Narzędzia SIEM (Security Information and Event Management)

Kolejnym problemem baz danych jest ich rozmiar. Jeszcze kilka lat temu pakowanie terabajtów danych do pojedynczego urządzenia było poważnym wyzwaniem, ale zwiększenie zdolności przetwarzania i mniejszy koszt pamięci, a także ruchy w kierunku optymalizacji baz danych spowodowały, że pamięć terabajtową coraz częściej można spotkać w świecie SIEM. Jednak im większa objętość danych, tym dłuższy czas kwerend.

W uzupełnieniu przechowywania znormalizowanych zdarzeń w bazie danych zaplecza, większość produktów oferuje także opcję przechowywania kopii niezmodyfikowanych pozycji logów.

Prawie wszystkie narzędzia miały jakiś rodzaj silnika raportów i analiz - od bardzo podstawowych raportów po dostosowywany silnik raportów w produkcie Q1 Labs, będący najbardziej unikatowym mechanizmem wśród testowanych, zwłaszcza w integracji z narzędziem Splunk TriGeo do agregacji logów i narzędziem analizy Business Intelligence - QlikView.

Oprócz silnika raportów, krytycznym elementem jest też komponent analizy w czasie rzeczywistym i monitorowania.

Przy analizie i monitorowaniu podczas testów skupiano się na metodach redukcji zdarzeń i użyteczności interfejsu użytkownika w przedstawianiu przefiltrowanych danych. Redukcja zdarzeń jest tym, co większość dostawców SIEM uważa za podstawową wartość ich propozycji. Każdy, kto próbował analizować scentralizowane logi zdarzeń wie, że to zadanie jest niemożliwe do zrealizowania bez zastosowania pewnej technologii, która pomaga w oddzielaniu "ziarna od plew".

Nawet przy częstotliwości kilku zdarzeń na sekundę, co jest wartością niską jak na standard przedsiębiorstwa, trzeba liczyć się z liczbą zdarzeń przekraczającą nawet kilkaset tysięcy w ciągu doby. A przecież podstawową funkcją SIEM jest przyjrzenie się tym danym i zapewnienie odpowiedzi na najprostsze pytanie: czy w zapisach zdarzeń jest kilka interesujących rzeczy, które wymagają bliższego przyjrzenia się im?

Wszystkie narzędzia zawierają jakiś silnik korelacji, o różnej złożoności, pozwalający na podstawowe porównanie: jeżeli silnik widzi A, a także B lub C, to powinien przejść do X - w przeciwnym razie ma zapamiętać zdarzenie i przejść do następnego. Oczekiwać można by czegoś bardziej kreatywnego, jak np. filtry Bayesa, ale obecnie redukcja zdarzeń oparta na korelacji jest de facto standardem.

QRadar Q1 Labs

Narzędzia SIEM (Security Information and Event Management)

QRadar

QRadar firmy Q1 Labs jest dość dopracowaną platformą SIEM, która spełniała większość wymogów stawianych podczas testów. Po pierwsze oferuje ona największy zakres funkcjonalnej elastyczności, po drugie zapewnia najbardziej efektywny zestaw reguł korelacji wprost z pudełka.

Q1 Labs dostarczyła do testów produkt QRadar w postaci urządzenia, opartego na procesorze Intel, w którym pracują: firmowe aplikacje, własna baza danych i Linux jako platforma operacyjna. Interfejs użytkownika opiera się na HTTP/HTML i działa zarówno na przeglądarce Internet Explorer, jak i Firefox; nie wymaga także instalacji "opasłego" klienta.

Firma Q1 Labs startowała w dziedzinie monitorowania bezpieczeństwa sieci (Network Behavior Anomaly Detection - NBAD) i poszerzyła swoją działalność w kierunku SIEM w ostatnich pięciu latach. Nie porzuciła jednak całkowicie swoich korzeni NBAD i produkt jej nadal zapewnia możliwość odbierania przepływu danych za pośrednictwem Cisco NetFlow i sFlow - protokołów, które zbierają informacje z różnych przełączników sieciowych. Zapewniają one dodatkowy kontekst w analizie zdarzeń.

Silnik raportów QRadar jest dość kompletny i zapewnia spory zestaw predefiniowanych raportów.

Główne uwagi krytyczne dotyczą interfejsu użytkownika, który nie jest zbyt intuicyjny.

QRadar dostarczany jest w kilku różnych modelach: od urządzeń zaprojektowanych do odbioru mniej niż 200 zdarzeń na sekundę, do ponad 5 tys. zdarzeń na sekundę. Zaawansowany silnik korelacji, elastyczny język reguł oraz narzędzia generowania raportów predestynują tę platformę do użytku w przedsiębiorstwach. Przy podstawowej cenie (18 tys. USD) może to być również atrakcyjne rozwiązanie dla małego i średniego biznesu.

