Пояснительная записка. Никифоров В.Н., 24Б. (1205536), страница 5
Текст из файла (страница 5)
– Сканер ВС
Для оценки степени выполнения критериев сравнения, ввели следующие оценки:
0 – критерий не выполняется;
1 – критерий выполняется частично;
2 – критерий полностью выполняется.
Далее разбираем каждый блок критериев. Результаты тестирования по блоку «Поддержка источников событий» представлен в таблице 2.1
Таблица 2.1 – Поддержка источников событий
| IBM | PT Max | HP | Сканер ВС | |||
| Критерий | Параметры | Приоритет (вес) | Оценки | |||
| Поддержка источников событий | Количество поддерживаемых источников событий | 4 | 2 | 1 | 2 | 1 |
| Качество парсинга (анализатор) событий | 5 | 1 | 1 | 2 | 1 | |
| Частота обновлений коннекторов парсеров | 5 | 2 | 2 | 2 | 0 | |
| Возможность автообновления парсеров | 5 | 2 | 1 | 0 | 1 | |
| Подключения нестандартных источников | 4 | 2 | 2 | 2 | 0 | |
| Автообноружение источников событий | 5 | 2 | 2 | 2 | 1 | |
IBM QRadar. Платформой поддерживается более 300 стандартных источников событий. Полноценная категоризация определена для большей части основных событий аудита, но довольно часто встречаются и события без категории. Качество парсинга обусловлено и используемой схемой хранения событий, включающей небольшое количество наиболее критичных полей. Обновления коннекторов/парсеров событий выпускаются вендором по мере выхода исправлений и дополнений. Присутствует автообновление парсеров событий. Для подключения нестандартных источников могут применяться часто используемые транспорты. Разработка собственных парсеров происходит по большей части в основном интерфейсе продукта, для описания событий используется regex.
PT MaxPatrol SIEM. Количество поддерживаемых источников постоянно растет. Известные поддерживаемые источники – Syslog, Windows Event Log, Windows File log, Windows WMI log, NetFlow, ODBC Log, Checkpoint LEA, SNMP Traps, SSH File Log, Telnet File Log. Max Patrol SIEM – новый продукт на рынке SIEM, он не дотягивает до гигантов индустрии по количеству поддерживаемых систем, но очень динамично развивается. Российские корни вендора могут дать продукту поддержку отечественных источников событий, отсутствующих во всех его западных конкурентах. Для разработки правил нормализации используется SDK, собственный язык программирования позволяет гибко нормализовать практически любое событие. Автообнаружение источников событий в системе присутствует, база источников активно пополняется.
HP ArcSight. Платформой поддерживается более 300 стандартных источников событий. Все события категоризированы, и их имена определены. Помимо этого, коннекторы многих систем включают в себя несколько вариантов парсеров, что позволяет выбрать наиболее подходящий под конкретные цели алгоритм обработки аудита. Обновления коннекторов/парсеров событий выпускаются вендором по мере выхода исправлений и дополнений два или три раза в квартал. Возможность автообновления парсеров событий отсутствует. Вендор заверяет, что это сделано намеренно, поскольку автообновление в производственной среде может привести к изменению корреляционной логики. Механизм разработки коннекторов, реализованный в ArcSight, является одним из самых мощных и гибких. Он позволяет не только разложить событие по определённым полям, но и с помощью множества встроенных функций изменять эти значения, а также реализовывать логические операции, основываясь на значениях, определённых токенов. Коннектор представляет собой текстовый файл определённого формата, для описания событий используется regex. Для разработки также существует несколько графических утилит.
Сканер ВС. Поддерживается очень маленькое количество систем. Более 50 поддерживаемых стандартных источников событий. Большая проблема с опозданием систем по событиям. Нет регулярности в выходе обновлений коннекторов/парсеров. Развивается поддержка автообновление парсеров событий. Отсутствует подключение не стандартных источников. В следующем релизе будет представлена функция автообноружение источников событий.
Результаты тестирования решений по критериям блока «Сбор событий» представлены в таблице 2.2.
