Пояснительная записка. Никифоров В.Н., 24Б. (1205536), страница 7
Текст из файла (страница 7)
HP ArcSight. Ограничением по количеству обрабатываемых событий в секунду является порог в 1 500 000 (максимальная инсталляция, по информации от вендора). Есть возможность реализации конфигурации High Availability. Осуществляется резервирование всех компонентов системы, вплоть до ядра. Сжатие данных при хранении происходит в соотношении один к десяти. Для хранения событий используются CORR-Engine.
Сканер ВС. Ограничение по количеству обрабатываемых событий в секунду является порог в 10 000 (максимальная инсталляция, по информации от вендора). Возможность увеличения мощности ядра и компонентов системы доступна для виртуальных комплексов. Отсутствует возможность резервирования компонентов системы и реализации отказоустойчивой конфигурации. Хранение событий осуществляется в исходном и нормальном виде. В следующем релизе будет осуществлена сжатия данных. Для хранения событий используется собственная внутренняя база данных. Отсутствует автоматическое резервирования баз данных. Также отсутствует возможность восстановления баз данных после сбоев, но в будущем данную технологию реализуют.
Результаты тестирования по оставшимся блокам приведены в таблице 2.8.
Таблица 2.8 – Результаты тестирования по оставшимся блокам
| IBM | PT Max | HP | Сканер ВС | |||
| Критерий | Параметры | Приоритет (вес) | Оценки | |||
| Мониторинг компонентов системы и внутренний аудит | Доступность ядра системы | 4 | 2 | 2 | 2 | 1 |
| Доступность компонентов сбора событий | 5 | 2 | 2 | 2 | 1 | |
| Доступность источников событий | 5 | 2 | 2 | 2 | 1 | |
| Внутренний аудит системы | 2 | 2 | 1 | 2 | 0 | |
| Удобства использования | Централизованное управление компонентами системы из единой консоли | 3 | 2 | 1 | 2 | 0 |
| Автоматическое обновление набора предустановленных правил и отчетов | 4 | 2 | 0 | 2 | 0 | |
| Качество поддержки производителя | 4 | 2 | 2 | 2 | 0 | |
| Замена вышедших из строя компонентов | 4 | 2 | 1 | 2 | 0 | |
| Наличие сертификатов соответствия ФСТЭК | Наличие сертификатов НДВ 4 | 3 | 0 | 2 | 0 | 2 |
| Дополнительные модули системы | Управление уязвимостями | 5 | 2 | 2 | 0 | 0 |
| Управление рисками | 5 | 2 | 2 | 0 | 0 | |
| Мониторинг действия пользователя | 4 | 1 | 2 | 2 | 0 | |
| Расследование инцидентов | 4 | 2 | 2 | 2 | 1 | |
IBM QRadar. Мониторинг действия пользователя и наличие ФСТЭК не имеет.
PT MaxPatrol. SIEM. Российский вендр сертифицирован ФСТЭК, может управлять уязвимостями и рисками.
HP ArcSight. наличие ФСТЭК не имеет управление рисками в разработке.
Сканер ВС. Российский вендр сертифицирован ФСТЭК, расследование инцидентов ведется активно разработка.
Общие результаты тестирования приведены в таблице 2.9.
Таблица 2.9 – Результаты для транспортной компании
| IBM | PT Max | HP | Сканер ВС | ||
| Название блока | Вес блока | Оценки | |||
| Поддержка источников событий | 5 | 4,4 | 3,7 | 4,2 | 2,2 |
| Сбор событий | 8 | 6,5 | 5,5 | 7,5 | 3,5 |
| Поиск данных и аналитика | 9 | 7,6 | 6,4 | 8,2 | 4,6 |
| Визуализация | 5 | 2,9 | 4,0 | 4,4 | 2,0 |
| Отчетность | 5 | 5,0 | 5,0 | 5,0 | 2,5 |
| Оповещение | 5 | 3,5 | 1,5 | 3,5 | 1,5 |
| Приоритезация | 5 | 3,3 | 1,8 | 5,0 | 1,4 |
| Общие настройки | 3 | 2,1 | 2,2 | 2,6 | 1,1 |
| Предустановленный функционал | 5 | 4,0 | 4,0 | 4,0 | 2,7 |
| Мониторинг компонентов системы и внутренний аудит | 10 | 10 | 9,8 | 10 | 6,8 |
| Масштабируемость | 8 | 7,5 | 7,5 | 7,5 | 5,5 |
| Отказоустойчивость | 5 | 5,0 | 3,5 | 5,0 | 0,0 |
| Хранение | 7 | 4,7 | 3,5 | 4,7 | 2,3 |
| Удобство использования | 10 | 9,0 | 8,5 | 7,5 | 7,5 |
| Наличие сертификатов соответствия ФСТЭК | 10 | 0 | 10 | 0 | 10 |
| Дополнительные модули системы | 5 | 4,0 | 2,5 | 2,8 | 1,9 |
| Итого | 79,5 | 79,4 | 81,9 | 55,5 | |
Вывод
HP ArcSight. Раньше других продуктов появился на рынке SIEM-решений, потому успел завоевать немало поклонников и противников. Продукт HP поддерживает широкий перечень разнообразных источников событий, выполняя нормализацию на очень высоком уровне. Он имеет наиболее широкие возможности тонкой отладки, кастомизации и действительно мощный корреляционный функционал. На ArcSight уже построено множество SOC в крупнейших телекоммуникационных, добывающих и финансовых холдингах. Платой за мощь и гибкость являются сложность первичного изучения продукта, его высокая стоимость и небольшое количество квалифицированных российских специалистов, умеющих работать с решением.
