Pt siem вопросы к экзамену

Данная серия статей рассчитана для подготовки к тесту на статус PT-SIEM-CS и не содержит в себе конкретные ответы на вопросы, ответы нужно будет искать самостоятельно в руководствах. Но это поможет вам подготовиться самостоятельно и понимать уровень вопросов.
Напишите в комментариях с какой попытки вам удалось сдать экзамен и какой процент правильных ответов  вы получили. Если пришлете варианты своих вопросов, то мы обязательно опубликуем дополнительно.

В комментариях можете выразить свои ответы по вопросам для обсуждения или перейти в наш телеграмм-чат.

Вопрос 1. В чем отличие динамических групп от статических?
a. Динамические группы наполняются автоматически согласно сформулированным при создании группы критериям.
b. Статическая группы выступает в качестве контейнера, который может содержать в себе динамические группы, иные статические группы, а также отдельные активы, помещенные в нее вручную.
c. В динамического группу можно налету заносить пользователей, чтобы потом использовать признак членства в группе в модельной корреляции.
d. Динамическая группа выступает в качестве динамического контейнера, который может содержать в себе группы, отвечающие заданному наперед критерию.

Вопрос 2. Откуда берется значение параметра «значимость актива»?
a. Задается пользователем вручную.
b. Вычисляется на основе всех пяти контекстных метрик CVSS.
c. Вычисляется исходя из роли устройства.
d. Вычисляется на основе трех метрик CVSS.

Вопрос 3. У актива установлена контекстная метрика «Требования к конфиденциальности» — низкая. Актив входит в несколько вложенных групп. Самая глубоко вложенная группа, в которую входит актив, тмееь метрику «Требования к конфиденциальности» средняя. Внешняя группа имеет метрику «Требования к конфиденциальности» высокая. Каково итоговое эффективное значение метрики «Требования к конфиденциальности» у рассматриваемого актива?
a. Высокая.
b. Значение не определено.
c. Низкая
d. Средняя.

Вопрос 4. Откуда берется значение параметра «значимость актива»?
a. Задается пользователем вручную.
b. Вычисляется на основе всех пяти контекстных метрик CVSS.
c. Вычисляется исходя из роли устройства.
d. Вычисляется на основе трех метрик CVSS.

Вопрос 5. Вы собираете журнальные сообщения через модуль filemonitor по протоколу SMB с файла \serverpathfilename. Где и как надо указать адрес, по которому расположен файл для мониторинга?
a. Весь путь \serverpathfilename указывается в профиле (Обработка событийисточник), при этом бэкспеш меняется на слеш: //server/path/filename.
b. filename указывается в профиле в форме wildcard (Обработка событийисточник).
c. И server, и path указывается в профиле (Обработка событийисточник) в формате /server/path.
d. server указывается в задаче, в поле Группы активов и (или) Активы и (или) Сетевые адреса.
e. path указывается в профиле (Обработка событийисточник)
f. filename указывается в профиле в форме регулярного выражения (Обработка событийисточник).

Вопрос 6. Если задача (syslog) на сбор журнальных сообщений долго не оканчивается, что это значит ?
a. Это нормально, задача на сбор журнальных сообщений не имеет конца.
b. В задаче указан слишком большой диапазон целей (сеть класса А)
c. Утеряна связь между ядром и агентом. Ядро не знает, что задача закончилась.
d. Задача запускается по расписанию, при этом выбран слишком малый период перезапуска задачи. Задача не успевает окончиться, как снова запускается по расписанию.
e. Возможно, это проблема браузера. Надо очистить куки (Ctrl+Shift+Del) и зайти в систему заново.

Вопрос 7. Сегодня 12 апреля. В профиле сбора журнала параметр «historical»=false. Только что мы получили событие в котором timestamp задан как 8 марта. Какая дата в каком поле таксонометрии будет записана?
a. recv_time = 12 апреля.
b. recv_time = 8 марта.
c. time = 8 марта.
d. original_time = 8 марта.
e. time = 12 апреля.
f. original_time = 12 апреля.

Вопросы на тест PT-SIEM-CS-1

Продолжаем серию статей, которая поможет вам в подготовке к тесту на статус PT-SIEM-CS и не содержит в себе конкретные ответы на вопросы, ответы нужно будет искать самостоятельно в руководствах. Но это поможет вам подготовиться самостоятельно и понимать уровень вопросов.
Напишите в комментариях с какой попытки вам удалось сдать экзамен и какой процент правильных ответов вы получили. Если пришлете варианты своих вопросов, то мы обязательно опубликуем дополнительно.

В комментариях можете выразить свои ответы по вопросам для обсуждения или перейти в наш телеграмм-чат.

1. Какое поле необходимо указать в задаче по сбору журнальных сообщений через модуль wineventlog (отметьте только обязательные поля)?
a. Название;
b. Агент;
c. Каждые… (настройки сканирования по расписанию);
d. Профиль;
e. Транспорты;
f. Группы активов и/или Активы и/или Сетевые адреса.

2. Какие есть возможности ограничения на сбор сообщений Wineventlog?
a. Фильтрация по каналу журнала;
b. Фильтрация по тексту сообщения при помощи wildcard;
c. Фильтрация по тексту сообщения при помощи регулярного выражения;
d. Фильтрация по тексту сообщения при помощи Xpath.

3. Какие поля таксонометрии содержат данные о типе источника события: сетевое оборудования, операционная система и т.п.?
a. event_src.category, event_src.vendor, event_src.title;
b. src.category, src.vendor, src,title;
c. category.generic, cetegory.high, category.low;

4. Чему должен быть равен параметр профиля «input_description_default_time_zone» при сборе журнальных сообщений с Kaspersky Security Center?
a. Часовому поясу KSC в часах;
b. нулю;
c. Часовому поясу KSC в минутах;
d. Часовому поясу KSC в секундах.

5. Злоумышленник с узла А провел атаку на узел В. IDS, установленная на узел С, обнаружила это и сообщила агенту MaxPAtrol SIEM. Сообщение к агенту пришло с адреса D, сам агент имеет адрес Е. Какой адрес указан в поле recv_ipv4?
a. A;
b. B;
c. C;
d. D;
e. E.

