McAfee Security Information and Event

Transkrypt

1 1 McAfee Security Information and Event Management (SIEM) Unikalna technologia zarządzania zdarzeniami od McAfee Spis treści Wprowadzenie... 2 McAfee SIEM... 2 Cechy rozwiązania McAfee SIEM... 4 Komponenty rozwiązania McAfee SIEM... 7 McAfee ESM... 7 McAfee Event Receiver... 7 McAfee ELM... 8 McAfee ACE... 8 McAfee DEM... 9 McAfee ADM... 9 McAfee GTI for Enterprise Security Manager Dodatkowe wyposażenie Podsumowanie... 10

2 2 Wprowadzenie Aktualny świat zagrożeń IT poczynając od ataków inicjowanych z wnętrza organizacji, do zaawansowanych, wieloetapowych, nakierowanych na konkretny cel ataków (APT Advanced Persistent Threats) zmienia się tak szybko, że wiele organizacji i ich działów IT nie może efektywnie odpowiadać na zagrożenia. Skupianie się na zabezpieczeniach sieciowych, badaniu podatności systemów operacyjnych i otwartych portów, które są cały czas istotne z punktu widzenia kompleksowego zabezpieczenia organizacji, przestaje być najważniejszym zadaniem wielu działów IT. Przeprowadzenie udanego ataku powoduje, że w ciągu minut napastnik otrzymuje dostęp do zasobów organizacji, podczas gdy potencjał obronny wielu firm pozwala na skuteczne rozpoznanie ataku i zareagowanie na niego czasami po kilku dniach, tygodniach czy wręcz miesiącach. Czas pracuje w takich wypadkach na korzyść atakującego, a nawet najbardziej zaawansowane, wielostopniowe systemy bezpieczeństwa zamiast przyspieszyć reakcję opóźniają ją ze względu na zalew informacji, jaki trafia do administratorów utrzymujących system bezpieczeństwa. Nawet taka organizacja zajmująca się badaniem ryku IT, jak Gartner, podkreśla obecnie znaczenie inteligencji systemów bezpieczeństwa dla właściwej ochrony organizacji przed współczesnymi atakami i dla umożliwienia szybkiego reagowania na incydenty bezpieczeństwa. Biorąc to pod uwagę konieczne okazuje się wdrażanie zoptymalizowanych, choć nadal wielowarstwowych i stosujących różne technologie przeciwdziałania i wykrywania ataków, to uzupełnionych inteligentnymi rozwiązaniami integrującymi rozwiązania i przyśpieszającymi analizę wyników ich pracy. McAfee SIEM McAfee, firma należąca w pełni do Intel Corporation, jest największą na świecie firmą zajmującą się wyłącznie rozwiązaniami bezpieczeństwa IT. McAfee rozwija i dostarcza produkty i usługi, które pomagają chronić dane, systemy, sieci, urządzenia mobilne na całym świecie, umożliwiając ludziom i organizacjom bezpiecznie korzystać z Internetu, komunikować się wzajemnie, dokonywać transakcji elektronicznych i tak dalej. Zaawansowane rozwiązania bezpieczeństwa, uzupełnione centralnym serwisem reputacyjnym i gromadzącym informacje o zagrożeniach McAfee GTI pozwalają budować zaawansowane systemy bezpieczeństwa dla osób prywatnych, firm z różnych rodzajów rynków, rządów, dostawców usług na całym świecie. Systemy te chronią dane, umożliwiają potwierdzenie zgodności z wymaganiami i standardami, pozwalają wreszcie na ciągłe monitorowanie stanu pracy systemów bezpieczeństwa i reagowanie w przypadku wykrycia incydentu. McAfee wraz z Intelem posiadają unikalne na świecie możliwości i narzędzia do tworzenia najbardziej zaawansowanych systemów ochrony, które uwzględniają rozwiązania ochronne wbudowane w sprzęt, różne technologie wykrywania i przeciwdziałania atakom działające na miejscu oraz w chmurze a także rozwiązania, które bazują na strategii centralizacji zarządzani i ścisłej integracji produktów wchodzących w skład systemu bezpieczeństwa. W listopadzie 2011 roku McAfee zakupiło prywatną firmę NitroSecurity, lidera rozwiązań zarządzania bezpieczeństwem i zdarzeniami wprowadzając tym samym do swojej oferty

