Stav SIEM a NBA řešení

SIEM (Security Incidents and Events Management) a NBA (Network Behavioral Analysis, někdy také jako ADS nebo NBAD) komponenty slouží k lepšímu přehledu toho, co se děje v infrastruktuře. Zatímco NBA sleduje chování síťového provozu, SIEM slouží pro sběr logů z nejrůznějších zařízení (včetně výstupů z NBA), jako jsou servery, firewally, IPS/IDS, DLP, virtuální infrastruktury atd. Jak vypadá obecně trh s těmito komponentami a jsou vlastně jednotliví dodavatelé řešení spolu nějak provázáni?

Ano, jsou. A poměrně úzce, alespoň někteří z nich. Spolupráce mezi „vendory“ může být v čistě technologické sféře (např. začleňování řešení jedné strany pod management jiné – kupř. ArcSight pod orchestrátor McAfee ePO), nebo na obchodní rovině (vzájemné OEM vazby), ale také ve formě aliance nebo ekosystému.

Následující grafika ukazuje situaci významných a nejvýznamnějších hráčů v této oblasti a vazby mezi nimi. Jedná se o výsledek mé subjektivní zkušenosti v kombinaci s veřejně dostupnými informacemi o jednotlivých poskytovatelích a jejich řešeních (především z webových prezentací). Zvýrazněná jsou ta řešení, která jsou jednak výborně hodnocena v rámci Gartner Magic Quadrantu (sledovaného za roky 2009-2012), jsou komplexní (obsahují jak SIEM, tak NBA, tak např. L7 sken aplikační vrsty síťové komunikace) a/nebo jsou významní na českém trhu. Jak uvádím výše, jde o subjektivní pohled.