Check Point Eventia

Eventia jest oferowana - jak większość tego typu rozwiązań - w postaci pełnego urządzenia bądź w formie "miękkiej" - CD z oprogramowaniem, które instaluje się z systemem operacyjnym opartym na Linuksie (zmodyfikowanym przez Check Point) i aplikacją Event. Producent dostarczył do testów produkt w postaci urządzenia.

Eventia, podobnie jak NetIQ Security Manager, zawiera podstawowe komponenty SIEM, ale odstaje nieco w zakresie niektórych istotnych mechanizmów, takich jak zaawansowane raporty, szersze wsparcie dla urządzeń innych niż Check Point, a także ogólnie - redukcji zdarzeń.

Jednak w przeciwieństwie do Security Manager, wdrożenie rozwiązania zajęło mniej niż dzień. Do administrowania Eventia wymaga zainstalowania pewnej liczby klientów na platformie Windows (Smart Dashboard, SmartView Tracker i Eventia Analyzer).

Eventia zawiera silny zestaw predefiniowanych reguł korelacji i łatwo można zajrzeć w logikę reguły, aby zobaczyć, co ona zapewnia. Firma dostarcza też narzędzia do budowy dostosowanych procedur obsługi zdarzeń (tzw. handlerów), pomocnych w przypadku urządzeń, które nie są aktualnie obsługiwane przez Eventia, lub w budowaniu specjalistycznych aplikacji.

W kilku elementach rozwiązanie wymaga jednak dopracowania. Dla początkujących system raportowania jest naprawdę ograniczony i zawiera tylko kilka domyślnych pozycji dla urządzeń niepochodzących z Check Point. Nie zawiera też możliwości oceny lub grupowania zasobów, co jest zazwyczaj jedną z podstawowych cech produktów SIEM. Funkcje pulpitu nie są tak wyczerpujące jak Q1 Labs, a redukcja zdarzeń wymaga dopracowania.

Biorąc pod uwagę te niedostatki, trzeba uznać, że Eventia jest jedynie częściowo konkurencyjna na rynku komercyjnych produktów SIEM, choć może być logicznym wyborem dla organizacji już eksploatujących produkty Check Point.

Producent: Check Point Software (http://www.checkpoint.com )

Cena: 16 000 USD

Plusy: Naturalny dodatek dla użytkowników rozwiązań Check Point; zapewnia istotne mechanizmy

Minusy: Nie obsługuje takiej liczby urządzeń, jak pozostałe produkty; brak mechanizmu grupowania

TriGeo SIM

Platforma TriGeo SIM jest zbiorem technologii, które historycznie były ukierunkowane na mniejsze organizacje, a nie na duże przedsiębiorstwa, i producent kontynuuje ten kierunek. Jednakże niektóre nowe dodatki wprowadziły znacznie większą funkcjonalność do tego narzędzia, czyniąc go porównywalnym z wieloma produktami SIEM klasy "enterprise".

Rozwiązanie jest dostarczane w zestawie trzech urządzeń (appliance): główna platforma SIM i dwa systemy wspierające z dodatkami InSight i InDepth, oferującymi odpowiednio Business Intelligence i analizę składniową danych. Główna platforma TriGeo pracuje na Windows (Intel), a dwa urządzenia wspomagające - na platformie Linux (Intel). Interfejs użytkownika jest apletem Javy, który może być zainstalowany na systemie desktopa. Aczkolwiek podczas testów wykorzystywano go z appliance TriGeo Windows.

Na pierwszy rzut oka TriGeo SIM wydaje się podstawową platformą SIEM: może odbierać zdarzenia z wielu źródeł, zawiera podstawowy silnik korelacji, zapewnia alarmy i ogląd surowych zdarzeń w czasie zbliżonym do rzeczywistego. Silnik korelacji nie jest tak wyposażony jak w Q1 Labs, a lista obsługiwanych urządzeń nie jest tak obszerna, jak w innych testowanych platformach.