3 3 rozwiązanie SIEM (Security Information and Event Management). McAfee SIEM został sklasyfikowany w najnowszym raporcie Gartner Magic Quadrant for SIEM z 2012 roku, jako lider rynku rozwiązań SIEM na świecie. Rys. 1 Diagram (tzw. magiczny kwadrat) z raportu Magic Quadrant for Security Information and Event Management, Maj 2012 McAfee SIEM wykorzystuje najszybsze na rynku rozwiązanie do identyfikacji, korelacji i reagowania na incydenty bezpieczeństwa umożliwiając podjęcie działań w ciągu minut a nie godzin, czy nawet dni jak w przypadku innych rozwiązań tego typu na rynku. Zakup firmy NitroSecurity i wprowadzenie do oferty McAfee rozwiązania SIEM ma szczególne znaczenie i jest wyjątkowe także ze względu na: Umożliwienie McAfee dalszego rozwoju rozwiązań do oceny ryzyka IT i zarządzania nim łącząc cechy lidera rynku SIEM z produktami McAfee i serwisem reputacyjnym McAfee GTI Umożliwienie wykorzystania w analizie potencjalnych zagrożeń danych pochodzących z wielu różnych systemów innych producentów, które są wykorzystywane w organizacji. Tym samym możliwe staje się wykrywanie zagrożeń, których obecność może być sygnalizowana tylko przez oderwane od siebie na pierwszy rzut oka zdarzenia Integrację SIEM z centralnym systemem zarządzania bezpieczeństwem opartym na produktach McAfee serwerem McAfee epolicy Orchestrator (epo), który już wcześniej stanowił wyjątkowy na rynku IT system do centralnego administrowania całym systemem bezpieczeństwa. Taka integracja umożliwia wyjątkowe możliwości monitorowania

4 4 i korelowania zdarzeń z serwerem zarządzania produktami wykrywania i zapobiegania atakom McAfee epo dzięki tej integracji pozwala na szybsze reagowanie na incydenty bezpieczeństwa umożliwiając centralne wdrożenie procedur bezpieczeństwa na produktach tworzących system zabezpieczeń Cechy rozwiązania McAfee SIEM McAfee SIEM wykorzystuje opatentowaną, wyjątkową na rynku architekturę szybkiego przetwarzania i zarządzania danymi. Architektura ta umożliwia efektywne połączenie wielu funkcjonalności w jednym rozwiązaniu i kontrolowanie całości z tego samego interfejsu użytkownika. Podczas kiedy inne rozwiązania SIEM na rynku koncentrują się na gromadzeniu, korelacji, przechowywaniu danych i raportowaniu na ich podstawie, rozwiązanie McAfee idzie dalej. McAfee Enterprise Security Management (ESM) główny komponent architektury SIEM udostępnia dodatkowe funkcjonalności, poza dostępem do logów. ESM umożliwia analizę incydentów w czasie rzeczywistym, ponieważ posiada wydajność wymaganą do analizy i raportowania w oparciu o miliardy zdarzeń, logów i informacji z przepływów sieciowych (flows) w czasie sekund. Tym samym możliwe jest szybkie przeanalizowanie danych z długiego okresu czasu, wykrycie zależności między nimi i wyszukiwanie podejrzanych zdarzeń uzyskując wyniki pracy SIEM praktycznie na bieżąco. Wśród cech wyróżniających rozwiązanie McAfee SIEM na tle innych producentów można wyróżnić: Zaawansowana korelacja