По крайней мере, так заявляет AlienVault, частная американская компания по разработке программного обеспечения, базирующаяся в Сан-Матео, Калифорния, в Силиконовой долине и представительства во многих странах мира.
Но прежде всего, что такое SIEM?
SIEM обозначает Безопасность и управление событиями или Информационная безопасность и управление событиями.
Следовательно, OSSIM - это SIEM с открытым исходным кодом, поскольку аббревиатура говорит: Информация о безопасности открытого источника и управление событиями... система.
Оставляя в стороне аббревиатуры и разговоры, которые следует понимать, SIEM - это не что иное, как информационная система, которая позволяет анализировать безопасность и управлять событиями посредством сбора информации о событиях безопасности, нормализации собранных данных и их корреляции.
Для достижения цели, для которой был создан OSSIM, программное обеспечение использует некоторые функции, которыми оно оснащено, среди которых основными являются:
- обнаружение активовили автоматический поиск ИТ-ресурсов организации;
- Оценка уязвимостиконтроль над уязвимостями информационной системы;
- обнаружения вторженийили поиск любых вредоносных действий, совершенных неавторизованными пользователями или программным обеспечением;
- поведенческий мониторингто есть поведенческий контроль пользователей системы;
- SIEM, реальная функция управления событиями безопасности.
Конечно, поскольку рынок осторожно сообщает нам бесплатные вещи, они не всегда соответствуют тому, что платят ... но будет ли это так?
Фактом является то, что на рынке есть много производителей, которые занимаются SIEM, включая IBM, CorreLog, RSA, Splunk, Symantec, и это лишь некоторые из них. Естественно, у каждого из них, чтобы услышать их, всегда есть что-то большее или лучшее, чем у их конкурентов. Есть те, кто лучше разбирается в журналах, те, кто более опытен в сборе информации, те, кто заявляет, что они лучшие в корреляции данных и так далее.
Все эти продукты, будь они Open Source или предоставленные по лицензии за плату, они используют организацию, способную предоставлять и собирать информацию, адаптировать программное обеспечение к потребностям бизнеса или предоставлять услуги безопасности за плату, в конечном итоге действительно важны люди, стоящие за ней, и их способность анализировать и делать "сеть".
Вы можете понять это, пытаясь настроить любую систему самостоятельно. Нам часто нужны настолько сильные инженерные знания, что мы сами ничего не можем сделать. Затем мы обращаемся к сообществам, группам сторонников, которые часто отдают свой вклад бесплатно, из страсти.
Однако не всегда разумно обращаться к сообществу, в частности, не всегда целесообразно делать это в области безопасности и даже в меньшей степени, когда речь идет об информации об организационной структуре.
Но тогда как мы должны себя вести?
Тратьте много денег на лицензии и помощь или экономьте, используя продукты Open Source?
Я лично считаю, что есть золотая середина.
Использовать продукты с открытым исходным кодом это возможно, если организация, в которой они работают, инвестирует в внутренний персонал, который должен уметь понимать функционирование и использование программного обеспечения, возможно, участвуя в сообществе разработчиков.
Так что в мире киберзащиты действительно имеет значение не программное обеспечение, а способность инженеров настраивать программное обеспечение в соответствии с различными ситуациями и способность аналитиков «читать» информацию, скрытую за огромными объемами данных. собраны благодаря их опыту и знаниям организации, в которой они работают.
Они - те, кто все еще сегодня имеет значение: люди с их знаниями, их способностями и их изобретательностью.
источники:
- https://www.alienvault.com/products/ossim;
- http://searchsecurity.techtarget.com/essentialguide/The-top-SIEM-product...
- https://www.splunk.com/en_us/resource/video.ltc2VpbzpiffiI6q6mOCggCf7sYA...
- http://www.securityweek.com/keyw-corporation-acquire-siem-vendor-sensage...
- https://www.gartner.com/doc/1679814/magic-quadrant-security-information-....