6. Перед вам нормализованное событие. Как узнать, когда оно произошло?
a. Посмотреть содержимое поля time;
b. Посмотреть содержимое поля recv_time;
c. Посмотреть содержимое поля start_time;
d. Посмотреть содержимое поля action_time.

7. Каково назначение полю uuid в таксономии события?
a. Первичный индекс в базе Elasticsearch;
b. Уникальный идентификатор события, обязательное поле таксономии, заполняется автоматически;
c. Уникальный идентификатор события, заполняется автоматически;
d. Уникальный идентификатор события, обязательное поле таксономии;

Вопросы на тест PT-SIEM-CS-2.

Сертификационный экзамен на статус Certified Specialist (CS) по продукту MaxPatrol SIEM

Код PT-SIEM-CS, 1 час

Статус

После успешной сдачи экзамена присваивается статус PT-SIEM-CS.

Форма экзамена

Сертификационный экзамен проводится в формате теста из 40-60 вопросов. Продолжительность экзамена 1 час.

Программа экзамена

• Общие вопросы
• Установка продукта и его архитектура
• Asset Management, Vulnerability Management средствами MaxPatrol SIEM: сканирование активов, статические и динамические группы активов, CVSS, объектная модель актива, PDQL для выборок информации из базы активов
• Log Management: сбор событий с источников, таксономия событий, потоки данных, работа с базой событий
• База знаний, работа с ложными срабатываниями
• Отчеты
• Инциденты, уведомления
• Решение проблем, мониторинг источников, потоки данных, сбор журналов, импорт и экспорт активов и событий
  

  Рекомендации и условия допуска к экзамену

  Рекомендуется пройти авторизованный курс ПТ13 «Развертывание и администрирование MaxPatrol SIEM»..

  Порядок сертификации для получения статуса партнера

  Первые две попытки сдачи экзамена предоставляются бесплатно, третья и последующие проводятся только на базе Учебный центр «Информзащита» на платной основе. Важно! Если вы проходите обучение в Учебный центр «Информзащита», то попытка тестирования по окончании обучения является дополнительной бесплатной попыткой.

  • Первая попытка сдачи возможна в день завершения обучения на авторизованных курсах или в течение полугода по окончании обучения — по выбору. Тем, кто занимался самоподготовкой, возможность пройти экзамен предоставляется по заявке на partners@ptsecurity.com.    
  • Вторая попытка:
  • Тем, кто проходил обучение на авторизованных курсах, предоставляется возможность пройти повторный тест в любой момент в течение полугода после первой попытки. Заявка направляется на partners@ptsecurity.com
  • Тем, кто занимался самоподготовкой, возможность повторно пройти экзамен дается не ранее чем через месяц после первой попытки по заявке на partners@ptsecurity.com

  Порядок пересертификации для подтверждения статуса партнера

  Согласно условиям партнерской программы для сохранения партнерских статусов и продления сертификатов требуется пересдача экзаменов.

  Основные правила экзаменационных испытаний для продления сертификатов:

  • Экзамены на продление сертификата любого уровня сдаются удаленно.
  • Тем специалистам, у которых есть сертификаты уровней CS и CP по одному и тому же продукту, требуется пересдача только по CP. Обязательное условие сдачи экзамена уровня CP – наличие действующего сертификата на статус CS.
  • Для некоторых сертификатов срок действия увеличен до двух лет.
  • Количество попыток сдачи экзамена такое же, как при сертификации на получение статуса партнера.

  Порядок записи на экзамен

   Все экзамены проводятся в удаленном формате.

  • Регистрация на экзамен заканчивается в ближайшую перед тестированием среду в 18:00;
  • Сдать экзамен можно в любой понедельник, c 10:00 до 18:00 по Москве;
  • Внимание! Доступ к тесту открыт с 10:00 до 18:00, т.е. в 17:59 тест будет закрыт. Если к 17:59 тестирование не завершено, то результат засчитан не будет;
  • Для прохождения экзамена необходимо отправить запрос на partners@ptsecurity.com, с указанием следующей информации:
    • ФИО
    • Название компании
    • Адрес электронной почты
    • Продукт
    • Статус — CS / CA / CP / SC
    • Первичная сертификация или пересертификация
    • Дата экзамена (любой понедельник): укажите дату

  Цели прохождения экзаменов и получения сертификатов по продуктам

   Согласно условиям партнерской программы Positive Technologies для получения авторизации компании-партнеру необходимо иметь в штате сертифицированных специалистов по каждому продуктовому направлению Positive Technologies, продвигаемому партнером (уровни SC/CS/CP). Минимально необходимое количество сертифицированных специалистов по продуктам:

  • MaxPatrol 8, MaxPatrol SIEM, PT AF, PT NAD – два специалиста с квалификацией уровня CS (инженер), один СР (эксперт) и один специалист уровня SC (пресейл).
  • PT MultiScanner, PT ISIM, PT AI – два специалиста с квалификацией уровня CS (инженер).

  Для партнеров, желающих оказывать сервис по сопровождениюобслуживанию внедренных решений Positive Technologies, необходимо наличие двух сертифицированных специалистов уровня Certified Administrator (CA). Для получения специалисту статуса CA обязательно наличие статуса Certified Specialist (CS). Партнер может расширить или повысить уровень квалификации специалистов, но не допускается снижение количества выделенных сотрудников в разрезе конкретного продукта. Каждый специалист партнера может подтвердить квалификацию по нескольким продуктам. По всем вопросам партнерской программы рекомендуем обращаться к вашему менеджеру либо на partners@ptsecurity.com

  Описание статусов специалистов

  • Certified Specialist (CS) — технический специалист (инженер), способный провести инсталляцию и настройку основных параметров продукта для обеспечения его работы. Экзамен: тест из 40–60 вопросов (1 час). Критерий успешности — 75% правильных ответов.
  • Certified Professional (CP) — технический специалист (эксперт), готовый решать комплексные задачи по внедрению и сопровождению продукта, в том числе — в нестандартных ситуациях. Экзамен проводится в формате лабораторной работы. Критерий успешности — полное выполнение практического задания.
  • Certified Administrator (CA) — технический специалист партнера или заказчика, способный провести установку и настройку системы любой конфигурации, настроить интеграцию с другими продуктами, осуществлять мониторинг состояния системы. Экзамен проводится в формате лабораторной работы. Критерий успешности — полное выполнение практического задания.
  • Sales Consultant (SC) — специалист (пресейл), который может провести презентацию продуктов, сориентировать Заказчика по решаемым задачам, функциональности, сценариям внедрения, требованиям для подготовки к пилотному проекту и пр. Экзамен: тест из 30–35 вопросов (45 мин). Критерий успешности — 75% правильных ответов. Сертификаты, подтверждающие квалификацию, выдаются только в случае успешного прохождения экзамена.