danych wyszukiwanie wzorców w zgromadzonych danych, logach, aktywnościach sieciowych i baz danych a nawet w treściach przenoszonych przez rozmaite aplikacje działające w sieci, a poprzez to lepsze i szybsze odnajdywanie śladów świadczących o zagrożeniach i atakach, utracie danych i oszustwach związanych z chronionymi zasobami organizacji i jej procedurami Szybsze powiadamianie i ostrzeganie osób zajmujących się bezpieczeństwem organizacji o zagrożeniach, nieprawidłowościach i odstępstwach od wcześniej zgromadzonych danych Większa dokładność raportowania o incydentach związana z gromadzeniem szczegółów na temat zdarzeń pochodzących z praktycznie dowolnych źródeł informacji: logów, zdarzeń generowanych przez systemy operacyjne i aplikacje, agentów działających na serwerach i stacjach, przepływów sieciowych (flows), baz danych, systemów identyfikacji użytkowników, itd. Większa skalowalność możliwość obsługi milionów zdarzeń na sekundę z rozproszonych źródeł, a dzięki temu zapewnienie, że żadna istotna informacja nie jest tracona Długoterminowa dostępność danych McAfee SIEM umożliwia wgląd zarówno w napływające dane, ale także w informacje historyczne, zgromadzone wcześniej w taki sam sposób, bez rozróżnienia na aktualne i historyczne dane Dostęp do informacji w czasie rzeczywistym McAfee SIEM umożliwia uzyskiwanie wyników z analizy terabajtów danych praktycznie bez opóźnień, w czasie minut a nie godzin, czy dni jak w przypadku rozwiązań innych firm. Przy czym możliwa jest nie tylko statystyczna analiza danych, ale także korelacja informacji zgodnie ze zdefiniowanymi regułami wyszukiwania incydentów

5 5 Dostęp do szczegółów zdarzenia w czasie rzeczywistym McAfee SIEM umożliwia intuicyjne przechodzenie od ogólnych informacji i statystyk do coraz większych szczegółów, aż po wgląd w poszczególne logi i zdarzenia, jakie zostały przekazane do ESM. Wszystkie operacje odbywają się w czasie rzeczywistym korzystając z tego samego, intuicyjnego i ergonomicznego interfejsu użytkownika Lepszy kontekst zdarzeń McAfee SIEM umożliwia analizę zgromadzonych danych w odniesieniu do kontekstu, w jakim powstały. Możliwe to jest poprzez wzbogacenie gromadzonych danych o informacje o lokalizacji, podatnościach, danych o użytkownikach, reputacji, poziomu ryzyka, itd. Elastyczne raportowanie możliwe w oparciu o wbudowane szablony i definicje raportów, a także na podstawie kryteriów samodzielnie określonych przez administratorów SIEM Rys. 2 Interfejs użytkownika systemu McAfee SIEM tzw. single pane of glass McAfee SIEM gromadzi dane z około 300 predefiniowanych źródeł danych, w tym z takich źródeł jak przepływy sieciowe (flows), dane o podatnościach i użytkownikach. Poza zdefiniowanymi źródłami SIEM umożliwia także tworzenie własnych definicji źródeł danych. Zgromadzone informacje pozwalają na śledzenie zmian w zachowaniu sieci, systemów, aplikacji, użytkowników, a w konsekwencji wynajdywać naruszenia polityki bezpieczeństwa i ataki, których wykrycie w inny sposób byłoby bardzo czasochłonne lub wręcz niemożliwe. System na bieżąco wyznacza tzw. linie bazowe wskazujące na średnie poziomy zdarzeń z poprzednich okresów. Na tle linii bazowych bardzo łatwo można wskazać odchylenia i anomalie, które wymagają bliższej analizy, bo ich występowanie może świadczyć o incydencie bezpieczeństwa.

