Влажные мечты
Позволяет получать данные из любых источников и определять как инцидент все что угодно. Из коробки интегрируется с кучей решений без танцев с бубнами (любая из известных СОВ, WEC, САЗ, МСэ, IPS, PAM, DLP, всевозможные rsyslog’и, SNMP и т.д.).
Позволяет крайне гибко настраивать правила, вплоть до уровня «не определять инцидентом нарушителей с заданным IP», интегрируется из коробки с решениями IRP, теми же r-vision.
Отличная модульная система, где куча агентов коннектится к одному ядру, а базы хранятся отдельно.
У меня на работе PDFка по сравнению нескольких SIEM решений, включая IBM, HP, McAfee, EMC и даже RuSIEM. Пилотировали во время ковида на инфраструктуре: 2500 АРМ, 200 серверов, из которых 30 примерно физических, 14 кластеров межсетевых экранов, столько же географически распределенных площадок, 4 виртуальных фермы.
Какое решение вам больше нравится и почему? У нас лицуха заканчивается в конце 2024, есть вариант сменить, стоимость не имеет значения.
P.s. В АСУ ТП не пилотировали, там работаем в связке SIEM+ISIM.
Позволяет крайне гибко настраивать правила, вплоть до уровня «не определять инцидентом нарушителей с заданным IP», интегрируется из коробки с решениями IRP, теми же r-vision.
Отличная модульная система, где куча агентов коннектится к одному ядру, а базы хранятся отдельно.
У меня на работе PDFка по сравнению нескольких SIEM решений, включая IBM, HP, McAfee, EMC и даже RuSIEM. Пилотировали во время ковида на инфраструктуре: 2500 АРМ, 200 серверов, из которых 30 примерно физических, 14 кластеров межсетевых экранов, столько же географически распределенных площадок, 4 виртуальных фермы.
Какое решение вам больше нравится и почему? У нас лицуха заканчивается в конце 2024, есть вариант сменить, стоимость не имеет значения.
P.s. В АСУ ТП не пилотировали, там работаем в связке SIEM+ISIM.
раскрыть ветку (1)
ну видимо мы его не поняли
из отмеченных минусов - дикая прожорливость, сожрал всё выданное по спецификации ещё на трети подключённых источников, пришлось подключать выборочно
завели логи с микротиков на него - при первой же неполадке инженер два часа сидел кликал на каждое событие, чтобы посмотреть, что произошло
вместо привычной портянки логов
из плюсов - лёгкость подключения, действительно заводятся источники быстро и без особого гемора
сейчас ИБ договариваются на новый пилот, что выберут пока не знаю
показать ответы
Кроме того, те же Позитивы и Касперский делают нормальные продукты, как и Инфовотчи. Реально SIEM позитивовский очень даже хорош. Как и отечественные PAM решения.
С рынком ПО у нас все хорошо в стране. С аппараткой жопа.
С рынком ПО у нас все хорошо в стране. С аппараткой жопа.
раскрыть ветку (1)