Основными функциями SIEM являются корреляция событий и выявление инцидентов информационной безопасности. Ввиду малой распространенности на рынке России и СНГ таких продуктов, как Splunk и LogRhythm, мы решили не рассматривать эти платформы в нашей статье.

По нашему мнению, среди отечественных решений наиболее перспективной является платформа Positive Technologies. Несмотря на то, что платформа основана на Open Source, компания способна развивать свое решение самостоятельно.

Таким образом, в список сравниваемых нами решений попали:

• HP ArcSight
• IBM QRadar
• Intel Security McAfee ESM
• RSA Security Analytics
• Positive Technologies MaxPatrol SIEM

Так как все компании разные, ожидания от SIEM-систем у них различны (мы говорим о компаниях X и Y из первой статьи нашего номера), соответственно, разнятся и приоритеты в части функциональных возможностей. Поэтому мы вводим весовую модель для определения оптимальной платформы для компаний X и Y, где значение 5 – это максимально важный критерий для организации, а 1 – соответственно, наоборот.

1. Поддержка источников событий (5)
2. Сбор событий (8)
3. Корреляция (10)
4. Поиск данных и аналитика (9)
5. Визуализация и отчетность (5 и 5 соответственно)
6. Оповещение и приоритизация (5 и 5 соответственно)
7. Общие настройки и предустановленный функционал (5 и 3 соответственно)
8. Масштабируемость, отказоустойчивость и хранение (8, 5 и 7 соответственно)
9. Мониторинг компонентов системы и внутренний аудит (3)
10. Удобство использования (10)
11. Наличие сертификатов соответствия ФСТЭК (2)
12. Дополнительные модули системы (5)

Для оценки степени выполнения критериев сравнения мы ввели следующие виды оценок:

0 – критерий не выполняется;

1 – критерий выполняется частично;

2 – критерий полностью выполняется.

Далее мы разбираем каждый блок. Результат тестирования по первому блоку – поддержка источников событий – представлен в табл. 1.

Табл. 1. Поддержка источников событий

		Вендоры	PT SIEM	IBM QRadar	HP ArcSight	RSA Security Analytics	McAfee ESM
Критерий	Параметры	Вес компания Х	Вес компания Y	Оценки
Поддержка источников событий	Количество поддерживаемых источников событий	4	5	1	2	2	1	1
Качество парсинга событий	5	5	1	1	2	1	1
Частота обновлений коннекторов/парсеров событий	5	5	2	2	2	1	1
Возможность автообновления парсеров событий	5	4	1	2	0	2	2
Возможность подключения нестандартных источников (упоминание о количестве поддерживаемых транспортов)	4	5	2	2	2	2	2
Автообнаружение источников событий (автоматическое заведение источников событий при получении логов по syslog)	5	5	2	2	2	2	2

PT MaxPatrol SIEM. Количество поддерживаемых источников постоянно растет. Известные поддерживаемые источники – Syslog, Windows Event Log, Windows File log, Windows WMI log, NetFlow, ODBC Log, Checkpoint LEA, SNMP Traps, SSH File Log, Telnet File Log. Max Patrol SIEM – новый продукт на рынке SIEM, он не дотягивает до гигантов индустрии по количеству поддерживаемых систем, но очень динамично развивается. Российские корни вендора могут дать продукту поддержку отечественных источников событий, отсутствующих во всех его западных конкурентах. Для разработки правил нормализации используется SDK, собственный язык программирования позволяет гибко нормализовать практически любое событие. Автообнаружение источников событий в системе присутствует, база источников периодически пополняется.

IBM QRadar. Платформой поддерживается более 300 стандартных источников событий. Полноценная категоризация определена для большей части основных событий аудита, но довольно часто встречаются и события без категории. Качество парсинга обусловлено и используемой схемой хранения событий, включающей небольшое количество наиболее критичных полей. Обновления коннекторов/парсеров событий выпускаются вендором по мере выхода исправлений и дополнений. Присутствует автообновление парсеров событий. Для подключения нестандартных источников могут применяться часто используемые транспорты. Разработка собственных парсеров происходит по большей части в основном интерфейсе продукта, для описания событий используется regex.

HP ArcSight. Платформой поддерживается более 300 стандартных источников событий. Все события категоризированы, и их имена определены. Помимо этого, коннекторы многих систем включают в себя несколько вариантов парсеров, что позволяет выбрать наиболее подходящий под конкретные цели алгоритм обработки аудита. Обновления коннекторов/парсеров событий выпускаются вендором по мере выхода исправлений и дополнений – 2–3 раза в квартал. Возможность автообновления парсеров событий отсутствует. Вендор заверяет, что это сделано намеренно, поскольку автообновление в производственной среде может привести к изменению корреляционной логики. У многих заказчиков на корреляционную логику завязаны SLA, эскалации, документооборот – здесь важно, чтобы все изменения SIEM-системы проходили контролируемым образом. Кроме того, наличие подключения SIEM-системы к сети Интернет создает определенные риски. Для подключения нестандартных источников могут применяться часто используемые транспорты. Механизм разработки коннекторов, реализованный в ArcSight, является одним из самых мощных и гибких. Он позволяет не только разложить событие по определённым полям, но и с помощью множества встроенных функций изменять эти значения, а также реализовывать логические операции, основываясь на значениях определённых токенов. Коннектор представляет собой текстовый файл определённого формата, для описания событий используется regex. Для разработки также существует несколько графических утилит.

RSA Security Analytics. Поддерживается большое количество разнородных систем. Более 250 поддерживаемых стандартных источников событий. Для парсинга в платформу заложена многоуровневая модель обработки события. Есть проблемы с опознанием систем по событиям. При разборе событий возникают проблемы с кириллицей. Нет регулярности в выходе обновлений коннекторов/парсеров. Обновления выходят в зависимости от популярности подключаемого нестандартного источника. Поддерживается автообновление парсеров событий. Для разработки коннекторов используется модуль прошлого SIEM от RSA – enVision. Парсер представляет собой текстовый файл XML-формата. Как приемник RSA enVision, RSA SA использует многие его парсеры.

