Trustwave SIEM

Trustwave łączy funkcje SIEM i zarządzania logiem w jednym, relatywniestosunkowo tanim urządzeniu. Urządzenie (dawniej Intellitactics SAFE LP) jest relatywnie łatwe w instalowaniu i wstępnym konfigurowaniu. Do testów dostarczono urządzenie 1U z dwoma procesorami, zdublowanym zasilaniem, 10 GB RAM, dyskiem RAID5 4 TB i czterema interfejsami Ethernet.

Konsola zarządzania, dostępna przez HTTPS, ma trzy główne zakładki (Admin, SAFE i Favorites), w których zawarte są wszystkie opcje.

Trustwave SIEM obsługuje rodzimy syslog, tak jak pozostałe rozwiązania, i dostarczane jest z prekonfigurowanymi definicjami urządzeń, tzw. adapterami danych, do zbierania bezagentowego.

Firma dostarczaudostępnia bardzo dobre instrukcje online do konfigurowania hostów Windows. Dostępny jest też agent Windows, który może być używany do wysyłania logów do urządzenia za pośrednictwem protokołu syslog.

Po przechwyceniu zdarzeń, mogą być one przeglądane indywidualnie lub podsumowywane w szczegółach, a także w postaci graficznej (opcje Event Explorer lub Log Explorer w zakładce SAFE). Można też tworzyć pulpity specjalizowane, chociaż produkt nie zapewnia takich opcji jak inni dostawcy. Jednym z ciekawych mechanizmów graficznych jest możliwość przekształcania surowych zdarzeń w mapę ruchu, z uwidocznieniem powiązań w ruchu sieciowym.

Administrator może łatwo ustawiać szczegóły powiadomień alarmowych, które mogą być wysłane poprzez e-mail lub SNMP. Dostępnych jest prawie 60 predefiniowanych, skorelowanych alarmów oraz ponad 1,5 tys. wbudowanych raportów. Mogą one być tworzone ad hoc i publikowane na żądanie lub zgodnie z harmonogramem, w formatach PDF, XSL, RTF, HTML, TXT, PostScript i XML.

Trustwave SIEM jest solidnym produktem typu "wszystko w jednym", za umiarkowanaą cenę, ale nie jest tak dokładny w analizach, jak jego główni konkurenci.