したがって、Nバンクに実装するときに最初に遭遇したSIEMはArkSiteです。
それはかなり昔のことで、5-6年前のことです。はい、すでに更新されていること、いくつかのパンが追加されていることなどを理解しています。ただし、すべてのソリューションも進化していることに注意してください。
だから私たちが好きなものと嫌いなもの。
気に入りました。
- デバイスの優れたコレクター
- 多くのソースからイベントを収集し、すぐにログを適切に解析することができます
- かなり機能的なコンソール
- カスタムルールを作成するためのシンプルなプログラミング言語
- アドオンのあるお店があります
これはおそらく私が気に入ったすべてであり、システムは時計のように機能しますが、分析にはこのツールに簡単に理解することを期待しないため、それに没頭する必要があります。トレーニングが必要です。優れた有能なSOCのレベルシステム。
好きじゃなかった。
- 最初に少量のEPSを使用した場合、30日後、システムは使用できる量を超えて使用できなくなり、相関関係は機能しなくなります。
- インターフェースは率直に言ってまあまあです、別のコントロールコンソールも質問を提起します
- Webインターフェースは通常、ダッシュボードと構成の間の平均です
- – , . – .
- java,
- = ))) ,
- , .
私は経験から純粋に個人的な意見を述べているので、トマトを投げすぎないようにお願いします。
次の患者はIBMQRadarです。
お互いをよく知る時間がなかったので、私が見たものについて説明します。装甲列車を想像してみてください。すべてが順調に進んでいます。しかし、2番目の装甲列車を同じレールに置くと、両方の装甲列車が落下します。これはシステムでも同じです。何らかの理由で、多数の人が同じリクエストで作業すると、すべてが失敗します。誰かが私たち全員がrukazhopyであり、何をする方法も知らないと叫ぶかもしれませんが、事実は残っています。同時に、それはどこにも警告せず、書き込みもしません。
ブームだけでそれだけです。そして、すべてが上がるまで長い間待つ必要があります。ちなみに、この装甲列車はどれだけの燃料を食べますか(リソースを読んでください)。そして、あなたがこの燃料をいくら加えても、すべてが彼にとって十分ではありません。そして、それは速くは進みません。なぜそうなのかまだ疑問に思っているので、誰ができるかを書いてください。
Sooooooでは、次のシステムであるMcAfeeESMに進みます。
私は幸運にも彼女をいじくり回すことができたので、好きなことと嫌いなことを共有することができます。Siemka自体は、すべてを1つにまとめるか、パーツとして使用します。各モジュールは個別に使用します。
気に入りました。
- すぐに使えるダッシュボードとルール
- コレクターのセットアップが簡単
- 箱から出してすぐに使用できる相関と集計
- タンバリンで踊らずに脆弱性スキャナーを接続する
- EPSを超えてもオフになりません
- 簡単なインストール(たとえばArkとは異なり)
- Elasticにより非常に迅速に動作します
好きじゃなかった。
- 別のストレージへの接続は率直に言って実装されています
- 彼はいつもコレクターの何が悪いのかを書いているわけではありません、私たちはマニュアルを吸います
- ウィンマシンの下のコレクターは、すべてが正常であると言いますが、そうである場合は、SIEM自体をチェックインする必要があります。
- MISPなどの一部のソースを接続する場合、トラブルシューティングパネルがないため、別の場所を探す必要があります。
- 奇妙なことに、個々のモジュールが脱落して復元されます。
- 彼は問題について話します-しかし、あなたは設定を調べる必要があります、彼はすぐにアラートに問題を書きません。
そのため、システムは非常にシンプルで、ベンダーが提供する独自のバージョンのLinuxで作成されているため、Linuxの管理に馴染みのある、柔軟で便利な一連のコマンドがあります。管理者が必要とする便利な方法を制限しません。分析の場合、データも多く、より便利に表示されます。
これが私が何とか見たものと私の印象が何であったかについての簡単な概要です。どのシステムについてもっと知りたいのなら、書いてください。記事をもっと面白くて技術的なものにしようと思います。
お時間を割いていただき、誠にありがとうございます。価格/品質の基準に従って、今何が良くなっているのか、あなたの意見を知ることは非常に興味深いですか?