Планирование и определение размеров SIEM на основе EPS

Многие конкурирующие инструменты управления журналами и SIEM, представленные на рынке в настоящее время, используют ту или иную вариацию метрики Events Per Second (EPS) для определения требований к лицензированию, размерам и хранению данных для масштабируемого решения.

Планирование SIEM на основе EPS

К сожалению, ни одно из устройств, подлежащих мониторингу, не имеет спецификации, связанной с объемом регистрации, который будет генерироваться устройством в секунду (или в день). Более того, многие устройства одного и того же типа от одного и того же производителя будут ежедневно генерировать разное количество логов, и определение общего объема, который все корпоративные устройства будут генерировать ежедневно, - это скорее искусство, чем наука.

Определение EPS не является проблемой для существующих заказчиков систем управления журналами или SIEM, желающих перейти на новое решение, поскольку они могут генерировать отчеты из старого инструмента управления журналами/SIEM и предоставлять разбивку по типам устройств и ежедневным объемам, генерируемым каждой категорией устройств. Однако те, кто ищет предложение по созданию нового решения, сталкиваются со следующими задачами по правильному проектированию системы управления журналами или SIEM-решения:

  • Полная инвентаризация всех активов, которые планируется контролировать
  • Определение средней, устойчивой частоты событий, выраженной в виде метрики EPS
  • Понимание того, как уровни регистрации влияют на объем генерируемых журналов.
  • Периоды хранения, варианты хранения, сценарии использования, нормативные требования и т. д.

К счастью, как только вы определите количество устройств и сможете определить среднее количество EPS, генерируемое каждой из различных категорий устройств, которые вам нужно контролировать, математика легко определит потребности в лицензировании, хранении, производительности системы и архивировании.

Не имея представления об объемах журналов, генерируемых устройствами, уникальными для каждой среды, мы должны придумать систему определения EPS для различных классов устройств и использовать ее в качестве отправной точки для расчета ежедневного хранения (EPS * Размер события* 84600 / Степень сжатия).

Определение размеров SIEM на основе EPS

Серверы / настольные компьютеры

Тип устройства Средний EPS на устройство
Серверы Windows - высокий EPS (~50 eps) 50.0
Серверы Windows - средний EPS (~3 eps) 3.0
Серверы Windows - низкая EPS (~1 eps) 1.0
Рабочие станции Windows 1.0
Серверы Windows AD 10.0
Серверы Linux 1.0
Серверы HP-UX Unix 2.0
Серверы IBM AIX Unix 2.0
Серверы Sun Solaris Unix 2.0

Сетевая инфраструктура

Тип устройства Средний EPS на устройство
Сетевые маршрутизаторы 1.0
Сетевые коммутаторы 2.0
Сетевые коммутаторы (Netflow) 30.0
Сетевые беспроводные локальные сети 5.0
Сетевые балансировщики нагрузки 5.0
Ускоритель WAN 14.0
Другие сетевые устройства 10.0

Инфраструктура безопасности

Тип устройства Средний EPS на устройство
Сетевые брандмауэры (Check Point - внутренние) 10.0
Сетевые брандмауэры (Cisco - внутренние) 10.0
Сетевые брандмауэры (Check Point - DMZ) 50.0
Сетевые брандмауэры (Cisco - DMZ) 30.0
Сетевые IPS/IDS 15.0
Сетевые VPN 2.0
Сетевой антиспам 10.0
Network Web Proxy 15.0
Other Security Devices 10.0

Приложения

Количество устройств предполагается с учетом приведенных выше цифр

Тип устройства Средний EPS на устройство
Веб-серверы (IIS, Apache, Tomcat) 1.0
Базы данных (MSSQL, Oracle, Sybase - количество экземпляров) 1.0
Серверы электронной почты (Exchange, Sendmail и т.д.) 2.0
Антивирусный сервер (укажите количество AV-клиентов) 5.0
Другие приложения (электронная почта, БД, антивирус и т. д.) 5.0
Понравилась статья? Поделиться с друзьями:
Добавить комментарий