Журнал "Information Security/ Информационная безопасность" #4, 2022

28 • СПЕЦПРОЕКТ Название решения Kaspersky Unified Monitoring and Analysis Platform (KUMA) MaxPatrol SIEM Компания-разработчик, страна Лаборатория Касперского, Россия Positive Technologies, Россия Компания, предоставившая информацию Лаборатория Касперского Positive Technologies Год появления на российском рынке 2019 2015 Поддержка интерфейса на русском языке Да Да Поддержка интерфейса на других языках Английский Английский Сертификаты, патенты и лицензии Реестр российского ПО; сертификат ФСТЭК по 4 УД, свидетельство о государственной регистрации программ для ЭВМ Реестр российского ПО; сертификаты соответствия ФСТЭК России, Республики Казахстан, Республики Беларусь Позиционирование SIEM-система, центральный элемент единой платформы безопасности, взаимодействует с продуктами "Лаборатории Касперского" и др. поставщиков MaxPatrol SIEM дает полную видимость ИТ-инфраструктуры и выявляет инциденты информационной безопасности Актуальная версия 2.0 7.0 Актуальная сертифицированная версия 1.5 6.2 Централизованный сбор и хранение событий Единый интерфейс для контроля и управления источниками событий Да Да Количество поддерживаемых источников из коробки Более 100 Более 300 Автообнаружение источников Да Да Возможность самостоятельной разработки парсеров для нестандартных источников Есть конструктор Есть конструктор, или интегратор / вендор сделают по запросу Подключение другой SIEM в качестве источника Да Да Перенаправление потока событий в другую SIEM Да Да Поддерживаемые протоколы и форматы Syslog, Syslog-ng, SNMPv2, HTTP(S), SQL, ODBC, WMI, FTP, SFTP, xFlow, sFlow, IPFIX, CEF, RPC (WMI), Windows Event Log, Windows File log, SNMP Traps, SSH File Log, Telnet File Log, Kafka, NATS, TCP, UDP Syslog (TCP/UDP), SNMP (Trap), Cisco NetFlow, DCE/RPC (WMI), CIFS/SMB (RPC), DCOM (RPC), SSH, Telnet, OPSEC LEA, VMware API, ODBC API, CEF, REST API, Custom Event Collector Метод сбора событий с источников Агентский и безагентский Агентский и безагентский Хранение сырых событий Да Да Возможность указания срока хранения событий Да Да Коэффициент сжатия при хранении сырых событий До 40% 1:7 (LogSpace), 1:3 (Elasticsearch) Нормализация и обогащение событий Единый интерфейс для контроля и управления нормализацией Да Да Автоматическая нормализация При сборе и отображении При сборе и отображении Поддерживаемые форматы нормализации CEF / RFC 5424 / RFC 3164 / EVTX / JSON / CSV / Key-Value / XML / *flow / SQL / Regexp TEXT / TABULAR / JSON / XML Использование регулярных выражений для нормализации Да Да Приведение событий к единой временной зоне Да Да Коэффициент сжатия при хранении нормализованных событий До 40% 1:10 (LogSpace), 1:3 (Elasticsearch) Корреляция и применение правил Единый интерфейс для анализа событий Да Да Потоковая корреляция в реальном времени Да Да Количество предустановленных правил корреляции Более 200 Более 500 Возможность добавления новых правил корреляции Визуальный режим Визуальный режим и скриптовый язык Автоматическая приоритизация инцидентов Да Да Сравнение решений класса SIEM