6 6 Rys. 3 Przykład anomalii w stosunku do linii bazowej (linia niebieska) McAfee SIEM posiada wbudowany, intuicyjny edytor do tworzenia reguł korelacyjnych znacznie upraszczający i przyśpieszający ich tworzenie nawet dla osób, które nie posiadają specjalizowanej wiedzy o zdarzeniach i SIEM. Rys. 4 Przykład tworzenia reguły korelacyjnej w edytorze polityki korelacji W ramach SIEM możliwe jest także gromadzenie oryginalnych logów, które zostały wysłane do SIEM jeszcze przed ich przetworzeniem przez komponenty SIEM. Oryginalne logi mogą być przechowywanie przez długi czas. System umożliwia zarządzanie nimi w taki sposób, aby uniemożliwić ich nieupoważnioną modyfikację, a jednocześnie dać narzędzia do szybkiego przeszukiwania tych informacji i wyszukiwania interesujących wpisów.

7 7 Komponenty rozwiązania McAfee SIEM Rozwiązanie McAfee SIEM oparte jest na całościowym podejściu do budowania systemów SIEM. Cena rozwiązania obejmuje zarówno specjalizowany system operacyjny, bazę danych i aplikacje poszczególnych komponentów SIEM. Uproszczone jest licencjonowanie systemu licencje dla poszczególnych komponentów są z nimi bezpośrednio związane (tzw. licencjonowanie per box ) i nie są zależne od liczby zdarzeń na sekundę (tzw EPS event per second) jak w przypadku wielu konkurencyjnych rozwiązań. Licencja obejmuje zarówno system operacyjny, jak również bazę danych i aplikację danego komponentu SIEM. Administracja całym systemem jest maksymalnie uproszczona i nie wymaga osobnego nabywania kompetencji w zakresie bazy danych czy systemu operacyjnego. Całe rozwiązanie jest administrowane z tego samego interfejsu użytkownika, obsługiwanego przez główny komponent systemu McAfee ESM. Aktualizacje systemu obejmują zarówno nowe wersje reguł korelacji, definicje źródeł danych jak również poprawki i zmiany do systemu operacyjnego, aplikacji i bazy danych. Architektura McAfee SIEM umożliwia dostosowanie go do potrzeb małych, średnich i największych organizacji. Możliwe jest tworzenie rozproszonych geograficznie systemów SIEM. Komunikacja między komponentami rozwiązania jest zabezpieczona przed niepowołanym dostępem przez szyfrację danych. Możliwe jest stopniowe podnoszenie wydajności rozwiązania przez dokładanie do niego odpowiednich modułów zapewniających przechowywanie danych, gromadzenie danych, czy analizę danych. Dla mniejszych organizacji dostępne są tzw. combo box, które w jednym urządzeniu lub maszynie wirtualnej vmware gromadzą kilka komponentów SIEM na raz. McAfee ESM McAfee ESM (Enterprise Security Management) jest podstawowym komponentem McAfee SIEM. ESM gromadzi znormalizowane i zagregowane zdarzenia przekazane przez kolektory zdarzeń, przechowuje je, obsługuje interfejs użytkownika i umożliwia zarządzanie innymi modułami SIEM. ESM jest również odpowiedzialny za generowanie alertów, raportowanie i obsługę zdarzeń wykrytych na podstawie obrabianych danych. Stąd odbywa się również administracja całym systemem SIEM, w tym aktualizacje reguł i upgrade y wersji oprogramowania. ESM umożliwia również integrację McAfee SIEM z innymi systemami obsługi zdarzeń, z systemami badania podatności i systemem reputacji McAfee GTI. McAfee Event Receiver Event Receiver to drugi w hierarchii ważności, podstawowy komponent systemu SIEM. Umożliwia przekazanie do SIEM danych ze źródeł danych systemów logowania, systemów operacyjnych, aplikacji, urządzeń sieciowych, systemów bezpieczeństwa i wielu innych typów danych. McAfee dostarcza system z około 300 predefiniowanymi źródłami danych, które są na bieżąco aktualizowane i uzupełniane np. w razie wypuszczenia nowej wersji danego produktu/źródła danych przez jego producenta.