IBM QRadar. Оказался на рынке немного позже и на тот момент явно отставал от ArcSight по корреляционному функционалу, но зато имел гораздо более простой и понятный интерфейс. За это время его корреляционные возможности значительно возросли, но пока не дотягивают до возможностей ArcSight. У продукта появилось много нового, передового функционала, благодаря которому он оказался на лидирующих позициях. QRadar имеет отличные возможности горизонтальной масштабируемости, присутствует функционал анализа сетевых потоков, а также возможность интеграции с множеством дополнительных модулей от IBM. Возможности тонкой отладки и кастомизации ограничены.
PT SIEM. Российские вендоры отлично чувствуют себя на рынке SIEM-решений, и этот продукт имеет все шансы прочно закрепиться на внутреннем рынке благодаря позициям вендора и тенденциям к импортозамещению. Продукт активно развивается, и уже способен конкурировать с крупными игроками на рынке, текущая версия представлена с мощным движком и простым интерфейсом. В ней уже реализована большая часть функционала современных SIEM-решений. Основной продукт вендора – хорошо зарекомендовавший себя MaxPatrol, следовательно, интеграция SIEM-системы с функционалом управления уязвимостями и аудита систем максимальна.
Сканер ВС. Данный вендор, также Российского производства, хорошо развивается на рынке, но возможности и функционал не позволяет ему занять лидирующую позицию среди SIEM-систем. Преимущество, наличие сертификата ФСТЭК, достаточно прост в настройки из-за простого, понятного интерфейса.
Сравнив представленные SIEM-системы их функционал, настройки, интерфейс, стоимость, отказоустойчивость, быстродействие, сертификацию и т.д., можно определить наиболее выгодную и защищаемую для транспортной компании SIEM-систему.
Как показало исследование, актуальным и перспективным оказался MaxPatrol SIEM.
Преимущество заключается в понятном и интуитивном интерфейсе, как программном, так и Web-интерфейс. В управлении уязвимостями и рисками, в быстродействие и отказоустойчивости системы. Развита проактивная защита, позволяющая заблаговременно выявлять и устранять уязвимости, очень важная функция для транспортной компании. Также наличие сертификата ФСЭК, что у мировых лидеров не имеется. Еще одним плюсом является стоимость, она меньше, чем у зарубежных систем. Считаю, что импортозамещение тоже можно назвать плюсом, поскольку уменьшается риск утечки важной информации. Минусы у данной системы незначительны для транспортной компании, но они есть. Одни из критериев не усовершенствование оповещения и приоритезация событий, а именно оценка критичности события по метрикам объектов и выявление аномалий по статическому признаку.
3 Рекомендации по внедрению MaxPatrol SIEM
3.1 Описание транспортного предприятие
Дальневосточная железная дорога, филиал ОАО «РЖД» является основой транспортной системы Дальневосточного региона России. Главная задача своевременное и полное удовлетворение потребностей экономики и населения в перевозках грузов и пассажиров. Территориально дорога делится на регионы обслуживания: Хабаровский, Владивостокский, Комсомольский, Тындинский, Сахалинский. Управление и мониторинг безопасности Дальневосточной железной дороги осуществляется в городе Хабаровск.
Дорога занимает одно из ведущих мест в транспортировке экспортно-импортных грузов, доля которых составляет более 30% от общего объема перевозок экспортных грузов России, и свыше 25% транзитных перевозок грузов других государств. Транспортное положение Дальневосточного региона с наличием прямого железнодорожного выхода к крупным морским портам Тихоокеанского побережья – Ванино, Находка, Находка-Восточный, Владивосток, Посьет, а также к сухопутным пограничным переходам – Гродеково-Суйфуньхэ, Хасан-Туманган, что создает благоприятные условия для внутренних и внешних перевозок. Крупнейшая на востоке России узловая сортировочная железнодорожная станция Хабаровск-два получила мощное развитие – здесь построены новые корпуса локомотивного и вагонного депо, оснащенные современным оборудованием.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