Платформой поддерживаются следующие виды транспортов: AWS, Checkpoint, File Collection, Netflow Collection, ODBC, SDEE, SNMP, VMware, Windows, Legacy Windows и NetApp. Присутствует автообнаружение источников событий.

McAfee ESM. Решение поддерживает большое количество разнородных источников событий (более 400 систем: WMI, Syslog, SCP, FTP, HTTP(S), ODBC/MSSQL, OPsec, CEF, MEF). Обработка событий выполняется корректно. Но отсутствует механизм траблшутинга парсинга событий. Например, для аудита СУБД очень сложно разобраться, почему может не осуществляться парсинг событий. Обновления коннекторов выходят регулярно и доступны сразу для всего модельного ряда. Поддерживается автообнаружение источников событий. Поддерживается создание собственных парсеров событий. Разработка происходит в основном интерфейсе продукта, для описания событий используется regex.

Сбор событий

Результаты тестирования решений по критериям блока «Сбор событий» представлены в табл. 2.

Табл. 2. Сбор событий

		Вендоры	PT SIEM	IBM QRadar	HP ArcSight	RSA Security Analytics	McAfee ESM
Критерий	Параметры	Вес компания Х	Вес компания Y	Оценки
Сбор событий	Нормализация (перевод записей лог-журналов в единый стандартный вид)	5	5	1	1	2	2	1
Агрегация (объединение одинаковых событий)	4	5	1	1	2	2	1
Фильтрация (запись событий, удовлетворяющих определенным условиям)	5	5	2	1	2	2	2
Контроль целостности данных	3	5	0	2	2	1	1
Возможность сбора, хранения, работы по raw-событиям	5	5	2	2	2	2	2
Возможность хранения данных в течение разного периода времени, разделения данных на физическом и логическом уровне	5	5	1	2	2	1	2
Маскирование данных при сбореотображении в консоли	3	5	0	2	2	0	0
Возможность мониторинга сетевого трафика (в том числе до 7-го уровня)	5	5	0	2	1	2	1

PT MaxPatrol SIEM. Присутствуют механизмы нормализации, агрегации и фильтрации событий. Нормализация производится только для определённых типов событий. Поддерживается возможность сбора, хранения и работы по raw-событиям. Отсутствует маскирование данных при сборе/отображении в консоли. Платформой поддерживается мониторинг сетевого трафика вплоть до 7-го уровня модели OSI при помощи дополнительного модуля MaxPatrol X Network Traffic.

IBM QRadar. Схема нормализации имеет 19 полей. Встречается много событий, которые плохо нормализуются. Агрегация присутствует, но она не настраиваемая. Также поддерживается фильтрация, но отфильтрованные события учитываются в лицензионном ограничении. Обеспечиваются маскирование данных и мониторинг сетевого трафика вплоть до 7-го уровня модели OSI.

HP ArcSight. Схема нормализации имеет более 200 полей. События хорошо нормализуются. Присутствует возможность гибкой настройки параметров агрегации. Поддерживается маскирование данных. Мониторинг NetFlow до 7-го уровня модели OSI осуществляется путем интеграции HP ArcSight и HP Tipping Point. Включение передачи событий из Tipping Point в ArcSight поддерживается решением по умолчанию и осуществляется одним действием в интерфейсе управления.

RSA Security Analytics. Поддерживаются нормализация, агрегация и фильтрация событий. Для контроля целостности данных требуется использование дополнительного модуля Archiver. Работа по raw-событиям гораздо медленнее по сравнению с конкурентами. Возможность хранения данных в течение разного периода времени, их разделения на физическом и логическом уровне также требует использования дополнительного модуля Archiver. Отсутствует маскирование данных. Мониторинг сетевого трафика вплоть до 7-го уровня модели OSI осуществляется с помощью модуля Packet Decoder.

McAfee ESM. Процесс нормализации приводит все события в формат MEF (McAfee Event Format). Осуществляется категоризация событий. Агрегация присутствует. Есть ограничения по агрегации – максимум 3 значения, по которым можно ее выполнить. Параметры агрегации можно переопределить. Разбор сетевого трафика на уровне приложений осуществляется путем интеграции с решением IPS от McAfee.

Корреляция

Результаты тестирования решений по критериям блока «Корреляция» представлены в табл. 3.

Табл. 3. Корреляция

		Вендоры	PT SIEM	IBM QRadar	HP ArcSight	RSA Security Analitycs	McAfee ESM
Критерий	Параметры	Вес компания Х	Вес компания Y	Оценки
Корреляция	Базовая корреляция	5	5	2	2	2	2	2
Поведенческий анализ	3	5	0	2	2	2	1
Обогащение данных из других систем	3	5	2	2	2	2	2
Историческая корреляция	4	5	1	2	2	0	2

PT MaxPatrol SIEM. Реализованы механизмы real-time корреляции событий. Отсутствуют механизмы для проведения поведенческого анализа. Поддерживается обогащение данных в пределах платформы MaxPatrol X. Проведение корреляции исторических данных планируется реализовать в следующих релизах.

IBM QRadar. Реализованы механизмы real-time корреляции событий, есть возможность провести поведенческий анализ, осуществляется обогащение данных из других систем, поддерживается корреляция исторических данных.

HP ArcSight. В продукте реализован один из наиболее гибко настраиваемых корреляционных механизмов. Возможно обогащение собираемых данных из сторонних систем на уровнях сбора (в коннекторе) и обработки (на менеджере). Историческая корреляция ограничена возможностью ручной проверки правила на исторических данных определённого временного интервала. Генерация корреляционных событий при этом не происходит.

RSA Security Analytics. В ядре системы заложен достаточно слабый корреляционный функционал, для полноценной корреляции возможно использование дополнительного модуля ESA. Функционал исторической корреляции в платформе отсутствует.

McAfee ESM. Реализованы механизмы real-time корреляции событий. При проведении поведенческого анализа есть возможность просмотреть два наложенных графика – статистику по событиям за предыдущий период и текущую статистику (онлайн). Для работы с историческими данными необходимо использовать компонент McAfee Advanced Correlation Engine (ACE). Этот модуль может выполнять и историческую корреляцию, но в один момент времени он может работать только в одном из режимов (real-time или исторической корреляции).