Producent: Q1 Labs (http://www.q1labs.com )

Cena: 19 000 USD

Plusy: Produkt dopracowany; dojrzały silnik korelacji

Minusy: Interfejs użytkownika i organizacja mechanizmów trochę niedopracowane

NetIQ Security Manager

Narzędzia SIEM (Security Information and Event Management)

Security Manager

NetIQ Security Manager jest zestawem aplikacji programowych opartych na Microsoft Windows, które zapewniają funkcjonalność uzupełniającą istniejące narzędzia AppManager. NetIQ sprzedaje Security Manager zarówno jako produkt niezależny, jak i komponent AppManager. Testowano wersję niezależną. Produkt NetIQ ma miejscami podstawy dobrej platformy SIEM, ale nadal wymaga ulepszeń w kilku ważnych obszarach.

Security Manager jest wśród testowanych jedynym narzędziem w postaci oprogramowania, co przekłada się na dość skomplikowane wdrożenie. Przede wszystkim na starcie trzeba było zainstalować cztery serwery Windows 2003, dwie instancje SQL Server 2005 (jedna w edycji Enterprise), SQL Server 2005 Analysis Service i SQL Server 2005 Integrated Services. Instalacje te przeprowadzono na dwuprocesorowych, dwurdzeniowych systemach z pamięcią 4 GB, co oznacza konieczność sporych inwestycji sprzętowych. Infrastruktura Microsoftu musiała być uruchomiona przed instalacją oprogramowania NetIQ, co też nie było procesem szybkim. Po instalacji kilkunastu komponentów Security Manager, można było skonfigurować infrastrukturę NetIQ.

Całodzienna instalacja oprogramowania, chociaż uciążliwa, może być tolerowana jeżeli na tym się kończy. Niestety, ponieważ moduły agentów NetIQ nie mogą akceptować zdarzeń z różnych typów urządzeń (takich jak zapory ogniowe Cisco czy sensor Snort IDS) konieczne było wdrożenie nowych agentów dla każdego nowego urządzenia w sieci. Na szczęście producent ma na uwadze ten problem i planuje wydanie bardziej dojrzałego agenta syslog w tym roku.

Po uruchomieniu narzędzie dysponuje podstawowymi elementami platformy SIEM: poziomem korelacji do redukcji zdarzeń, silnikiem raportów i przeglądarką raportów oraz narzędziami analiz. Odmiennie niż pozostałe testowane produkty SIEM, NetIQ wymaga zainstalowania rozbudowanego klienta Windows na monitorowanych urządzeniach.

NetIQ jest w trakcie konsolidacji projektu interfejsu użytkownika, która jest niezbędna, ponieważ niektóre funkcje administracyjne są dostępne z klienta "Development Console", inne z klienta "Security Manager Control Center", a niektóre rezydują na obu. Nie jest to rozwiązanie idealne, ale też nie przeszkadza zbytnio w użytkowaniu.

Najbardziej unikatową częścią Security Manager jest jego przeglądarka dla Forensic Analyst Reports. Zapewnia on typowy, tablicowy ogląd danych o zdarzeniach w sortowalnych kolumnach. Jego wyjątkowość polega na tym, że istnieje możliwość przeciągania krytycznych kolumn do specjalnego obszaru ekranu, gdzie można dynamicznie sortować wyniki, składać podobne pola i tworzyć punkty odniesienia do głębszego schodzenia w dół - po szczegóły. To znacznie ułatwia oglądanie dużych wolumenów danych na jednym ekranie.

Niestety kwerendowanie ad hoc wymaga pewnego namysłu - konieczne jest używanie tego samego mechanizmu raportowania do wyszukiwania indywidualnych pozycji danych, co wymaga ciągłego klikania na wzorcach.

Model cenowy NetIQ zmienia się w zależności od typu urządzenia (dla routera kosztuje 250 USD, dla serwera Windows 800 USD), co stanowi kłopot, gdy trzeba uzupełnić sieć nowymi urządzeniami.

Producent: NetIQ (http://www.netiq.com )

Cena: 850 USD za każde monitorowane urządzenie

Plusy: Użyteczne narzędzia manipulacji na danych; integruje się z narzędziami monitorowania wydajności i dostępności

Minusy: Skomplikowana instalacja; niedojrzały nasłuch logów, słabe funkcje kwerend ad hoc


TOP 200