McAfee SIEM – công cụ phân tích tốt nhất
02/06/2016 22:21 Category: Tin bảo mật

Intel Security’s McAfee Enterprise Security Manager (ESM) là một bộ sản phẩm quản lý sự kiện và thông tin bảo mật của hãng Intel Security’s McAfee. Nó được thiết kế dưới dạng máy ảo hoặc thiết bị và hỗ trợ số lượng lớn các sản phẩm để tạo ra thông tin hữu ích cho các nhà quản trị an ninh.

Chúng tôi đã nhận được phiên bản ảo hoá. Chúng tôi đã gửi một liên kết tải về thiết bị ảo hoá (không thiết lập thêm) được triển khai đến các thiết bị. Sau khi cung cấp một địa chỉ IP, tất cả chúng ta cần làm là chỉ định syslog và các thiết bị được hỗ trợ khác đối với người nhận và từ các bản ghi (logs) có tương quan. Việc thêm danh mục kích hoạt cũng đơn giản như nhập thông tin tài khoản và địa chỉ IP của bộ điều khiển tên miền, không yêu cầu đại lý cài đặt: ESM sẽ lấy logs thông qua thiết bị quản lý Windows (WMI) trong một khoảng thời gian được thiết lập bởi người sử dụng.

Sản phẩm này đáp ứng tất cả tính năng mà mọi người mong đợi ở sản phẩm SIEM: thu thập các bản ghi trên một số lượng lớn thiết bị và tích hợp với danh bạ hoạt động. Người nhận lấy logs và đều dễ dàng có hiệu lực cho người dùng. Tính năng kiểm soát truy cập và tài khoản người dùng dễ dàng giới hạn người dùng chỉ có quyền truy cập những gì họ thực sự cần xem.

……..

Điểm đặc biệt của sản phẩm là tính năng phân tích tương quan nâng cao. Điều suy luận này hoàn toàn đáng ngạc nhiên. ESM tạo ra mối tương quan giữa các nguồn khác nhau và tìm ra yếu tố ngoại lai nhanh nhất có thể cùng với các sự kiện khả nghi và những điều kỳ lạ chung trong hệ thống mạng. Yếu tố ngoại lai nổi bật như dấu hiệu với ESM, cực kỳ hữu ích cho việc theo dõi nhanh chóng, dễ dàng các sự kiện bảo mật và vi phạm chính sách. Tính năng đó cho phép chúng ta nhìn thấy các bản ghi chính xác gây ra cảnh báo hoặc sự kiện, cho phép quản trị viên hệ thống quyết định sự kiện có đáng gỡ xuống.

Việc dẫn chững bằng tài liệu bao gồm một danh sách dài những sản phẩm hỗ trợ và phân tích syslog, mặc dù việc tìm kiếm một số thông tin khó khăn hơn. Tuy nhiên, các tài liệu hướng dẫn là tốt và bảo đảm chất lượng mà chúng tôi đã mong đợi từ công ty này.

Có hai cách hỗ trợ: Hỗ trợ kỹ thuật doanh nghiệp lớn McAfee và Hỗ trợ kỹ thuật doanh nghiệp McAfee. Hỗ trợ kỹ thuật của McAfee cho doanh nghiệp lớn chỉ định một đầu mối liên lạc duy nhất, gọi là quản lý hỗ trợ tài khoản, sẽ xử lý tại nơi khoảng một hai lần mỗi năm. Tất cả các hợp đồng hỗ trợ là 24/7 qua điện thoại.

Sản phẩm McAfee Enterprise Security Manager đã từng đạt được các tiêu chuẩn vàng cho sản phẩm SIEMs khối doanh nghiệp và hiện tại vẫn thế. McAfee Enterprise Security Manager cung cấp một số những kết luận và thông tin hữu ích mà dính các báo động giả hoặc dự đoán vô căn cứ. Nó không phải là lựa chọn có chi phí hợp lý nhất – gần gấp 10 lần giá của sản phẩm SIEM rẻ nhất chúng tôi xem xét trong tháng này – nhưng nếu bạn có tiền, đây là một chi phí đáng đầu tư . – BJ

http://www.scmagazine.com/mcafee-part-ofintelsecurity-enterprise-security-manager-esm/review/4384/