Поиск данных и аналитика

Результаты тестирования решений по критериям блока «Поиск данных и аналитика» представлены в табл. 4.

Табл. 4. Поиск данных и аналитика

		Вендоры	PT SIEM	IBM QRadar	HP ArcSight	RSA Security Analitycs	McAfee ESM
Критерий	Параметры	Вес компания Х	Вес компания Y	Оценки
Поиск данных и аналитика	Возможности по поиску событий	5	5	2	2	2	2	2
Возможность группировки событий	4	5	2	2	2	2	2
Возможности Drilldown по полям	5	5	2	1	2	2	2
Google Like Search	5	5	2	2	2	1	2
Скорость работы интерфейса	5	5	1	2	2	2	2
Возможность применения активного воздействия	2	2	0	2	2	2	2
Использование встроенных средств диагноcтики компонентов системы и создание своих	5	5	1	2	2	2	1

PT MaxPatrol SIEM. Поддерживается поиск по событиям. Присутствует возможность группировки событий, Drilldown по полям и применения активного воздействия. Поддерживается механизм Google Like Search. Скорость работы интерфейса в боевой системе средняя. В качестве средств диагностики компонентов системы используются файлы журналов компонентов. События аудита работы самой системы не попадают в основной поток событий SIEM. Есть возможность активного воздействия средствами самой платформы (сканирование), а также выполнения скриптов.

IBM QRadar. Поддерживаются поиск по событиям и группировка событий. Drilldown по полям осуществляется в несколько действий. Присутствует механизм Google Like Search. Скорость работы интерфейса высока с учетом выполнения аппаратных требований. События аудита работы самой системы являются частью основного потока событий SIEM. Существуют преднастроенные правила, реагирующие на критичные события диагностики внутренних компонентов. Присутствует возможность создания своих правил. Поддерживается возможность выполнения скриптов.

HP ArcSight. Поддерживаются поиск по событиям и группировка событий. Drilldown по полям осуществляется в несколько действий, есть возможность создания нескольких различных Drilldown для одного Dashboard. Механизм Google Like Search реализован только в web-интерфейсах продукта. Скорость работы интерфейса высока с учетом выполнения аппаратных требований. События аудита работы самой системы являются частью основного потока событий SIEM. Существуют преднастроенные правила, реагирующие на критичные события диагностики внутренних компонентов. Присутствует возможность создания своих правил. Также есть возможность выполнения команд на некоторых продуктах HP (а также некоторых других вендоров), кастомных скриптов (на менеджере или коннекторах).

RSA Security Analytics. Поддерживаются поиск по событиям и группировка событий. Drilldown по полям осуществляется в несколько действий. Механизм Google Like Search доступен при использовании дополнительного модуля Warehouse. Скорость работы интерфейса высокая с учетом выполнения аппаратных требований. Существуют встроенные средства диагностики компонентов системы.

McAfee ESM. На практике встречаются ситуации, когда скорость работы интерфейса падает: например, при выборке по небольшому промежутку данных, которые были зафиксированы более 3 месяцев назад. Создание собственного dashboard и поиск по нему приводят к задержкам. Есть предположение, что индексируется только строго определенные значения (SRC IP, DST IP и т.п.). Соответственно, поиск по другим значениям занимает длительное время. Присутствуют средства диагностики компонентов системы, но зачастую нужно обращаться к вендору, т.к. штатная диагностика обычно говорит о том, что события не поступают, ресивер не доступен и т.п.

Визуализация и отчетность

Результаты тестирования решений по критериям блока «Визуализация и отчетность» представлены в табл. 5.

Табл. 5. Визуализация и отчетность

		Вендоры	PT SIEM	IBM QRadar	HP ArcSight	RSA Security Analitycs	McAfee ESM
Критерии	Параметры	Вес компания Х	Вес компания Y	Оценки
Визуализация	Типы графического представления	5	5	1	1	2	2	2
Поля графического представления	5	5	2	1	2	0	2
Возможности кастомизации графических панелей	3	5	1	1	2	2	2
Возможность перемещения графических панелей	3	5	0	2	2	2	2
Наличие русского интерфейса	2	2	2	2	2	0	0
Отчетность	Форматы отчетов	5	5	1	2	2	2	2
Возможность запуска отчетов за большие промежутки времени	5	5	1	2	2	2	2
Поддержка создания отчетов по заданному расписанию	5	5	1	2	2	2	2
Возможность переименования полей отчетов	5	5	1	2	2	2	2

PT MaxPatrol SIEM. Доступны гистограммы и графики, а также таблицы и отчеты. Интерфейс русифицирован. Есть встроенные отчеты, формат, поля, промежутки времени, но для их кастомизации необходимо использовать SDK.

IBM QRadar. По умолчанию доступны 9 типов графического представления. Существуют некоторые ограничения в кастомизации графических панелей. Интерфейс русифицирован. Отчеты могут быть экспортированы в файлы следующих форматов: MS Excel, RTF, PDF, XML, HTML.

HP ArcSight. Доступны более 20 типов графического представления. В качестве полей графического представления используются Data Monitor, Dashboard, Query Viewer. Русифицированный интерфейс решения доступен с февраля 2015 года. Отчеты могут быть экспортированы в следующие форматы: MS Excel, RTF, PDF, CSV, HTML.

RSA Security Analytics. Доступны более 5 типов графического представления. В качестве полей графического представления используются Dashboard, System Stats. Русский интерфейс отсутствует. Отчеты могут быть экспортированы в следующие форматы: MS Excel, RTF, PDF, CSV, HTML.

McAfee ESM. Доступны следующие типы графического представления: табличное, pie chart, bar chart, графики, граф коммуникаций на основе анализа NetFlow. Русский интерфейс отсутствует. Отчеты могут быть экспортированы в следующие форматы: PDF, CSV, HTML. Присутствует возможность запуска отчетов за большие промежутки времени.

Оповещение и приоритизация

Результаты тестирования решений по критериям блока «Оповещение и приоритизация» представлены в табл. 6.

