Какое решение по управлению событиями безопасности какой организации подойдет лучше

Информация представленная ниже основана на отчете Гартнер «Магический квадрант решений по управлению информацией и событиями безопасности» 2014 года.

Для каждого производителя, отобранного для исследования, были определены наилучшие условия применения их решений, что и представлено в таблице ниже.

Вендор Лучшее применение
AccelOps AccelOps хорошо подойдет для предприятий и провайдеров, которым требуется сочетание мониторинга событий безопасности, производительности и доступности, а также функции интегрированной базы данных управления конфигурациями (конфигурационными единицами), называемой также БДКЕ или CMDB.
AlienVault Платформу унифицированного управления безопасностью от AlienVault следует рассматривать организациям, которым необходим широкий набор интегрированного функционала за относительно низкую стоимость по-сравнению с другими предложениями на рынке, а также тем, кто хочет получить программный продукт с открытым исходным кодом, но с коммерческой технической поддержкой.
BlackStratus BlackStratus хорошо подходит сервис-провайдерам, которым необходима платформа управления информацией и событиями в области ИБ, а также организациям-конечным пользователям, которые ищут хорошо организованную поддержку аренды приложений.
EMC (RSA) RSA Security Analytics следует рассматривать организациям, эксплуатирующим высоко защищенную ИТ инфраструктуру и обладающим кадровыми ресурсами для поддержки комплексных тенологий, которые требуют значительной настройки, а также, которым для обнаружения и исследования угроз необходимо сочетание как мониторинга журналов событий, так и сетевого мониторинга.
EventTracker EventTracker подходит для бизнесов среднего масштаба, которым необходимо управление журналами, событиями безопасности, отчетность на соответствие требованиям и мониторинг операций при помощи программного решения, а также средним предприятиям, у которые хотят использовать систему управления информацией и событиями информационной безопасности (SIEM) на основе локальных инсталляций и облачных решений в сочетании с базовыми сервисами мониторинга.
HP ArcSight Express следует рассматривать для внедрений систему управления информацией и событиями ИБ средних масштабов. ArcSight Enterprise Security Manager же подходит для более крупных внедрений в масштабах, позволяющих организовать собственную поддержку этого решения.
IBM Security IBM предлагает совместно управляемую сервисную опцию для QRadar, которая сочетает внедрение QRadar на площадках заказчика с удаленным мониторингом сервисами операционного центра IBM. QRadar хорошо подходит для средних и крупных организаций, которым необходимы общие возможности управления информацией и событиями ИБ, а также в случаях, когда требуется анализ поведения, анализ NetFlow и полный перехват пакетов данных.
LogRhythm LogRhythm особенно хорошо подойдет организациям, требующим комбинацию системы управления информацией и событиями безопасности, мониторинг целостности файлов и сетевой мониторинг, а также организациям, придающим особое значение простоте внедрения и преднастроенным функциям мониторинга в противовес концепции «создаю свою систему сам».
McAfee McAfee Enterprise Security Manager — хороший выбор для организаций, которым необходима высокопроизводительная аналитика в условиях интенсивных потоков событий, а также организациям с повышенными требованиями к мониторингу баз данных и систем управления производственными процессами (industrial control systems).
NetIQ NetIQ Sentinel (приобретенный у Novell) хорошо подходит для организаций, которым необходимо крупномасшатбная обработка событий безопасности в высоко-распределенной среде (например, в розничной торговле), а также это – особенно хороший выбор для организаций, уже внедривших инфраструктуру управления доступом NetIQ Identity and access management (IAM) и теперь нуждаются в мониторинге безопасности в контексте идентификации.
SolarWinds SolarWinds Log and Event Manager (LEM) хорошо подходит для малых и средних компаний, которым необходима технология управления информацией и событиями безопасности, которую легко внедрять и тем компаниям, которые уже используют другие компоненты SolarWinds по мониторингу операций.
Splunk Splunk хорошо подойдет организациям, работающим в области информационной безопасности, которым требуется гибко настраиваемые инструменты мониторинга и аналитики, и особенно хорошо подойдет в случае перекрытия областей мониторинга безопасности и эксплуатационного мониторинга, а также для внедрений с фокусом на мониторинг приложений.
Tenable Network Security Решений по управлению информацией и событиями ИБ от Tenable — хороший выбор для организаций, которые хотят внедрить непрерывный мониторинг, основываясь на оценке уязвимостей, а также на данных о конфигурационных настройках функций безопасности и журналов событий.
Tibco Software LogLogic от Tibco Software — хороший выбор в случаях, когда фокус находится на управлении журналами событий, предоставляя это в виде сервиса на уровне всей организации, или в случаях, когда система управления журналами и событиями используется для направления ее данных специализированному сервис-провайдеру в области безопасности или системе управления событиями от другого производителя. В дополнение, заказчики, которые уже используют или планируют внедрять решения Tibco, получат значительные выгоды от их интеграции с LogLogic.
Trustwave Trustwave хорошо подходит для средних организаций, которым необходимо сочетание сервисов по оценке соответствия требованиям безопасности и технологий управления информацией и событиями безопасности.

Распределение ведоров по 4-м квадрантам можно увидеть в заметке: «Волшебный квадрант» Gartner по системам управления информацией и событиями ИБ 2014.

Евгений