2015_лекции / Лекция № 11_SIEM_2015
.pdfСуществующие SIEM-системы
Enterprise Security Manager (ArcSight) для крупномасштабных организаций
ArcSight Express — на организации среднего размера с предопределенными процедурами мониторинга и отчетности.
ArcSight Logger осуществляет сбор данных как в структурированных, так и в неструктурированных форматах.
Сбор данных осуществляется с помощью интерфейса, который поддерживает более 275 продуктов от 100 производителей.
Входная информация для данных систем представляется в специально разработанном едином формате CEF (Common Event Format) [12].
Существующие SIEM-системы
QRadar (Q1 Labs)
управление записями журналов и событиями,
отчетность
поведенческий анализ.
Продукты семейства QRadar [14] могут быть установлены как решения «все в одном» для небольших организаций или могут быть внедрены в больших организациях с использованием специализированного коллектора событий, модуля обработки событий и консоли.
Характеризуется эффективной реализацией сбора и обработки потоков сетевых данных для обеспечения анализа поведения сети и приложений.
Существующие SIEM-системы
Tivoli Security Information and Event Manager (TSIEM)
компания IBM
аудит событий безопасности на соответствие внутренним политикам и различным международным стандартам,
обработка инцидентов, связанных с информационной безопасностью,
обнаружение атак и других угроз для элементов инфраструктуры.
Запатентованная методика W7 :
(Who, did What, When, Where, Where from, Where to and on What)