Общее. SIEM в который надо верить

21 мая компания Positive Technologies провела пресс-конференцию для СМИ, блогеров и экспертов.

Позитивы собрали на выступление представителей из разных своих подразделений связанных SIEM (от продакт менеджеров, от пентестеров, от разработчиков, архитектора). Каждый рассказывал как они дошли до SIEMа, что вложили туда. 

Как правило SIEM-ы сравнивают по следующим возможностям:

·         сбор событий ИБ их разных источников и приведение к единому виду,

·         корреляции, анализу событий ИБ

·         управление инцидентами ИБ

·         контроль политик / соответствия

·         мониторинг ИБ (дашборды)

·         построение отчетов

·         простота развертывания/настройки, поддержка

Давайте посмотрим что из этого удалось достоверно понять.

PT рассказывали что позиционируются как российский продукт, созданный ими с нуля. Так что они очень хорошо идут на волне импортозамещения в крупные госы и корпорации. Но им мешают конкуренты, которые переклеивают шильдики на западных или опенсорсных продуктах и продают их как российские. В пресейле предлагают использовать преимущество -  100% российская разработка только у Positive Technologies (только не надо разводить про БД стороннего производства. Покажите мне российское СЗИ, в составе которого идет БД собственного производтва ).

PT рассказывали как взяли в систему всё самое лучшее от своих консалтинговых подразделений:

·         пентестеры обучали систему всевозможными сценариям атак (система обнаруживает пентестеров, а значит и хакеров обнаружит)

·         спецы по расследованию инцидентов, обучили тому как они вручную по этапам расследуют атаки, по цепочке начиная с точки вторжения в корпоративную сеть раскручивают всю последовательность действий нарушителей (автоматизировали деятельность следователя)

·         спецы ответственные за SOC на олимпиаде и универсиаде заложили свой опыт по приоретизации и выделению наиболее критических событий, заготовили сценарии по реагированию

Обещают, что этот опыт уже заложен/предустановлен в SIEM и готов к использованию. В отличие от многих других SIEM в которых базу правил нужно выбрасывать и писать свои. 

Разработчики рассказывали что изначально они просто расширяли функционал MaxPatrol (по просьбам заказчиков, по своим потребностям), добавили пассивное обнаружение уязвимостей в трафике, добавили сбор логов, опять же для определения уязвимостей и нарушений настроек, и в какой-то момент поняли что у них уже получился SIEM, со 100% интеграцией со сканером безопасности и средством контроля политик. Заявляют, что они берут и используют всю информацию которую может дать MaxPatrol (обнаруженные активы, версии, уязвимости, конфигурации, корпоративные политики) а конкурентные SIEM используют не больше 40% (это они узнали из опыта интеграции с ArcSight и QRadar).

Вместо презентации самого продукта показали 2 видеоролика длиной 5-10 минут:

·         с интерфейсами MaxPatrol X (MaxPatrol SIEM), на видео погуляли по основным окошкам, показали несколько типовых задач

·         с тем как работают консалтинговые подразделения и по сути как они"обучают" SIEM

Визуально задача на сбор событий с устройства похожа на задачу MaxPatrol на сканирование устройства. Кто работал с MaxPatrol может легко представить. По разработке новых модулей сбора событий (например из частной АБС) – сказали, что легко допиливается исполнителем используя специальный конфигуратор. Показали красивую картинку с общей схемой обнаруженных узлов сети. Но не показали, как на этой схеме отображается траектория атаки (может эта часть ещё в разработке?). Красивых дашбордов нам не показали. В обсуждении упомянули отдельный модуль по построению отчетов и визуализации (но как мне показалось там ещё надо будет допиливать, а готового простого дашборда для наиболее частых ситуаций нет)

Давайте подведем итоги того что не удалось узнать:

·         увидеть продукт в живую. А он вообще существует?

·         какие источники данных и способы сбора поддерживаются на данный момент?

·         какой объем правил корреляции разработан и какие области он покрывает?

·         не показали простые дашборды

Техническую документацию PT готов предоставить только после первого дня PHDays, на котором будет показан в живую.

Итого – никаких достоверных данных после пресс-конференции у нас не появилось. Но ребята из Positive Technologies хорошие, в свое время сделали сканер maxpatrol на отлично и в консалтинге профи, поэтому надо им поверить и брать maxpatrol SIEM.

PS: отчеты коллег – блогеров:  Артема Агеева, Алексея Комарова, Андрея Прозорова, Александра Бодрика.