SIEMのユースケースを検索

用語集：

SIEM （セキュリティ情報およびイベント管理）-イベント（ログ）、それらの相関および分析に関する情報を収集するためのハードウェアとソフトウェアの複合体。 Wiki

（SIEMに関連する） ユースケースは、ルール/スクリプトおよび/または視覚化メカニズムの特定のセットを示す確立された用語です。 たとえば、ポートスキャンを検出するには、IPアドレスを外部の評価データベースと調整します。 ユースケースは自分で作成するか、製造元のWebサイトから準備するか、請負業者に注文することができます。



この記事の目的は、ユースケースカタログおよび追加リソースに記載されている情報、およびコメント内のアクティブなダイアログを体系化することです。 あなたの経験を共有してください、そして、私は受け取った情報で投稿を更新します。

内容 ：

1. 2016年のSIEM評価
2. SIEMメーカーのWebサイトに「ネイティブ」ユースケースストア
3.自己記述型ユースケースの推奨事項
4.カスタム開発：インテグレーターカード
5.サードパーティユースケースカタログ：SOC Prime UCL、ベンダーフォーラム（リストは更新中）
6. SIEMに関連するブログおよび追加の情報セキュリティリソースへのリンク

1. 2016年のSIEM評価

まだSIEMを選択する段階にいる場合は、2つの独立したソースからの現在の評価があります。 さらに、記事自体がソリューションごとに異なる注意を払う理由を明らかにします。


出典：Gartner Magic Quadrant 2016


出典： 2016 InfoSec Nirvana

輸入代替のタスクが関連する場合、ロシア語のルートを持つ少なくとも3つのSIEMがあります。

• Positive Technologies MaxPatrol SIEM
• SearchInform SIEM
• RuSIEM 、 link2 、 link3 、 link4 、 link5

評価には含まれていませんが、言及する価値があります：
→OSSIM（オープンソースセキュリティ情報管理） habr1 、 habr2
→ OpenSOC 、 Apache Metronで発生

2. SIEMメーカーのWebサイトに「ネイティブ」ユースケースストア

公開日時点の情報（2016年11月末）。 現在、Use Case'ovの公開用に独自のサイトを編成しているメーカーは4社のみです。 また、ほとんどのメーカーは、情報を交換し、新たな問題の解決策を見つけるための内部フォーラムを持っています。

HPE ArcSightマーケットプレイス
有料で無料です。 追加のフィルタリングを適用しない場合、サイトには合計170のユースケースがあります。

IBM Security App Exchange
無料でダウンロードしてください。 IBMとパートナーの両方が開発した合計73のユースケースを利用できます。

ログリズム
これまでのところ、19件のユースケースのみです。 むしろ、彼らのマーケティングの説明。

スプランク
セキュリティ、不正、コンプライアンスのサブセクションには、487のアプリケーションが含まれています。 ただし、アプリケーションのみを除外し（アドオンも重要ではありませんが）、製品バージョン6.0以降を指定すると、合計数は236 Use Case'ovに減少します。

3.自己記述型ユースケースの推奨事項

ユースケースの開発方法は、 ブログ （Anton Chuvakin）と記事で詳しく説明されています 。

つまり、本格的なミニプロジェクトとしてタスクにアプローチする必要があります。

1. 解決する問題とその原因を明確に判断します（これは、ビジネス要件、データ保護のための業界標準や規制を遵守する必要性など）。
2. プロジェクトの境界（つまり、保護されたITインフラストラクチャの特定のセクション）を定義します。
3. その後、可能性のある「イベントのソース」を特定します。その処理により、実用的なユースケースを実装できます。 デバイスからのログ、イベントログ、構成設定などがあります。
4. ソースが必要なすべてのデータを正しく提供していることを確認します。そうしないと、正しく開発されたユースケースが効果的に機能しません（機能しません。
5. 最後に、ユースケースの開発を開始します。
6. ロジックとしきい値を調整して、インストールとテストを行います。
7. ユースケースが既にテストされ、本番環境にインストールされている場合、その操作に対する反応を正しく構成することが重要です：データをダッシュ​​ボードに単に出力するか、SMS /電子メール通知を必要とするか、スレーブデバイスの構成の変更を自動的に開始するだけで十分です（たとえば、IBMはそれを宣言します） SIEMはIPS /ファイアウォールルールを変更できます）。
8. やれやれ、すべてうまくいく！ ただし、これに関する作業は完了していません-開発したミニ製品のメンテナンスが必要です：処理のためにデータを受信するかどうかを定期的に確認し、その形式が変更されていない場合は、ITインフラストラクチャの変化するトポロジとビジネスのニーズに合わせてユースケース自体を変更します。