Табл. 6. Оповещение и приоритизация

		Вендоры	PT SIEM	IBM QRadar	HP ArcSight	RSA Security Analitycs	McAfee ESM
Критерии	Параметры	Вес компания Х	Вес компания Y	Оценки
Оповещение	Возможности по оповещению о возникающих событиях	5	5	1	2	2	2	2
Возможность кастомизации параметров оповещения	2	5	0	1	2	2	2
Возможные способы	4	5	1	2	2	2	2
Гибкость настройки	3	5	1	2	2	2	1
Приоритизация	Возможность автоматического определения серьезности выявленного события	5	5	1	2	2	2	2
Возможность кастомизации	3	5	1	0	2	2	2
Возможность объединения событий по параметрам инцидента	4	5	0	2	2	2	2

PT MaxPatrol SIEM. Отсутствует применение активного воздействия и реакции на оповещение. Невозможно провести кастомизацию параметров оповещения. В качестве возможных способов оповещения доступен только SMTP. Низкая гибкость настройки. Кастомизация приоритизации событий доступна при использовании SDK. Отсутствует возможность объединения событий по параметрам инцидента.

IBM QRadar. Применение активного воздействия и реакции на оповещение доступно только для ряда продуктов IBM. При кастомизации параметров оповещения невозможно использовать переменные. Доступны следующие способы оповещения: E-mail, Syslog, Console. Отсутствует кастомизация приоритизации событий.

HP ArcSight. Доступно применение активного воздействия, реакции на оповещение (нативные процедуры для некоторых продуктов HP, в других продуктах это возможно посредством выполнения скриптов) и кастомизации параметров оповещения. Возможные способы оповещения: E-mail, SMS, консоль, выполнение команд в ОС хоста менеджера или коннектора. Есть возможность кастомизации и приоритизации событий.

RSA Security Analytics. Доступно применение активного воздействия и реакции на оповещение, а также кастомизации параметров оповещения. Возможные способы оповещения: SMTP, SNMP. Есть возможность кастомизации приоритизации событий.

McAfee ESM. Доступны способы оповещения начиная с оповещения по электронной почте и запуска внешней команды (скрипта) на указанном устройстве и заканчивая полноценной интеграцией на уровне API с продуктами McAfee Network Security Platform (IPS/IDS решение), всеми агентскими продуктами McAfee (от антивируса до защиты БД) на уровне запуска специализированных команд и переназначения политик на агенте, а также со сканером уязвимости McAfee Vulnerability Manager (запуск сканирования напрямую из консоли SIEM).

Общие настройки и предустановленный функционал

Результаты тестирования решений по критериям блока «Общие настройки и предустановленный функционал» представлены в табл. 7.

Табл. 7. Общие настройки и предустановленный функционал

		Вендоры	PT SIEM	IBM QRadar	HP ArcSight	RSA Security Analitycs	McAfee ESM
Критерии	Параметры	Вес компания Х	Вес компания Y	Оценки
Общие настройки	Поддержка интеграции с LDAP, AD для обеспечения аутентификации	4	5	0	2	2	2	2
Наличие Workflow и функций системы управления инцидентами	4	2	1	1	2	2	2
Поддержка интеграции с третьими Workflow-системами	2	4	0	1	2	1	2
Возможности по разграничению доступа	3	5	2	2	2	2	2
Возможность настройки парольной политики	5	5	0	1	2	2	2
Защита канала при взаимодействии компонентов системы	5	5	2	2	2	2	2
Предустановленный функционал	Наличие предустановленных правил корреляции	5	4	1	2	2	2	2
Наличие предустановленных графических панелей (Dashboards)	5	4	1	2	2	2	2
Наличие предустановленных отчетов	5	4	2	2	2	2	2

PT MaxPatrol SIEM. Отсутствует интеграция с LDAP и AD для обеспечения аутентификации, но данный функционал вендор обещает реализовать в 12-м релизе своей платформы. Для разграничения доступа между пользователями доступна ролевая модель. Присутствуют встроенные корреляционные правила, графические панели и отчёты. Реализован базовый функционал управления инцидентами.

IBM QRadar. Поддерживается аутентификация пользователей в различных LDAP. Существует встроенный функционал Workflow. Поддерживается интеграция со сторонними Workflow-системами (ограниченная по поддерживаемым операциям). Встроено большое количество предустановленных корреляционных ресурсов, отчётов и графических панелей.

HP ArcSight. Поддерживается аутентификация пользователей в различных LDAP. Реализован встроенный функционал Workflow с гибкими возможностями кастомизации. Поддерживается интеграция со сторонними Workflow-системами. Встроено большое количество предустановленных корреляционных ресурсов, отчётов и графических панелей.

RSA Security Analytics. Поддерживается аутентификация пользователей в различных LDAP. Существует встроенный функционал Workflow, поддерживается интеграция со сторонними системами. Встроено большое количество предустановленных корреляционных ресурсов, отчётов и графических панелей

McAfee ESM. Поддерживается аутентификация пользователей в различных LDAP. Осуществляется интеграция с Remedy на уровне подключения по API; любая внешняя система уровня Service Desk интегрируется на уровне шаблонных сообщений SMTP для автоматического заведения инцидентов. Встроено большое количество предустановленных корреляционных ресурсов, отчётов и графических панелей.

Масштабирование, отказоустойчивость и хранение

Результаты тестирования решений по критериям блока «Масштабирование, отказоустойчивость и хранение» представлены в табл. 8.

Табл. 8. Масштабирование, отказоустойчивость и хранение

		Вендоры	PT SIEM	IBM QRadar	HP ArcSight	RSA Security Analitycs	McAfee ESM
Критерии	Параметры	Вес компания Х	Вес компания Y	Оценки
Масштабируемость	Ограничения по количеству обрабатываемых событий в секунду	2	5	1	2	2	1	2
Возможность распределения задач сбора и обработки событий по компонентам системы	4	5	2	2	2	2	2
Возможность установки компонентов в различных форм-факторах	5	3	2	2	2	2	2
Возможность увеличения мощности ядра системы	4	5	2	2	2	2	2
Возможность увеличения мощности компонентов сбора событий	4	5	2	2	2	2	2
Возможность развития системы за счет добавления дополнительных компонентов	3	5	2	2	2	2	2
Отказоустойчивость	Возможности по резервированию ядра системы	3	5	0	2	2	2	2
Возможности по резервированию компонентов сбора событий	5	5	0	2	2	2	2
Обеспечение непрерывности сбора событий	5	5	0	2	2	1	2
Автоматическое резервирование конфигурации системы	4	5	0	2	2	0	2
Возможность восстановления конфигурации после сбоев	4	5	0	2	2	1	2
Автоматическое резервирование базы данных	5	5	0	2	2	0	2
Возможность восстановления базы данных после сбоев	5	5	0	2	2	0	2
Хранение	Эффективность хранения (сжатие данных)	4	5	1	2	2	1	2
Возможность подключения внешних массивов для хранения архивных данных	3	5	1	2	2	2	2

