Многие конкурирующие инструменты управления журналами и SIEM, представленные на рынке в настоящее время, используют ту или иную вариацию метрики Events Per Second (EPS) для определения требований к лицензированию, размерам и хранению данных для масштабируемого решения.
Планирование SIEM на основе EPS
К сожалению, ни одно из устройств, подлежащих мониторингу, не имеет спецификации, связанной с объемом регистрации, который будет генерироваться устройством в секунду (или в день). Более того, многие устройства одного и того же типа от одного и того же производителя будут ежедневно генерировать разное количество логов, и определение общего объема, который все корпоративные устройства будут генерировать ежедневно, - это скорее искусство, чем наука.
Определение EPS не является проблемой для существующих заказчиков систем управления журналами или SIEM, желающих перейти на новое решение, поскольку они могут генерировать отчеты из старого инструмента управления журналами/SIEM и предоставлять разбивку по типам устройств и ежедневным объемам, генерируемым каждой категорией устройств. Однако те, кто ищет предложение по созданию нового решения, сталкиваются со следующими задачами по правильному проектированию системы управления журналами или SIEM-решения:
- Полная инвентаризация всех активов, которые планируется контролировать
- Определение средней, устойчивой частоты событий, выраженной в виде метрики EPS
- Понимание того, как уровни регистрации влияют на объем генерируемых журналов.
- Периоды хранения, варианты хранения, сценарии использования, нормативные требования и т. д.
К счастью, как только вы определите количество устройств и сможете определить среднее количество EPS, генерируемое каждой из различных категорий устройств, которые вам нужно контролировать, математика легко определит потребности в лицензировании, хранении, производительности системы и архивировании.
Не имея представления об объемах журналов, генерируемых устройствами, уникальными для каждой среды, мы должны придумать систему определения EPS для различных классов устройств и использовать ее в качестве отправной точки для расчета ежедневного хранения (EPS * Размер события* 84600 / Степень сжатия).
Определение размеров SIEM на основе EPS
Серверы / настольные компьютеры
| Тип устройства | Средний EPS на устройство |
| Серверы Windows - высокий EPS (~50 eps) | 50.0 |
| Серверы Windows - средний EPS (~3 eps) | 3.0 |
| Серверы Windows - низкая EPS (~1 eps) | 1.0 |
| Рабочие станции Windows | 1.0 |
| Серверы Windows AD | 10.0 |
| Серверы Linux | 1.0 |
| Серверы HP-UX Unix | 2.0 |
| Серверы IBM AIX Unix | 2.0 |
| Серверы Sun Solaris Unix | 2.0 |
Сетевая инфраструктура
| Тип устройства | Средний EPS на устройство |
| Сетевые маршрутизаторы | 1.0 |
| Сетевые коммутаторы | 2.0 |
| Сетевые коммутаторы (Netflow) | 30.0 |
| Сетевые беспроводные локальные сети | 5.0 |
| Сетевые балансировщики нагрузки | 5.0 |
| Ускоритель WAN | 14.0 |
| Другие сетевые устройства | 10.0 |
Инфраструктура безопасности
| Тип устройства | Средний EPS на устройство |
| Сетевые брандмауэры (Check Point - внутренние) | 10.0 |
| Сетевые брандмауэры (Cisco - внутренние) | 10.0 |
| Сетевые брандмауэры (Check Point - DMZ) | 50.0 |
| Сетевые брандмауэры (Cisco - DMZ) | 30.0 |
| Сетевые IPS/IDS | 15.0 |
| Сетевые VPN | 2.0 |
| Сетевой антиспам | 10.0 |
| Network Web Proxy | 15.0 |
| Other Security Devices | 10.0 |
Приложения
Количество устройств предполагается с учетом приведенных выше цифр
| Тип устройства | Средний EPS на устройство |
| Веб-серверы (IIS, Apache, Tomcat) | 1.0 |
| Базы данных (MSSQL, Oracle, Sybase - количество экземпляров) | 1.0 |
| Серверы электронной почты (Exchange, Sendmail и т.д.) | 2.0 |
| Антивирусный сервер (укажите количество AV-клиентов) | 5.0 |
| Другие приложения (электронная почта, БД, антивирус и т. д.) | 5.0 |