4.カスタム開発：インテグレーターカード

あなた自身の強み/時間/能力が十分でない場合は、専門家に頼ることができます-99％のケースでは、単独で、またはSIEMベンダーからのプロフェッショナルサービスに関与して、ユースケースのカスタム開発とサポートを行うインテグレーター企業になります。

人気のあるSIEMの「パートナーロケーター」セクションへのリンク：

→ findapartner.hpe.com
→ www-356.ibm.com/partnerworld/wps/bplocator/search.jsp
→ logrhythm.com/partners/resellers-and-mssps/find-a-partner （パートナーのリストは公開されていません。パートナーデータを送信するために、リクエストフォームに記入することをお勧めします）。
→ www.rsa.com/en-us/partners/find
→ www.splunk.com/en_us/partners/find-a-partner.html

これらのリンクで利用可能なパートナーに関する情報に基づいて、ウクライナを例に使用して一般的な表を作成しました（および私たちに共通のSIEM）。 ご覧のとおり、一部のインテグレーターは「一夫一婦制」ではありません。

SIEM インテグレーター	QRadar	アークライト	スプランク
アクティブ監査機関	-	-	再販業者
Bettaセキュリティ	-	-	再販業者
BMSコンサルティング	ビジネスパートナー	ゴールドパートナー	-
CBSグループ	ビジネスパートナー	-	-
Center of Systrem Integration	-	ビジネスパートナー	-
COMPAREXウクライナ	ビジネスパートナー	-	-
コムセック	-	-	再販業者
CS Integra	-	ビジネスパートナー	-
IBPM	ビジネスパートナー	-	-
ICSystems	-	ビジネスパートナー	-
誠実なビジョン	ビジネスパートナー	-	-
ISSP	-	シルバーパートナー。 エンジニア認定	-
IT for Business（Supportio）	-	ビジネスパートナー	-
ITインテグレーター（Incom）	ビジネスパートナー	-	-
ランテック	-	プラチナパートナー	-
SI BIS	ビジネスパートナー	-	-
SIセンター	-	ビジネスパートナー	-
スペツブザフトマティカ	-	ビジネスパートナー	-
スプロ	ビジネスパートナー	-	-
SVIT IT	ビジネスパートナー	ゴールドパートナー。 エンジニア認定	-
システム統合サービス	ビジネスパートナー	-	-

情報は100％関連していません。 パートナーのステータスは非常に不活性で状況に応じて更新されます：誰かが事前に与えられ、誰かがすでに重要な結果を達成していますが、ステータスはわずか6か月後に更新され、誰かがすでに名声とともにエンジニアを失いましたが、まだ完全なレガリアを持っていますリストされています。 さらに、大規模ベンダー（HPE、IBM）の場合、どのパートナーが非常に多くの製品のどれに特化しているかを理解することは非常に困難です。 したがって、さらに（匿名で）SIEMのディストリビューターに電話して、どのパートナーを推薦するかを尋ねることをお勧めします。

公式のパートナーステータスの欠如は、原則として、製品の販売の成功を妨げません-収益のみが減少します。 製品の不定期の作業中にステータスを取得することは非合理的である場合があります（たとえば、エンジニアの強制的な高価な認証や特定の年間レベルの販売が必要な場合など）。

5.サードパーティのディレクトリのユースケース 'ov

現時点では、ニーズに合わせてユースケースをダウンロードできる代替リソースがいくつかあります。




合計：22アプリケーション。 サイトからの情報によると、サイトの立ち上げは2016年8月31日であったため、さらなる成長が期待されています。 別の22のユースケースが開発中です（R＆Dステータスの下）。

ユースケースは、お金で支払うか、自分の努力で稼ぐことができるポイントで購入します（購入したアプリケーションのレビュー、ユースケースの投稿、フィードバックフォームからのアイデアの提案）。



最初のスクリーンショットの続きですが、リストを表示するための代替スキームがあります：



後で判明したように、すぐにそこに登録することはできません-彼らは公開されたGmailのメールアドレスを無視し、企業のアドレスのみに登録することを強制しました。 「攻撃者が無料の電子メールを介して簡単に登録し、保護アルゴリズムを学習できる場合、そのような保護を回避する方法をすぐに学習できます。」


著者について ：

私の経験は、セキュリティインテグレーターで4年、ディストリビューターのセキュリティ部門で2年、そしてITビジネスアナリストの立場でFMCG顧客の側で3年です。 習慣から、私はまだセキュリティニュースをフォローし、ユースケースを使用するタスクで、友人を助けました-それをきっかけに、記事を準備することにしました。