8 8 McAfee Event Receiver działa w oparciu o opatentowane rozwiązania, które umożliwiają wyjątkowo szybkie i wydajne gromadzenie danych, normalizację i agregację informacji do 20 tysięcy zdarzeń na sekundę na jeden Receiver. Różne wydajności Receiverów zależnie od zastosowanej platformy pozwala dobrać rozwiązanie do różnej wielkości organizacji. W mniejszych wdrożeniach Receiver może służyć również do korelacji napływających zdarzeń zgodnie ze zdefiniowanymi regułami korelacji. System SIEM może się składać z wielu Receiverów gromadzących dane z różnych źródeł jednocześnie, rozproszonych geograficznie. Możliwe jest równoczesne stosowanie Receiverów działających na dedykowanych platformach sprzętowych od McAfee, jak również jako maszyny wirtualne vmware w infrastrukturze Klienta. McAfee ELM McAfee ELM to opcjonalny komponent systemu SIEM umożliwiający gromadzenie logów i zdarzeń przekazywanych ze źródeł do SIEM w ich oryginalnej postaci, jeszcze przed rozpoczęciem obróbki przez Receivery. Oryginalne logi są zapisywane na wewnętrznych dyskach ELM lub na zewnętrznych zasobach dyskowych (macierze dyskowe, SAN, udziały sieciowe CIFS/NFS). Czas przechowywania danych może być dostosowany do potrzeb i zależy praktycznie tylko od ilości dostępnego miejsca na zasobach dyskowych. McAfee ELM zapisuje logi na zasobach tworząc jednocześnie ich sumy kontrolne umożliwiające wykrycie naruszenia integralności logów podczas ich odczytu. ELM umożliwia również przeszukiwanie logów i wyszukiwanie w nich wzorców danych czy słów kluczowych. Zarządzanie pracą i konfiguracją ELM, jak również przeszukiwanie oryginalnych logów odbywa się z tego samego interfejsu użytkownika obsługiwanego przez ESM, który służy do zarządzania całym systemem SIEM. McAfee ACE McAfee Advanced Correlation Engine (ACE) to kolejny ważny, choć opcjonalny komponent systemu SIEM. ACE pozwala na zaawansowaną korelację danych gromadzonych w bazie ESM. Funkcjonalność ACE może uzupełniać korelację zdarzeń wykonywaną przez Receivery lub ACE może całkowicie przejąć wykonywanie operacji korelacji. Każde urządzenie McAfee ACE lub maszyna wirtualna vmware ACE może działać w jednym z dwóch trybów korelacji napływających zdarzeń lub korelacji danych historycznych. Korelacja danych historycznych jest wykonywana tylko przez ACE, bieżące zdarzenia mogą być korelowane także przez Receivery. W trybie korelacji historycznej dowolne dane znajdujące się w bazie ESM mogą podlegać analizie, a nie tylko te, które aktualnie napływają do ESM. Możliwe jest tym samym wyszukiwanie zaawansowanych incydentów bezpieczeństwa, których przebieg był rozłożony w czasie. W trybie korelacji na danych napływających, ACE odciąża zasoby Receivera podnosząc wydajność całego systemu SIEM. McAfee ACE umożliwia także wykonywanie korelacji zdarzeń opartej o ryzyko związane z przedmiotem zdarzenia i ryzkiem samego rodzaju zdarzenia. Możliwe jest dzięki temu przypisanie priorytetów do wyników korelacji, które oddają znaczenie zasobu dla organizacji i jednocześnie

