Пояснительная записка. Никифоров В.Н., 24Б. (1205536), страница 6
Текст из файла (страница 6)
Таблица 2.4 – Визуализация и отчетность
| IBM | PT Max | HP | Сканер ВС | |||
| Критерий | Параметры | Приоритет (вес) | Оценки | |||
| Визуализация | Типы графического представления | 5 | 1 | 2 | 2 | 1 |
| Поля графического представления | 5 | 1 | 2 | 2 | 1 | |
| Возможности кастомизации графических панелей | 3 | 1 | 1 | 2 | 0 | |
| Возможность перемещения графических панелей | 3 | 2 | 0 | 2 | 0 | |
| Наличие русского интерфейса | 5 | 0 | 2 | 2 | 2 | |
| Отчетность | Форматы отчетов | 5 | 2 | 2 | 2 | 1 |
| Возможность запуска отчетов за большие промежутки времени | 5 | 2 | 1 | 2 | 0 | |
| Поддержка создания отчетов по заданному расписанию | 5 | 2 | 1 | 2 | 1 | |
| Возможность переименования полей отчетов | 5 | 1 | 1 | 2 | 1 | |
IBM QRadar. По умолчанию доступны 9 типов графического представления. Существуют некоторые ограничения в кастомизации графических панелей. Интерфейс русифицирован. Отчеты могут быть экспортированы в файлы следующих форматов: MS Excel, RTF, PDF, XML, HTML.
PT MaxPatrol SIEM. Доступны гистограммы и графики, а также таблицы и отчеты. Интерфейс русифицирован. Есть встроенные отчеты, формат, поля, промежутки времени, но для их кастомизации необходимо использовать SDK.
HP ArcSight. Доступны более 20 типов графического представления. В качестве полей графического представления используются Data Monitor, Dashboard, Query Viewer. Русифицированный интерфейс решения доступен с февраля 2015 года. Отчеты могут быть экспортированы в следующие форматы: MS Excel, RTF, PDF, CSV, HTML.
Сканер ВС. Доступен Русский интерфейс, отчеты могут быть экспортированы в следующий формат PDF. Отсутствует возможность запуска отчетов за большие промежутки времени.
Результаты тестирования решений по критериям блока «Оповещение и приоритезация» представлены в таблице 2.5
Таблица 2.5 – Оповещение и приоритезация
| IBM | PT Max | HP | Сканер ВС | |||
| Критерий | Параметры | Приоритет (вес) | Оценки | |||
| Оповещение | Возможности по оповещению о возникающих событиях | 5 | 2 | 2 | 2 | 1 |
| Возможность кастомизации параметров оповещения | 2 | 0 | 0 | 2 | 0 | |
| Возможные способы | 4 | 1 | 1 | 2 | 0 | |
| Гибкость настройки | 3 | 2 | 2 | 2 | 1 | |
| Приоритезация | Возможность автоматического определения серьезности выявленного события | 5 | 2 | 2 | 2 | 0 |
| Возможность кастомизации | 2 | 1 | 1 | 2 | 0 | |
| Возможность объединения событий по параметрам инцидента | 4 | 0 | 0 | 2 | 0 | |
IBM QRadar. Применение активного воздействия и реакции на оповещение доступно только для ряда продуктов IBM. При кастомизации параметров оповещения невозможно использовать переменные. Доступны следующие способы оповещения: E-mail, Syslog, Console. Отсутствует кастомизация приоритизации событий.
PT MaxPatrol SIEM. Присутствует применение активного воздействия и реакции на оповещение. Невозможно провести кастомизацию параметров оповещения. В качестве возможных способов оповещения доступен SNMP и SMTP. Высокая гибкость настройки. Отсутствует возможность объединения событий по параметрам инцидента.
HP ArcSight. Доступно применение активного воздействия, реакции на оповещение (нативные процедуры для некоторых продуктов HP, в других продуктах это возможно посредством выполнения скриптов) и кастомизации параметров оповещения. Возможные способы оповещения: E-mail, SMS, консоль, выполнение команд в ОС хоста менеджера или коннектора. Есть возможность кастомизации и приоритизации событий.
Сканер ВС. Способы оповещения доступен только SMTP. Невозможно провести кастомизацию параметров оповещения. Отсутствует применение активного воздействия и реакции на оповещение. Низкая гибкость настройки.
