SIEM 产品对比 (2017年)
主要对比四个 SIEM 产品 IBM Qradar, Hansight, Splunk Enterprise Security 和 Apache Metron .
对比详情
Sheet Name :- SIEM对比
| 考察点(总分100) | 说明 | IBM Qradar | Splunk Enterprise Security | Apache Metron | Hansight |
| 1、公司能力(10) | 主要用于评测该产品在SIEM市场上的地位,在国内的团队规模及代理商能力 | 位于Gartner SIEM魔力象限第一象限,并处于领先地位 国内有支持、销售团队,并且代理商实力较强 |
Splunk Enterprise Security位于Gartner SIEM魔力象限第一象限,仅次于IBM 国内有研发办公室,但是为全球研发中心服务,代理商实力尚可 |
暂未进入Gartner SIEM魔力象限 Apache公司开源的研究成果 |
暂未进入Gartner SIEM象限 |
| 2、日志收集能力(10) | 主要用于评测产品对于各类日志收集、保存的能力 | 采用内建格式与APP相结合的模式进行日志收集,如有不支持的系统可以通过正则表达式收集。 日志储存在数据仓库内 |
依赖各类APP实现日志的收集、规范化工作,如有不支持的可以通过正则表达式进行规范化,且可以直接通过WEB界面选中创建索引 日志储存在Index内,可分布式部署 |
依赖agent实现对日志的收集,Metron本身不提供日志收集功能 日志通过kafka收集,保存在ES、HDFS、SOLR中 |
依靠agent采集日志,可用现有日志收集agent进行收集,对国内设备支持较好,但需要统一es索引 日志通过kafka收集,保存到ES中 |
| 3、产品易用性(10) | 主要用于评测产品的功能易用性,Dashboard显示是否美观、直观,是否可定制仪表盘 | 没有中文操作界面,默认仪表盘不美观,定制仪表盘较复杂 | 有中文操作界面,默认仪表盘较为直观,定制仪表盘较为方便 | 默认界面只有基础日志列表,需要通过其他工具如kibana或API接口,进行自定义图表进行展示 | 仪表盘直观、方便,可定制仪表盘,且美观 |
| 4、关联分析能力(10) | 主要用于评测产品对于事件之间关联分析的能力,默认规则的数量以及是否可用 | 默认600多条规则,总体关联分析能力尚可,如果采用数据仓库模式会影响关联分析能力, | 默认400多条规则,不能实时呈现事件,日志需要先进入indexer然后再进行关联分析,基于大数据分析,日志搜索能力较强,关联分析能力强但需要自己创建和维护 | 无默认规则,实时性好 关联分析能力一般 |
默认700多条规则,实时性略差 关联分析能力一般 |
| 5、关联规则(Use case)(20) | 主要用于评测产品的关联规则撰写是否容易,是否易于上手,是否可以与其他设备进行联动、自动响应 | 关联规则撰写较为简单 功能上可以与其他设备通过脚本进行联动 |
关联规则撰写需要一定基础 | 关联规则撰写需要掌握stellar语言,规则需要通过shell进行编写和上传 | 关联规则撰写可通过界面直接配置,编写简单 |
| 6、系统部署(10) | 主要用于评测产品的部署难度及系统稳定性 | 基于硬件设备的部署,如用虚拟机部署会造成系统稳定性有缺陷,POC期间曾发生2次故障 | 采用虚拟机部署,indexer和header可以灵活变更 | 软件部署,部署前需要自行配置,较复杂 | 软件部署,具体不清楚 |
| 7、报表功能(10) | 主要用于评测产品是否能够生成我们需要的报表及操作是否简便 | 多种模板可以选择,操作便利性一般 | 报表功能丰富,多种模板可以选择,操作较方便 | 无 | 报表功能丰富、美观;支持自定义、操作简便 |
