2015_лекции / Лекция № 11_SIEM_2015

Существующие SIEM-системы

Enterprise Security Manager (ArcSight) для крупномасштабных организаций

ArcSight Express — на организации среднего размера с предопределенными процедурами мониторинга и отчетности.

ArcSight Logger осуществляет сбор данных как в структурированных, так и в неструктурированных форматах.

Сбор данных осуществляется с помощью интерфейса, который поддерживает более 275 продуктов от 100 производителей.

Входная информация для данных систем представляется в специально разработанном едином формате CEF (Common Event Format) [12].

Существующие SIEM-системы

QRadar (Q1 Labs)

управление записями журналов и событиями,

отчетность

поведенческий анализ.

Продукты семейства QRadar [14] могут быть установлены как решения «все в одном» для небольших организаций или могут быть внедрены в больших организациях с использованием специализированного коллектора событий, модуля обработки событий и консоли.

Характеризуется эффективной реализацией сбора и обработки потоков сетевых данных для обеспечения анализа поведения сети и приложений.

Существующие SIEM-системы

Tivoli Security Information and Event Manager (TSIEM)

компания IBM

аудит событий безопасности на соответствие внутренним политикам и различным международным стандартам,

обработка инцидентов, связанных с информационной безопасностью,

обнаружение атак и других угроз для элементов инфраструктуры.

Запатентованная методика W7 :

(Who, did What, When, Where, Where from, Where to and on What)