Результаты тестирования решений по критериям блока «Общие настройки и предустановленный функционал» представлены в таблице 2.6
Таблица 2.6 – Общие настройки и предустановленный функционал
| IBM | PT Max | HP | Сканер ВС | |||
| Критерий | Параметры | Приоритет (вес) | Оценки | |||
| Общие настройки | Поддержка интеграции с LDAP, AD для обеспечения аутентификации | 2 | 2 | 1 | 2 | 0 |
| Наличие Workflow и функций системы управления инцидентами | 2 | 1 | 1 | 2 | 1 | |
| Возможности по разграничению доступа | 3 | 2 | 2 | 2 | 0 | |
| Возможность настройки парольной политики | 3 | 1 | 0 | 2 | 0 | |
| Защита канала при взаимодействии компонентов системы | 5 | 2 | 2 | 2 | 0 | |
| Предустановленный функционал | Наличие предустановленных правил корреляции | 3 | 2 | 1 | 2 | 1 |
| Наличие предустановленных графических панелей (Dashboards) | 3 | 2 | 1 | 2 | 1 | |
| Наличие предустановленных отчетов | 3 | 2 | 2 | 2 | 1 | |
IBM QRadar. Поддерживается аутентификация пользователей в различных LDAP. Возможность настройки парольной политики, существует встроенный функционал Workflow. Поддерживается интеграция со сторонними Workflow-системами (ограниченная по поддерживаемым операциям). Встроено большое количество предустановленных корреляционных ресурсов, отчётов и графических панелей. Защита канала при взаимодействии компонентов системы присутствует.
PT MaxPatrol SIEM. Отсутствует интеграция с LDAP и AD для обеспечения аутентификации, но данный функционал вендор обещает реализовать в 12-м релизе своей платформы. Для разграничения доступа между пользователями доступна ролевая модель. Присутствуют встроенные корреляционные правила, графические панели и отчёты. Реализован базовый функционал управления инцидентами.
HP ArcSight. Поддерживается аутентификация пользователей в различных LDAP. Реализован встроенный функционал Workflow с гибкими возможностями кастомизации. Поддерживается интеграция со сторонними Workflow-системами. Встроено большое количество предустановленных корреляционных ресурсов, отчётов и графических панелей.
Сканер ВС. Отсутствует поддержка интеграции с LDAP, AD для обеспечения аутентификации. Наличие Workflow и функций системы управления инцидентами ведется разработка, будет представлена в следующем релизе. Возможности по разграничению доступа отсутвует. Возможность настройки парольной политики отсутствует. Защита канала при взаимодействии компонентов системы отсутствует. Наличие предустановленных графических панелей (Dashboards) отсутствует. Наличие предустановленных отчетов ведется разработка в данном направлении, будет представлена в следующем релизе.
Результаты тестирования решений по критериям блока «Масштабирование, отказоустойчивость и хранение» представлены в таблице 2.7
Таблица 2.7 – Масштабирование, отказоустойчивость и хранение
| IBM | PT Max | HP | Сканер ВС | |||
| Критерий | Параметры | Приоритет (вес) | Оценки | |||
| Масштабируемость | Ограничения по количеству обрабатываемых событий в секунду | 2 | 2 | 1 | 2 | 1 |
| Возможность распределения задач сбора и обработки событий по компонентам системы | 4 | 2 | 2 | 2 | 1 | |
| Возможность установки компонентов в различных форм-факторах | 3 | 2 | 2 | 2 | 1 | |
| Возможность увеличения мощности ядра системы | 4 | 2 | 2 | 2 | 1 | |
| Возможность увеличения мощности компонентов сбора событий | 3 | 2 | 2 | 2 | 0 | |
| Возможность развития системы за счет добавления дополнительных компонентов | 3 | 2 | 2 | 2 | 0 | |
| Отказоустойчивость | Возможности по резервированию ядра системы | 3 | 2 | 0 | 2 | 0 |
| Возможности по резервированию компонентов сбора событий | 4 | 2 | 0 | 2 | 0 | |
| Обеспечение непрерывности сбора событий | 4 | 2 | 2 | 2 | 0 | |
| Автоматическое резервирование конфигурации системы | 4 | 2 | 1 | 2 | 0 | |
| Возможность восстановления конфигурации после сбоев | 4 | 2 | 1 | 2 | 0 | |
| Автоматическое резервирование базы данных | 5 | 2 | 2 | 2 | 0 | |
| Возможность восстановления базы данных после сбоев | 5 | 2 | 2 | 2 | 0 | |
| Хранение | Эффективность хранения (сжатие данных) | 3 | 2 | 1 | 2 | 1 |
| Возможность подключения внешних массивов для хранения архивных данных | 2 | 2 | 1 | 2 | 0 | |
IBM QRadar. Ограничением по количеству обрабатываемых событий в секунду является порог в 1 200 000 (максимальная инсталляция, по информации от вендора). Есть возможность реализации конфигурации High Availability. Осуществляется резервирование всех компонентов системы, вплоть до ядра. Сжатие данных при хранении происходит в соотношении один к десяти. Для хранения событий используются Ariel.
PT MaxPatrol SIEM. Ограничением по количеству обрабатываемых событий в секунду является порог в 30 000 (максимальная инсталляция, по информации от вендора). Отсутствует возможность резервирования компонентов системы и реализации отказоустойчивой конфигурации. Хранение событий осуществляется в исходном и нормализованном виде. Осуществляется сжатие данных до 30%. Для хранения событий используется MongoDB или MS SQL. Существует возможность интеграции с внешними массивами для хранения архивных данных.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
