Qualität jetzt besser ist.


More articles:


All Articles