| 8、威胁情报/UBA/人工智能(10) | 主要用于评测产品的外部扩展性 | 免费的UBA和威胁情报Xforce | UBA需要花钱,没有威胁情报 | 无UBA、有威胁情报接口需自行接入 | 支持威胁情报,客户之间协同抵御攻击 |
| 8、最佳实践(10) | 主要用于评测产品是否有可以参考的成功案例 | 中国银行数据中心,较成功 | 中芯国际,一般案例 | 无 | 金融行业、公安部门 |
Sheet Name :- 核心内容对比
| IBM Qrada | Splunk,企业安全(ES) | HanSight | Apache Metron | ||
| 核心功能/优势 | 事件管理、日志管理、漏洞管理、事件取证、风险管理、威胁智能感知系统、netflow收集方便、整体功能丰富、UBA模块不用额外购买、开箱即用的规则多 | 全状态、安全事件管理,事件调查(以资产或身份为视角)、高级威胁(风险分析、用户活动、访问异常、威胁活动、协议情报、HTTP类型分析、HTTP用户代理分析、域名分析、流量大小分析等), 安全域(访问、终端、网络、身份),整体上,可视化、行为分析能力较强,扩展能力强,以后可以联动业务数据 | 事件管理、日志管理;界面较美观、规则编写简单、可对接现有公司现有大数据相关产品、日志收集功能强大 | 事件管理、日志管理 开源、日志接受功能强大、分析语法强大 |
|
| 缺陷 | 对kafka支持比较差,需要后期研发 | 搜索规则更复杂,价格更贵;如果后续需要添加攻击模型,需要购买单独的实施服务 | 关联分析能力一般,无免费的内置威胁情报,采用spark分析日志,实时性略差且可能存在漏报 | 无内置分析规则,规则编写门槛较高 框架刚发展起来,无已知使用厂商 日志关联效果难以保障 |
|
| 其他 | SIEM系统建立初期需要花费大量时间建立Use case,并对报警事件进行调优。 初期(2019)估计需要1个人专门处理SIEM事件,后期(2020之后)根据事件量估计需要增加1-2人。外加vendor实施1-2个人。 |
||||
Sheet Name :- 关注点详细对比
| IBM QReader | Splunk ES | Hansight | Apache Metron | |
| 关联分析 | 1. 各种设备日志及流量的单一时间实时关联形成事件 2. 事件持续分析,实时加入新的单一事件 |
内置攻击模型,日志自动分析对应到内置的攻击模型中 | 各种设备日志及流量关联形成事件 | 各种设备日志关联形成单一事件 |
| 规则自定义 | 规则编写简单 | 规则编写需要一定基础 | 规则编写简单 | 规则编写复杂 |
| 威胁情报 | 内置免费全球威胁情报源Xforce | 内置威胁情报,可自行配置 | 无内置免费威胁情报,具有接口,可单独购买威胁情报 | 无内置免费威胁情报 |
| 展示界面 | 差,有中文界面,可通过restapi自行研发 | 一般,有中文界面 | 优秀,相当美观,支持定制 | 很差,界面尚未完全开发,支持通过api定制 |
| 部署配置 | 一台机器 16个CPU核心,64GB内存,1GB NIC网卡 |
150G/天的日志,集群模式部署最少需要三台机器,一台做搜索节点,两台做数据存储,含冗余备份 机器配置如下 存储机器: intel 64位架构 12个CPU核心,每个核心不低于2GHZ 12G RAM 能够提供800平均IOPS速度的磁盘子系统 1Gb以太网NIC,以及另一个用于管理网络的NIC选件 64位linux或windows分发 搜索机器: intel 64位架构 16个CPU核心,每个核心不低于2GHZ 12G RAM 2个300GM、10000RPM SAS硬盘,采用RAID 1配置 能够提供800平均IOPS速度的磁盘子系统 1Gb以太网NIC,以及另一个用于管理网络的NIC选件 64位linux或windows分发 |
4-6台机器 内存至少64G,其他配置为市场主流 |
未进行相关测试,暂时不能确定 |
Leave a Reply