PT MaxPatrol SIEM. Ограничением по количеству обрабатываемых событий в секунду является порог в 30 000 (максимальная инсталляция, по информации от вендора). Отсутствует возможность резервирования компонентов системы и реализации отказоустойчивой конфигурации. Хранение событий осуществляется в исходном и нормализованном виде. Осуществляется сжатие данных до 30%. Для хранения событий используется MongoDB. Существует возможность интеграции с внешними массивами для хранения архивных данных.

IBM QRadar. Ограничением по количеству обрабатываемых событий в секунду является порог в 1 200 000 (максимальная инсталляция, по информации от вендора). Есть возможность реализации конфигурации High Availability. Осуществляется резервирование всех компонентов системы, вплоть до ядра. Сжатие данных при хранении происходит в соотношении 1 к 10. Для хранения событий используются Ariel.

HP ArcSight. Ограничением по количеству обрабатываемых событий в секунду является порог в 1 500 000 (максимальная инсталляция, по информации от вендора). Есть возможность реализации конфигурации High Availability. Осуществляется резервирование всех компонентов системы, вплоть до ядра. Сжатие данных при хранении происходит в соотношении 1 к 10. Для хранения событий используются CORR-Engine.

RSA Security Analytics. Ограничением по количеству обрабатываемых событий в секунду является порог в 20 000 (максимальная инсталляция, по информации от вендора). Есть возможность реализации конфигурации High Availability. Осуществляется резервирование всех компонентов системы, вплоть до ядра. Сжатие данных при хранении происходит в соотношении 1 к 10. Для хранения событий используется RAW/Meta и в случае с Warehouse – Hadoop.

McAfee ESM. Ограничением по количеству обрабатываемых событий в секунду является порог в 300 000 (максимальная инсталляция, по информации от вендора). Возможность увеличения мощности ядра и компонентов системы доступна для виртуальных комплексов. В случае ПАК требуется приобретение новой платформы. Есть возможность реализации конфигурации High Availability. Осуществляется резервирование всех компонентов системы, вплоть до ядра. Для хранения событий используется собственная внутренняя база данных.

Результаты тестирования по оставшимся блокам приведены в табл. 9.

Табл. 9. Результаты тестирования по оставшимся блокам

		Вендоры	PT SIEM	IBM QRadar	HP ArcSight	RSA Security Analitycs	McAfee ESM
Критерии	Параметры	Вес компания Х	Вес компания Y	Оценки
Мониторинг компонентов системы и внутренний аудит	Доступность ядра системы	4	5	2	2	2	2	2
Доступность компонентов сбора событий	5	5	2	2	2	2	2
Доступность источников событий	5	5	2	2	2	2	2
Внутренний аудит системы	4	5	0	2	2	0	2
Удобство использования	Централизованное управление компонентами системы из единой консоли	4	5	2	2	2	2	2
Автоматическое обновление набора предустановленных правил и отчетов	4	2	1	2	0	2	2
Качество поддержки производителя	4	5	1	2	2	1	1
Замена вышедших из строя компонентов	5	5	1	2	2	1	2
Наличие сертификатов соответствия ФСТЭК	Наличие сертификатов НДВ 4 и ТУ	4	5	1	1	1	2	2
Дополнительные модули системы	Управление уязвимостями	4	5	2	2	0	2	2
Управление рисками	3	5	0	2	0	0	2
Обнаружение аномальных действий пользователей	5	5	0	2	2	2	2
Мониторинг действий пользователей	5	5	2	0	2	2	2
Расследование инцидентов	5	5	2	2	1	2	2
Репутационные сервисы	2	4	0	2	2	2	2

Выводы

Как мы уже сказали вначале, эта статья содержит в себе информацию, сформированную на основе нашего многолетнего опыта работы с SIEM-решениями. Просим обратить внимание на то, что используемые для сравнения критерии – это опыт наших специалистов. Для каждой отдельной организации они могут меняться, равно как и значения для каждого из критериев. Опыт проведенных пилотов и проектов по внедрению показывает, что каждый заказчик формирует свой уникальный перечень критериев их успешности, и от компании к компании, от проекта к проекту они совпадают лишь частично. Тем не менее, в нашем сравнении мы постарались обобщить критерии и сформировать перечень, который подходит практически любой организации. Этой статьей мы хотим призвать своих читателей к взвешенному подходу при выборе подобных решений и предоставить пример, на который можно было бы опираться. Мы понимаем, что сколько людей, столько и мнений, поэтому рекомендуем в случае необходимости попробовать изменить веса и добавить в данный перечень критериев свои, специфичные параметры.

Итак, по результатам тестирования решений мы получили оценки, которые представлены в табл. 10 и 11*.

Табл. 10. Результаты для компании Х

		PT SIEM	IBM QRadar	HP ArcSight	RSA Security Analytics	McAfee ESM
Название блока	Вес блока	Оценки
Поддержка источников событий	5	3,5	4,3	3,8	3,5	3,5
Сбор событий	8	3,4	5,6	6,5	5,6	4,7
Корреляция	10	5,0	7,5	7,5	5,5	6,8
Поиск данных и аналитика	9	6,2	7,3	8,0	7,3	7,3
Визуализация	5	2,2	2,3	3,6	2,2	3,2
Отчетность	5	2,5	5,0	5,0	5,0	5,0
Оповещение	5	1,2	2,7	3,0	3,0	2,7
Приоритизация	5	1,3	3,0	4,0	4,0	4,0
Общие настройки	3	1,0	1,8	2,3	2,2	2,3
Предустановленный функционал	5	3,3	5,0	5,0	5,0	5,0
Мониторинг компонентов системы и внутренний аудит	3	2,1	2,7	2,7	2,1	2,7
Масштабируемость	8	5,6	5,9	5,9	5,6	5,9
Отказоустойчивость	5	0,0	4,4	4,4	1,8	4,4
Хранение	7	1,6	3,3	3,3	2,3	3,3
Удобство использования	10	5,3	8,5	6,5	6,3	7,5
Наличие сертификатов соответствия ФСТЭК	2	0,8	0,8	0,8	1,6	1,6
Дополнительные модули системы	5	2,3	3,2	2,4	3,5	4,0
	Итого:	47,4	73,2	74,7	66,5	73,8

