ArcSight Express和Splunk的产品比较.docx

ArcSight Express是专门针对企业安全防护的日志和信息管理平台，ArcSight的产品连续8年在Gartner的SIEM（安全信息和事件管理）产品评比中位列领导者象限，同时连续4年产品占据市场份额第一的位置（IDC报告）。Splunk产品近两年来才进入Gartner的SIEM产品评测报告，在2012年的Gartner象限图中仅位列挑战者象限，其最近的IDC市场占有率报告中根本没有出现。在2012 Gartner的评测报告中，ArcSight在全部12组测试的8组测试名列第一，3组测试名列第二，远高于其他竞争对手；Splunk没有在任何一组测试中获得领先。下图是各组测试中ArcSight产品的具体得分和Splunk产品的得分比较。对于日志管理平台来说，事件收集和事件关联技术是最关键，下面结合浦发项目的实际需求从这两方面对于ArcSight产品和Splunk进行比较。事件收集事件收集的部署方式ArcSight的事件收集通过在独立于事件源的设备上安装相应的事件收集器(Connector)来完成，通常在事件源无需安装任何程序，使事件收集过程对于事件源的影响降到最低。Splunk的事件收集通常需要在事件源安装Agent程序，对于事件源会产生一定的性能影响。事件的正规化ArcSight在事件收集过程中会直接对于事件进行正规化，将原始事件转化为标准的可读事件，管理员无需具备对于该类事件的专业知识即可了解事件性质和内容，同时为后续的关联分析提供极大的方便。Splunk产品对于事件的收集不做任何正规化，依赖于管理员对于事件的专业知识对事件进行解读和分析。同时由于没有进行事件的正规化，后续在关联分析时必须依赖管理员通过复杂的正则表达式去提取事件的各个字段，最后的效果依赖于管理员自身的技术水平。事件的完整性ArcSight日志平台收集的事件不允许任何形式的更改，保证了事件的完整性，满足相应的合规要求。Splunk收集的事件可以被管理员任意修改，无法保证事件的完整性。事件关联分析ArcSight的日志管理平台具备最全面的关联分析技术，主要包括以下内容：? 事件实时关联? 基于阈值的关联? 基于统计数据的的关联? 跨设备厂商的关联? 基于漏洞的关联? 基于资产模型的关联? 基于会话的关联? 基于监测列表的关联? 基于用户身份的关联? 基于地域的关联? 基于历史数据的关联? 多次关联? 交易记录关联Splunk的日志管理平台主要功能体现在日志搜索上，缺乏预定义的各种关联机制，其所谓的关联技术依赖于管理员编写复杂的正则表达式和二次开发过程实现，缺少预定义的各种关联场景（Use Case），这也是在Gartner评测中得分较低的原因。针对浦发项目的具体情况，下面几种关联机制是必须的：动态监测列表(Active List)Arcsight允许采用手动或自动的方式将需要监控的目标，或者可疑目标加入活动列表中（例如违规访问的地址列表）。管理员可以查看活动列表的内容，手动修改列表内容，设置列表项的过期时间，在关联规则中判断事件某字段的数值是否存在于列表中，并根据列表项的重复次数字段（例如违规次数）进行二次关联。Splunk本身不具备此项关联技术，需要通过二次开发实现。动态会话列表(Session List)ArcSight可以通过关联规则自动更新用户的会话列表，例如操作系统的会话列表和数据的会话列表等；可在关联规则中查看用户会话列表的情况，判断用户当前是否在线，并据此进行进一步关联；通过会话列表可以非常快速的产生各种报表，无需对于海量数据进行重复搜索。Splunk不具备会话关联机制，需要通过二次开发实现。跨设备厂商/设备类型的关联ArcSight在事件收集的过程中会按照设备类型、事件类型、事件对象类型、事件结果、事件影响等因素增加日志的分类信息，从而在关联分析时可以进行跨厂商、跨系统的进行统计分析，例如提供全部数据库的登录失败报表等，日后更换新的系统或厂商后（例如操作系统由Windows改为Linux，数据库由SQL Server改为Oracle）原先的关联规则或报表无需进行修改即可使用Splunk由于不进行正规化，因此无法提供跨厂商/跨系统的关联，管理员必须将各种厂商的日志特征在编写关联规则时均考虑进去。日后更换厂商时需要重写关联规则和报表。资产模型关联ArcSight提供完整的资产管理体系，支持资产导入、资产统计以及对资产的维护等功能，同时在关联分析时可以自动将资产信息和原始事件一起展示，方便管理员迅速了解攻击目标的重要性，并可根据资产的属性/等级编写关联规则，让管理员可以集中注意力在核心系统的防护。Splunk不提供资产管理机制。模式识别和关联规则的自动生成ArcSight的模式识别功能通过对于历史数据的挖掘自动总结出各种事件模型/访问模型，并以