Dodatek InSight pobiera dane otrzymane z TriGeo SIM i tworzy nakładkę narzędzia BI. InDepth jest natomiast dołączaną wersją narzędzia analizy składniowej logu Splunk, zapewniającego jedne z najlepszych na rynku możliwości wyszukiwania ad hoc. Splunk jest czymś w rodzaju Google dla plików logów. InDepth nie zapewnia funkcjonalności niezbędnej do pełnego monitorowania zdarzeń, ale połączenie z TriGeo SIM podnosi jego wartość użytkową.

TriGeo SIM zawiera kilka cennych mechanizmów dla mniejszych organizacji. Jednym z nich jest możliwość włączania wersji open source sieciowego IDS Snort, który może być uruchomiony na głównym urządzeniu. Inną unikatową cechą jest Windows Agent z USB Defender - mechanizmem monitorującym, wykrywającym i blokującym działania związane z USB.

Narzędzie ma też pewne niedostatki. Bez dodatków InSight i InDepth, raportowanie i mechanizm kwerend ad hoc prawie nie istnieją. Dla małych organizacji może to nie być problemem, ale w przypadku większych - przy braku InDepth raczej nie warto rozpatrywać jego zastosowania.

TriGeo dobrze prosperuje w środowisku małych i średnich firm, ponieważ zapewnia dobre podstawy do monitorowania zdarzeń i funkcjonalne narzędzie SIEM za przystępną cenę.

Producent: TriGeo Network Security (http://www.trigeo.com )

Cena: 19 000 USD

Plusy: Łatwy w użyciu, zawiera dodatkowe funkcje, takie jak wbudowany IDS; dobry dla małych firm

Minusy: Drogi, kiedy dodaje się do niego dodatkowe funkcje

eIQ Networks SecureVue

SecureVue firmy eIQ Networks jest rozwiązaniem wielofunkcyjnym, które oferuje funkcjonalność SIEM jako jeden z wielu komponentów.

Producent zastosował nowe, nieco inne podejście do zbierania danych: nie tylko o tradycyjnych zdarzeniach w urządzeniach i informacje o słabych punktach, ale także dane o konfiguracji i wydajności. SecureVue ma jedną z najdłuższych list obsługiwanych urządzeń i zapewnia trójwymiarową prezentację zdarzeń. Niestety, interfejs użytkownika jest trochę niedopracowany.

Do testów dostarczono urządzenie oparte na Intelu i platformie Windows 2003. eIQ Networks oferuje unikatowe funkcje prezentacji, ale właściwa funkcjonalność SIEM wymaga pewnych ulepszeń. Firma dostarcza parsery (analizatory składniowe), obejmujące szeroki zakres formatów i typów urządzeń. Edytor parserów dostarczany z SecureVue pozwala na pobieranie danych z logów nieznanego typu, importowanie ich, a następnie wybieranie i porównanie odpowiednich pól - poprzez proste podświetlenie tekstu na ekranie.

Domyślne reguły korelacji są jednak ograniczone w swojej efektywności - incydenty rozpoznawane przez inne narzędzia nie zostały odnotowane przez SecureVue.

Poza zestawem narzędzi do analizy składniowej odnotować można inną unikatową cechę SecureVue - komponent Visualizor. Ten silnik wizualizacji kreśli dane w trójwymiarowym planie obrotowym. Narzędzie to można uruchomić z głównego interfejsu użytkownika do realizacji ad hoc zadań wizualizacji danych zgromadzonych przez narzędzie.

Podobnie jak Check Point, eIQ Networks ma już zbudowane niezbędne fundamenty pod dobry produkt SIEM, a jeżeli chodzi o Visualizor i edytor parserów, to nawet wysuwa się na czoło w tym segmencie rynku. Jednak mimo wszystko narzędzie wymaga znaczących ulepszeń w wielu istotnych obszarach, a przy sugerowanej cenie 50 tys. USD za wersję programową i 70 tys. USD za urządzenie, nie jest zbyt konkurencyjne cenowo. Firma zamierza wprowadzić na rynek jeszcze w tym roku nową wersję, w której ma usunąć wiele z tych niedostatków.

Producent: eIQ Networks (http://www.eiqnetworks.com )

Cena: 50 000 USD

Plusy: Możliwość importu informacji o wydajności i kontroli zmian; unikatowe narzędzie wizualizacji; dobry zestaw parsera

Minusy: Interfejs użytkownika pogmatwany; ograniczony dostęp do logiki korelacji