[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Settembre 2006 ml@sikurezza.org Soggetto: Re: [ml] Ricerca prodotti correlazione e analisi eventi di sicurezza Mittente: ego Data: Mon, 25 Sep 2006 23:01:51 +0200 (CEST)
> * IBM Tivoli Security Operations Manager v3.1 > </software/tivoli/products/security-operations-mgr/> > * nFX Open Security Platform di netForensies > * CA Security Command Center Per la mia esperienza quelli che hai citato sono da buttare, tranne netforensic che manterrei fra i "papabili" il prodotto CA e` funzionale e ben integrato (almeno lo era fino a 6 mesi fa l`ultima volta che l`ho avuto in pilot) solo su prodotti CA e non e` dotato di un motore di correlazione utilizzabile e degno di tale nome, al sottoscritto e` sembrato semplicemente un "cruscotto da managment con 4 allarmi" :-) il Tivoli di IBM l`ho trovato invece piuttosto "accroccato" nella gestione della correlazione e, soprattutto, ha bisogno del classico apporto di consulenza IBM senza la quale non e` possibile mettere in piedi qualcosa di serio. io mi guarderei con attenzione: + novell sentinel <- molto buono se hai moli di dati assurde e log-hitting particolarmente "fast". se poi vuoi fare una correlazione su quantità di dati astrofisiche c'è un prodotto di SaS di cui non ricordo il nome, ma trovi su google. Dato che stai valutando prodotti di un certo costo economico, ti consiglierei di farteli provare in un pilot, proponilo alla loro struttura commerciale e vedrai che non si tireranno indietro. Soprattutto mettili in competizione e vedrai che riuscirai a spuntare dei buoni prezzi. Nota, inoltre che avere sotto le mani un programma del genere ha come PREREQUISITO di una struttura organizzativa a supporto altrimenti non ti apportano nessun valore aggiunto. Per quel che concerne l'opensource, di prodotti ce ne sono, ma a mio avviso non sono validi su architetture distribuite e complesse, te li riporto a seguito e non esitare a contattarmi in privato se hai bisogno di informazioni: + OS-SIM: www.ossim.net <- mal documentato ma molto buono per le correlazioni è disponibile un'immagine vmware così te lo provi. + Prelude: www.prelude-ids.org <- ottimo per la concentrazione log e si integra con l'os-sim di sopra + OpenSims questi sono quelli "buoni", ma a mio avviso non sono affatto maturi per ambienti enterprise. Federico
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005