Porovnání Splunk / Arcsight Logger
- 1. Trask solutions a.s. Na Pankráci 1724/129 140 00 Praha 4 | telefon: (+420) 220 414 111 | mail: sales@trask.cz | web: www.splunk.cz Splunk Logger Zaměření produktů Univerzální použití pro velmi různorodá prostředí, velmi rychlé zpracovávání velkého množství dat provozního, bezpečnostního nebo obchodního charakteru. Primárně slouží k zacelení chybějícího log management a ad-hoc forenzní analýze produktů ArcSight – jde tedy o log management nástroj Cílový trh Širokospektrální, od malých firem až po velké, nadnárodní firmy. Širokospektrální, od malých firem až po velké, nadnárodní firmy. Významní zákazníci Americká ministerstva, americká armáda, velké finanční instituce (Union Bank, AZL), telekomunikační firmy (Verizon, T-Mobile, Vodafone), online služby (LinkedIn, Salesforce) Bank Al Jazira, Banca Intesa, americké ministerstvo zdraví a sociálních služeb, Lake Health Založení firmy 2003 2000 (ArcSight), od r. 2010 pod HP Počet zaměstnanců 500+ N/A Architektura Jeden produkt s možností doplňování tzv. „add-ons“ (modulů, určených pro konkrétní případovou aplikaci). Umí distribuované vyhledávání, distibuovaný reporting Software nebo hardware appliance s předdefinovanou sadou konektorů Umí distribuované vyhledávání jednotlivé instance Licenční model Zdarma/Komerční (včetně podpory). Dle reálně indexovaných dat. Zdarma pouze jako zkušební verze, jinak od 49 USD pro následné použití Licensuje dle EPS (Events per Second) nebo denního toku dat a zároveň dle počtu připojených zařízení Silné stránky Zavedená firma a leader v oblasti zpracování big data (Forbes, 2013), je v Gartnerově leader quardantu MQ v oblasti SIEM za rok 2013, profesionální produkt s velmi dobrou podporou a flexibilitou, širší nasaditelnost (Win, Linux, OSX, HPUX a další – mnoho rozšiřujících aplikací), velmi silný nástroj již po základní instalaci. Intuitivní a svižné GUI Umožňuje korelace nad čímkoliv již od free verze Nižší cena při větších licenčních objemech Je možné pořídit jako hardwarovou appliance nebo software* Spoléhá na konektory ArcSight, nepředdefinované zdroje způsobují velmi slabý výkon Je to úzce zaměřený nástroj Slabé stránky Vyšší cena při vyšších objemech dat *Pokud je pořízen jako software, je možné jej provozovat pouze na Linux Je pomalejší, má složitější reporting a přizpůsobení GUI potřebám zákazníka Omezující licenční politika Nemožnost globálního náhledu na data kvůli izolovanému reportingu per instance Splunk® Enterprise™ HP ArcSight Logger
- 2. Trask solutions a.s. Na Pankráci 1724/129 140 00 Praha 4 | telefon: (+420) 220 414 111 | mail: sales@trask.cz | web: www.splunk.cz Neumožňuje korelace bez ESM nebo Express, což výrazně zvyšuje náklady Neumožňuje korelovat nad transakcemi rozprostřenými nad více systémů, resp. komplexní korelační vyhledávání Kvůli absenci pokročilé indexaci a správy dat neumožňuje efektivně analyzovat události z bezpečnosti, operativy a byznysu Celkové hodnocení Velmi aplikovatelné pro nové i stávající zákazníky. Snaha o napodobení Splunku s horší výkonností a s nutnou návazností na další produkty – Connector, ESM, Express nepřináší očekávaný efekt – tj. svižné, přizpůsobitelné a nezávislé prostředí pro zpracovávání nestrukturovaných i strukturovaných dat. Kam dále? Obecně o Splunku VIDEO / EN / 3:19 Obecně o Loggeru VIDEO / EN / 4:48