Subido por fuertes1994

Arcsight MicroF HP

Anuncio
Arcsight Microfocus HP
Bottom Line
Micro Focus ArcSight fell from the Leaders to the Challengers section of the most recent
Gartner Magic Quadrant (MQ) for SIEM, based on Gartner's concerns about how Micro Focus
is integrating the former HPE product with its existing products, and licensing complexity. That
said, the company has a large installed base of customers using the SIEM product for large,
complex SOC environments and for more basic log collection use cases. It is also used by many
managed security service providers (MSSPs).
Company Description
ArcSight was founded in 2000 and filed for its IPO in 2008. HP acquired it in 2012 for $1.5
billion, and in September 2017, Hewlett Packard Enterprise (HPE) spun out its software
business, including ArcSight, which merged with 40-year-old Micro Focus to become a $4.4
billion software company.
Product Description
ArcSight Enterprise Security Manager (ESM) includes ingestion and interpretation of logs,
connection to threat intelligence feeds, real-time correlation and analytics, security alerting,
data presentation through user interface dashboards and reporting, compliance reporting and
support. ESM can also perform baselining and outlier mechanism notification. This is achieved
through its integration with other analytics products, such as ArcSight User Behavior Analytics
(UBA). In addition, data enrichment features include asset and network modelling,
prioritization, geo-location, vulnerability modeling, and user modeling.
Recent enhancements to ESM include:
Support of Hadoop as optional backend storage for collected events and performing analysis
on events
Use of machine learning to assist in the event escalation process
Full support of NetFlow, including the ability to use NetFlow in correlation rules to detect
security alerts
Easy integration with third-party and external user threat risk score services such as
Webroot
GDPR support
El ArcSight Enterprise Security Manager (ESM) incluye la ingesta e interpretación de registros,
la conexión a los suministros de inteligencia de amenazas, la correlación y el análisis en tiempo
real, las alertas de seguridad, la presentación de datos a través de los tableros de la interfaz de
usuario y la elaboración de informes, los informes de cumplimiento y el apoyo. El ESM también
puede realizar la notificación del mecanismo de base y de los mecanismos atípicos. Esto se
logra mediante su integración con otros productos analíticos, como ArcSight User Behavior
Analytics (UBA). Además, las características de enriquecimiento de datos incluyen la
modelización de activos y redes, la priorización, la geo-localización, la modelización de la
vulnerabilidad y la modelización del usuario.
Entre las mejoras recientes del ESM se incluyen:
Soporte de Hadoop como almacenamiento opcional del backend para los eventos recogidos
y la realización de análisis sobre los eventos
El uso de la máquina de aprendizaje para ayudar en el proceso de escalada de eventos
Soporte completo de NetFlow, incluyendo la capacidad de usar NetFlow en reglas de
correlación para detectar alertas de seguridad
Fácil integración con servicios de calificación de riesgo de amenazas de terceros y usuarios
externos como Webroot
Apoyo al PIB
SIEM Features Rated
Threats blocked: Good. ArcSight blocks a wide range of threats. It includes access to the
ArcSight Activate threat framework and ArcSight Marketplace content for the most current
security correlation rules, dashboards, reports and use cases.
Sources ingested: Very good. ESM can analyze data from more than 500 device types and can
incorporate cyber threat intelligence via STIX or CIF standard feeds. ArcSight's ADP
SmartConnectors support every common event format, from native Windows events, APIs,
firewall logs, syslog, flat file, Netflow, XML/JSON and direct database connectivity.
Performance: Very good. Up to 100,000 events per second (EPS).
Value: Good. Some customers converting from legacy licensing models to new licenses and the
ADP architecture have reported issues with license conversion complexity and costs. To
address these concerns, Micro Focus has implemented changes to its licensing model that
include a pricing option that is free of data restrictions.
Implementation: Very good. Users generally report easy implementation. Gartner said ArcSight
can be extensively customized to support threat management and compliance-focused use
cases. ArcSight's API also enables extensive integrations in SOC environments.
Management: Best in class. Modular packages allow custom rules, dashboards and other
content to be exported and shared across systems or customers. It includes centralized
management, analysis, and reporting of all enterprise security events.
Support: Good. Users generally note solid support, but a few say it can be pricey.
Scalability: Very good. Scalable up to 100,000 EPS with distributed correlation.
Características del SIEM clasificadas
Amenazas bloqueadas: Bien. ArcSight bloquea una amplia gama de amenazas. Incluye el
acceso al marco de amenazas de Activación de ArcSight y al contenido del Mercado ArcSight
para las reglas de correlación de seguridad, los cuadros de mando, los informes y los casos de
uso más actuales.
Fuentes ingeridas: Muy buenas. ESM puede analizar datos de más de 500 tipos de dispositivos
y puede incorporar inteligencia de ciberamenazas a través de fuentes estándar STIX o CIF. Los
SmartConnectors ADP de ArcSight soportan todos los formatos de eventos comunes, desde
eventos nativos de Windows, APIs, registros de cortafuegos, syslog, archivos planos, Netflow,
XML/JSON y conectividad directa a bases de datos.
Rendimiento: Muy bueno. Hasta 100.000 eventos por segundo (EPS).
Valor: Muy bueno. Algunos clientes que están convirtiendo de modelos de licencias heredadas
a nuevas licencias y la arquitectura ADP han informado de problemas con la complejidad y los
costes de la conversión de licencias. Para hacer frente a estas preocupaciones, Micro Focus ha
implementado cambios en su modelo de licencias que incluyen una opción de precios libre de
restricciones de datos.
Implementación: Muy buena. Los usuarios generalmente informan de una fácil
implementación. Gartner dijo que ArcSight puede personalizarse ampliamente para apoyar la
gestión de amenazas y los casos de uso enfocados en el cumplimiento. La API de ArcSight
también permite amplias integraciones en entornos SOC.
Gestión: El mejor de su clase. Los paquetes modulares permiten exportar y compartir reglas
personalizadas, tableros y otros contenidos entre sistemas o clientes. Incluye la gestión
centralizada, el análisis y la elaboración de informes de todos los eventos de seguridad de la
empresa.
Soporte: Bueno. Los usuarios generalmente notan un soporte sólido, pero unos pocos dicen
que puede ser costoso.
Escalabilidad: Muy buena. Escalable hasta 100.000 EPS con correlación distribuida.
Descargar