9 9 uwzględniają krytyczność zdarzenia z nim związanego. Na przykład wykrycie kilku prób zalogowania się na główny kontroler domeny organizacji powinno oznaczać incydent o wyższym poziomie istotności niż takie same próby logowania na serwer z testową wersją aplikacji firmowej. W architekturze systemu SIEM może pracować kilka urządzeń lub maszyn wirtualnych ACE realizując jednocześnie różne tryby korelacji danych i przyśpieszając uzyskanie informacji o zagrożeniu. McAfee DEM McAfee Database Event Monitor (DEM) to kolejny z opcjonalnych komponentów architektury systemu McAfee SIEM. DEM umożliwia monitorowanie sesji otwieranych do baz danych. DEM wdrażany jest jako urządzenie appliance od McAfee lub maszyna wirtualna vmware. Podłączany jest do portu SPAN switcha lub modułu TAP, przez które przechodzi ruch do bazy danych. DEM wyszukuje anomalii w połączniach do baz danych, przekazując wyniki swojej pracy do ESM. Dzięki zastosowaniu DEM możliwy jest szczegółowy wgląd w przebieg sesji z bazą danych, a dostęp do zapisu takiej sesji jest możliwy bezpośrednio z konsoli zarządzania ESM. Warto dodać, że poza zdarzeniami związanymi z połączeniami do baz danych gromadzonymi przez DEM, McAfee SIEM jest zintegrowany z dedykowanym rozwiązaniem do monitorowania i ochrony baz danych z oferty McAfee, tj. McAfee Database Activity Monitoring. Rozwiązanie to działa na serwerze bazy danych umożliwiając szczegółową kontrolę operacji w bazie danych nawet jeśli są one wykonywane bezpośrednio z serwera bazy danych, z wnętrza bazy danych lub przez szyfrowane połączenia do bazy danych, a więc w sytuacjach kiedy nie jest możliwe wykorzystanie McAfee DEM. Zastosowanie DEM i integracja SIEM z McAfee Database Activity Monitoring mają szczególne znaczenie w środowiskach, gdzie wymagane są szczególne zabezpieczenia dostępu do baz danych i gdzie konieczne jest stosowanie się do zewnętrznych regulacji i standardów, na przykład PCI-DSS, HIPAA, NERC-IP, FISMA, GLBA, itp. McAfee ADM McAfee Application Data Monitor (ADM) to również opcjonalny komponent architektury system McAfee SIEM, ale umożliwiający uzyskanie wyjątkowej funkcjonalności rozpoznawania i analizy aplikacji, jakie są wykorzystywane w sieci do transferu danych. ADM działa jako dedykowane urządzenie appliance od McAfee lub jako maszyna wirtualna vmware wdrażana na istniejącej infrastrukturze VMWare Klienta. Urządzenia lub maszyny wirtualne ADM są podłączane do sieci poprzez porty SPAN switchy lub urządzenia TAP. Dzięki temu mają wgląd w ruch sieciowy i mogą go analizować. ADM potrafi rozpoznawać i analizować ponad 100 różnych aplikacji i ponad 500 różnych typów danych przenoszonych przez nie. Analiza dotyczy najwyższych warstw modelu OSI/ISO aplikacji, anomalii w sieci i naruszeń polityki. Dla przykładu w wyniku analizy system SIEM może bazować nie na fakcie, że miało miejsce połączenie TCP, a nawet nie tym, że użyty był protokół http, ale że połączenie nawiązała aplikacja GMAIL. W wyniku analizy informacje, na jakich bazuje system SIEM, mogą być uzupełnione o dane na temat rodzaju aplikacji, typu przenoszonych danych, nazw przesyłanych plików, nadawców i odbiorców