Табл. 11. Результаты для компании Y

		PT SIEM	IBM QRadar	HP ArcSight	RSA Security Analytics	McAfee ESM
Название блока	Вес блока	Оценки
Поддержка источников событий	5	3,7	4,4	4,2	3,6	3,6
Сбор событий	8	3,5	6,5	7,5	6,0	5
Корреляция	10	6,3	10,0	10,0	7,5	8,8
Поиск данных и аналитика	9	6,4	7,6	8,2	7,6	7,6
Визуализация	5	2,4	2,9	4,4	3,0	4,0
Отчетность	5	2,5	5,0	5,0	5,0	5,0
Оповещение	5	1,5	3,5	4,0	4,0	3,5
Приоритизация	5	1,7	3,3	5,0	5,0	5,0
Общие настройки	3	1,1	2,1	2,6	2,4	2,6
Предустановленный функционал	5	2,7	4,0	4,0	4,0	4,0
Мониторинг компонентов системы и внутренний аудит	3	2,3	3,0	3,0	2,3	3,0
Масштабируемость	8	6,8	7,5	7,5	6,8	7,5
Отказоустойчивость	5	0,0	5,0	5,0	2,1	5,0
Хранение	7	2,3	4,7	4,7	3,5	4,7
Удобство использования	10	5,5	8,5	7,5	6,0	7,3
Наличие сертификатов соответствия ФСТЭК	2	1,0	1,0	1,0	2,0	2,0
Дополнительные модули системы	5	2,5	4,0	2,8	4,0	4,8
	Итого:	52,1	82,9	86,3	74,8	83,2

HP ArcSight раньше других продуктов нашего обзора появился на рынке SIEM-решений России, потому успел завоевать немало поклонников и противников. Продукт HP поддерживает широкий перечень разнообразных источников событий, выполняя нормализацию на очень высоком уровне. Он имеет наиболее широкие возможности тонкой отладки, кастомизации и действительно мощный корреляционный функционал. На ArcSight уже построено множество SOC в крупнейших телекоммуникационных, добывающих и финансовых холдингах. Платой за мощь и гибкость являются сложность первичного изучения продукта, его высокая стоимость и небольшое количество квалифицированных российских специалистов, умеющих работать с решением.

IBM QRadar оказался на российском рынке немного позже и на тот момент явно отставал от ArcSight по корреляционному функционалу, но зато имел гораздо более простой и понятный интерфейс. За это время его корреляционные возможности значительно возросли, но пока не дотягивают до возможностей ArcSight. У продукта появилось много нового, передового функционала, благодаря которому он оказался на лидирующих позициях отчёта Гартнера. QRadar имеет отличные возможности горизонтальной масштабируемости, присутствует функционал анализа сетевых потоков, а также возможность интеграции с множеством дополнительных модулей от IBM. Возможности тонкой отладки и кастомизации ограничены.

Решение McAfee ESM в первую очередь рассчитано на текущих заказчиков вендора. Благодаря единому API реализована наиболее тесная интеграция со всей продуктовой линейкой производителя, что позволяет организовать 2-стороннюю связь практически со всей инфраструктурой безопасности (построенной на McAfee). В продукте реализован довольно удобный и понятный web-интерфейс, позволяющий быстро изменять представления данных при расследовании. Корреляционный функционал, реализованный в компоненте ERC, не отличается высокой гибкостью настройки. Существует также ACE – отдельное устройство, поддерживающее как real-time, так и историческую корреляцию и реализующее risk-based корреляцию. Возможности тонкой отладки и кастомизации ограничены.

Продукт RSA Security Analytics появился на российском рынке SIEM сравнительно недавно, он вобрал в себя опыт прошлого SIEM вендора (EnVision) и возможности приобретённого ими NetWitness. Основная концепция продукта основана на более тесном включении информации о сетевых потоках в стандартную логику работы SIEM. Продукт имеет удобный и понятный web-интерфейс, что облегчает его изучение. Корреляционный функционал ограничен, существует дополнительный корреляционный модуль. Продукт позиционируется вендором как решение для больших инсталляций, этому способствуют его богатая модульная структура и интеграция с высокоуровневыми продуктами RSA (Archer, ECAT, RSA Security Operations Management). Возможности тонкой отладки и кастомизации ограничены.

PT SIEM: российские вендоры только начинают свой путь на рынке SIEM-решений, и этот продукт имеет все шансы прочно закрепиться на внутреннем рынке благодаря позициям вендора и тенденциям к импортозамещению. Продукт активно развивается, и ещё слишком рано сравнивать его с гигантами индустрии, но несмотря на это, даже текущая версия выглядит жизнеспособной. В ней уже реализована большая часть функционала современных SIEM-решений. Основной продукт вендора – хорошо зарекомендовавший себя MaxPatrol, следовательно, интеграция SIEM-системы с функционалом управления уязвимостями и аудита систем максимальна.

Исходя из результатов тестирования, мы хотим сделать следующие выводы: для больших организаций, холдинговых структур, которые соответствуют компании Y из нашей предыдущей статьи, мы рекомендуем использовать в качестве платформы SOC решение от HP ввиду его гибкости и богатого функционала. Организациям не такого большого масштаба мы рекомендуем рассмотреть решения от компаний MсAfee и IBM. Они подходят тем организациям, которые не готовы заниматься тонкой настройкой системы и которым не нужна специфичная гибкость платформы для реализации основных функций SOC. Организациям, перед которыми достаточно остро стоит вопрос импортозамещения, в том числе средств защиты информации, мы рекомендуем использовать решение от компании Positive Technologies, поскольку оно является отечественной разработкой. Продукт новый, при этом вендор активно его дорабатывает, и мы видим его большое будущее.