Таблица 2.2 – Сбор событий
| IBM | PT Max | HP | Сканер ВС | |||
| Критерий | Параметры | Приоритет (вес) | Оценки | |||
| Сбор событий | Норматизация (перевод записей лог-журналов в единый стандартный вид) | 4 | 1 | 1 | 2 | 1 |
| Агрегация (Объединение одинаковых событий) | 4 | 1 | 1 | 2 | 1 | |
| Фильтрация (запись событий, удовлетворяющих определенным условиям | 5 | 1 | 2 | 2 | 0 | |
| Контроль целостности данных | 3 | 2 | 2 | 2 | 1 | |
| Возможность сбора, хранения работы по raw-событиям | 5 | 2 | 2 | 2 | 0 | |
| Возможность мониторинга сетевого трафика (в том числе до 7-го уровня) | 1 | 2 | 0 | 1 | 0 | |
IBM QRadar. Схема нормализации имеет 19 полей. Встречается много событий, которые плохо нормализуются. Агрегация присутствует, но она не настраиваемая. Также поддерживается фильтрация, но отфильтрованные события учитываются в лицензионном ограничении. Обеспечиваются маскирование данных и мониторинг сетевого трафика вплоть до седьмого уровня модели OSI.
PT MaxPatrol SIEM. Присутствуют механизмы нормализации, агрегации и фильтрации событий. Нормализация производится только для определённых типов событий. Поддерживается возможность сбора, хранения и работы по raw-событиям. Отсутствует маскирование данных при сборе/отображении в консоли. Платформой поддерживается мониторинг сетевого трафика вплоть до седьмого уровня модели OSI при помощи дополнительного модуля MaxPatrol X Network Traffic.
HP ArcSight. Схема нормализации имеет более 200 полей. События хорошо нормализуются. Присутствует возможность гибкой настройки параметров агрегации. Поддерживается маскирование данных. Мониторинг NetFlow до седьмого уровня модели OSI осуществляется путем интеграции HP ArcSight и HP Tipping Point. Включение передачи событий из Tipping Point в ArcSight поддерживается решением по умолчанию и осуществляется одним действием в интерфейсе управления.
Сканер ВС. Агрегация присутствует, есть ограничение по агрегации максимум два значения, по которым можно ее выполнить. Параметры агрегации можно переопределить. Контроль целостности данных находится на стадии разработки.
Результаты тестирования решений по критериям блока «Поиск данных и аналитика» представлены в таблице 2.3.
Таблица 2.3 – Поиск данных и аналитика
| IBM | PT Max | HP | Сканер ВС | |||
| Критерий | Параметры | Приоритет (вес) | Оценки | |||
| Поиск данных и аналитика | Возможности по поиску событий | 4 | 2 | 2 | 2 | 2 |
| Возможность группировки событий | 5 | 2 | 2 | 2 | 1 | |
| Возможности Drilldown по полям | 5 | 1 | 2 | 2 | 0 | |
| Скорость работы интерфейса | 5 | 2 | 2 | 2 | 1 | |
| Возможность применения активного воздействия | 4 | 2 | 0 | 2 | 0 | |
| Использование встроенных средств диагностики компонентов системы | 5 | 2 | 1 | 2 | 1 | |
IBM QRadar. Поддерживаются поиск по событиям и группировка событий. Drilldown по полям осуществляется в несколько действий. Присутствует механизм Google Like Search. Скорость работы интерфейса высока с учетом выполнения аппаратных требований. События аудита работы самой системы являются частью основного потока событий SIEM. Существуют преднастроенные правила, реагирующие на критичные события диагностики внутренних компонентов. Присутствует возможность создания своих правил. Поддерживается возможность выполнения скриптов.
PT MaxPatrol SIEM. Поддерживается поиск по событиям. Присутствует возможность группировки событий, Drilldown по полям и применения активного воздействия. Поддерживается механизм Google Like Search. Скорость работы интерфейса в боевой системе средняя. В качестве средств диагностики компонентов системы используются файлы журналов компонентов. События аудита работы самой системы не попадают в основной поток событий SIEM. Есть возможность активного воздействия средствами самой платформы (сканирование), а также выполнения скриптов.
HP ArcSight. Поддерживаются поиск по событиям и группировка событий. Drilldown по полям осуществляется в несколько действий, есть возможность создания нескольких различных Drilldown для одного Dashboard. Механизм Google Like Search реализован только в web-интерфейсах продукта. Скорость работы интерфейса высока с учетом выполнения аппаратных требований. События аудита работы самой системы являются частью основного потока событий SIEM. Существуют преднастроенные правила, реагирующие на критичные события диагностики внутренних компонентов. Присутствует возможность создания своих правил. Также есть возможность выполнения команд на некоторых продуктах HP (а также некоторых других вендоров), кастомных скриптов (на менеджере или коннекторах).
Сканер ВС. Частое падение скорости работы интерфейса, например, при выборе небольшому промежутку данных, которые были зафиксированы более двух месяцев назад. Присутствует средства диагностики компонентов системы, но зачастую нужно обращаться к вендору.
Результаты тестирования решений по критериям блока «Визуализация и отчетность» представлены в таблице 2.4
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