10 10 połączenia, itp. Taka informacja pozwala na uwzględnienie dodatkowego kontekstu danych, jakie gromadzi SIEM z innych źródeł, a tym samym podnosi skuteczność korelacji. W systemie SIEM może jednocześnie działać wiele urządzeń McAfee ADM umożliwiając dostosowanie się do kierunków przepływu danych w sieci oraz wydajności ruchu. McAfee GTI for Enterprise Security Manager Dostęp do bazy reputacji adresów IP bezpośrednio z SIEM jest możliwy dzięki licencjom McAfee GTI. Jest to wyjątkowa na rynku funkcjonalność rozwiązań typu SIEM umożliwiająca uwzględnienie w korelacji kontekstu wynikającego z oceny ryzyka źródła lub odbiorcy połączenia. Baza GTI gromadzi i przetwarza dane z setek tysięcy źródeł rozsianych po całym świecie. Na jakość informacji dostępnej z tej bazy mają wpływ zarówno dane pozyskiwane z pasywnych systemów typu honey pot, ale przede wszystkim także informacje o wykrytych atakach przekazywane przez produkty bezpieczeństwa McAfee pracujące w realnych środowiskach na całym świecie. Wykryty przez McAfee IPS atak z określonego adresu IP powoduje obniżenie reputacji i podniesienie poziomu ryzyka związanego z tym adresem IP. Podobnie źródło spamu zablokowane przez McAfee Gateway wpływa na ocenę wiarygodności adresów IP, z jakich był przesyłany spam. Informacje takie są niezwykle cennym uzupełnieniem reguł korelacji przeprowadzanej przez McAfee SIEM powiązanie zdarzenia raportowanego z wewnętrznych systemów Klienta z informacją z GTI, że zdarzenie było wynikiem nawiązania połączenia z lub do podejrzanego adresu IP powoduje natychmiastowe podniesienie znaczenia wyniku korelacji. Licencje na dostęp do serwisu GTI są opcjonalne. Dodatkowe wyposażenie W skład oferty SIEM McAfee wchodzą również zewnętrzne macierze dysków rozszerzające możliwości przechowywania zdarzeń przez ESM i ELM. Aktualnie dostępne są macierze o pojemnościach od 15TB do 100TB danych. Podsumowanie Oferowane przez McAfee rozwiązanie do analizy i korelacji informacji McAfee SIEM należy do liderów rynku SIEM na świecie. Miejsce na rynku wynika nie tylko z korzystnego sposobu wyceny i licencjonowania produktu, ale przede wszystkim z wyjątkowych cech i funkcjonalności oferowanych przez to rozwiązanie. Szybkość działania i skalowalność wyróżniają McAfee SIEM na tle rozwiązań innych producentów. Podczas kiedy inne rozwiązania SIEM wymagają dodatkowych kompetencji i znajomości optymalizacji baz danych, czy wręcz narzucają stosowanie specjalnych procedur dzielenia danych na mniejsze zasoby celem przyśpieszenia odpowiedzi z takich rozwiązań SIEM, to w przypadku McAfee SIEM możliwe jest operowanie na znacznie większych zasobach danych bez ich podziału i praktycznie bez jakiejkolwiek administracji bazą danych. Jeśli dodatkowo uwzględni się takie cechy McAfee SIEM jak:

11 11 intuicyjny, centralny interfejs zarządzania umożliwiający łatwe przechodzenie od ogólnych danych do szczegółów, a tym nawet widoku poszczególnych pakietów otrzymanych przez SIEM możliwość gromadzenia i przeszukiwania oryginalnych logów, analiza i korelacja danych bieżących i historycznych w czasie rzeczywistym, bezpośrednia analiza sesji do baz danych, analiza przepływów sieciowych (flows), analiza aplikacji i uwzględnienie danych o aplikacjach w korelacji zdarzeń, powiązanie korelacji z systemem reputacji GTI, około 300 predefiniowanych źródeł danych i gotowe do wykorzystania reguły korelacyjne oraz szablony raportów to w efekcie otrzymujemy gotowy do użycia, dostosowany do różnych potrzeb i wyjątkowych wymagań, innowacyjny system SIEM.