Arcsight Microfocus HP Bottom Line Micro Focus ArcSight fell from the Leaders to the Challengers section of the most recent Gartner Magic Quadrant (MQ) for SIEM, based on Gartner's concerns about how Micro Focus is integrating the former HPE product with its existing products, and licensing complexity. That said, the company has a large installed base of customers using the SIEM product for large, complex SOC environments and for more basic log collection use cases. It is also used by many managed security service providers (MSSPs). Company Description ArcSight was founded in 2000 and filed for its IPO in 2008. HP acquired it in 2012 for $1.5 billion, and in September 2017, Hewlett Packard Enterprise (HPE) spun out its software business, including ArcSight, which merged with 40-year-old Micro Focus to become a $4.4 billion software company. Product Description ArcSight Enterprise Security Manager (ESM) includes ingestion and interpretation of logs, connection to threat intelligence feeds, real-time correlation and analytics, security alerting, data presentation through user interface dashboards and reporting, compliance reporting and support. ESM can also perform baselining and outlier mechanism notification. This is achieved through its integration with other analytics products, such as ArcSight User Behavior Analytics (UBA). In addition, data enrichment features include asset and network modelling, prioritization, geo-location, vulnerability modeling, and user modeling. Recent enhancements to ESM include: Support of Hadoop as optional backend storage for collected events and performing analysis on events Use of machine learning to assist in the event escalation process Full support of NetFlow, including the ability to use NetFlow in correlation rules to detect security alerts Easy integration with third-party and external user threat risk score services such as Webroot GDPR support El ArcSight Enterprise Security Manager (ESM) incluye la ingesta e interpretación de registros, la conexión a los suministros de inteligencia de amenazas, la correlación y el análisis en tiempo real, las alertas de seguridad, la presentación de datos a través de los tableros de la interfaz de usuario y la elaboración de informes, los informes de cumplimiento y el apoyo. El ESM también puede realizar la notificación del mecanismo de base y de los mecanismos atípicos. Esto se logra mediante su integración con otros productos analíticos, como ArcSight User Behavior Analytics (UBA). Además, las características de enriquecimiento de datos incluyen la modelización de activos y redes, la priorización, la geo-localización, la modelización de la vulnerabilidad y la modelización del usuario. Entre las mejoras recientes del ESM se incluyen: Soporte de Hadoop como almacenamiento opcional del backend para los eventos recogidos y la realización de análisis sobre los eventos El uso de la máquina de aprendizaje para ayudar en el proceso de escalada de eventos Soporte completo de NetFlow, incluyendo la capacidad de usar NetFlow en reglas de correlación para detectar alertas de seguridad Fácil integración con servicios de calificación de riesgo de amenazas de terceros y usuarios externos como Webroot Apoyo al PIB SIEM Features Rated Threats blocked: Good. ArcSight blocks a wide range of threats. It includes access to the ArcSight Activate threat framework and ArcSight Marketplace content for the most current security correlation rules, dashboards, reports and use cases. Sources ingested: Very good. ESM can analyze data from more than 500 device types and can incorporate cyber threat intelligence via STIX or CIF standard feeds. ArcSight's ADP SmartConnectors support every common event format, from native Windows events, APIs, firewall logs, syslog, flat file, Netflow, XML/JSON and direct database connectivity. Performance: Very good. Up to 100,000 events per second (EPS). Value: Good. Some customers converting from legacy licensing models to new licenses and the ADP architecture have reported issues with license conversion complexity and costs. To address these concerns, Micro Focus has implemented changes to its licensing model that include a pricing option that is free of data restrictions. Implementation: Very good. Users generally report easy implementation. Gartner said ArcSight can be extensively customized to support threat management and compliance-focused use cases. ArcSight's API also enables extensive integrations in SOC environments. Management: Best in class. Modular packages allow custom rules, dashboards and other content to be exported and shared across systems or customers. It includes centralized management, analysis, and reporting of all enterprise security events. Support: Good. Users generally note solid support, but a few say it can be pricey. Scalability: Very good. Scalable up to 100,000 EPS with distributed correlation. Características del SIEM clasificadas Amenazas bloqueadas: Bien. ArcSight bloquea una amplia gama de amenazas. Incluye el acceso al marco de amenazas de Activación de ArcSight y al contenido del Mercado ArcSight para las reglas de correlación de seguridad, los cuadros de mando, los informes y los casos de uso más actuales. Fuentes ingeridas: Muy buenas. ESM puede analizar datos de más de 500 tipos de dispositivos y puede incorporar inteligencia de ciberamenazas a través de fuentes estándar STIX o CIF. Los SmartConnectors ADP de ArcSight soportan todos los formatos de eventos comunes, desde eventos nativos de Windows, APIs, registros de cortafuegos, syslog, archivos planos, Netflow, XML/JSON y conectividad directa a bases de datos. Rendimiento: Muy bueno. Hasta 100.000 eventos por segundo (EPS). Valor: Muy bueno. Algunos clientes que están convirtiendo de modelos de licencias heredadas a nuevas licencias y la arquitectura ADP han informado de problemas con la complejidad y los costes de la conversión de licencias. Para hacer frente a estas preocupaciones, Micro Focus ha implementado cambios en su modelo de licencias que incluyen una opción de precios libre de restricciones de datos. Implementación: Muy buena. Los usuarios generalmente informan de una fácil implementación. Gartner dijo que ArcSight puede personalizarse ampliamente para apoyar la gestión de amenazas y los casos de uso enfocados en el cumplimiento. La API de ArcSight también permite amplias integraciones en entornos SOC. Gestión: El mejor de su clase. Los paquetes modulares permiten exportar y compartir reglas personalizadas, tableros y otros contenidos entre sistemas o clientes. Incluye la gestión centralizada, el análisis y la elaboración de informes de todos los eventos de seguridad de la empresa. Soporte: Bueno. Los usuarios generalmente notan un soporte sólido, pero unos pocos dicen que puede ser costoso. Escalabilidad: Muy buena. Escalable hasta 100.000 EPS con correlación distribuida.