Анализ больших потоков данных стал в последние годы серьезной проблемой для самых разных средств безопасности. Сканеры уязвимостей и межсетевые экраны, системы управления инцидентами и DLP-модули — все они имеют дело с тысячами событий, которые агрегируются ежедневно, ежечасно или даже ежеминутно. Специалистам по безопасности очень непросто разбирать эти бесконечные логи вручную. Да и оперативность защиты страдает: даже если система обнаружила критическую уязвимость или атаку, нужно еще время, чтобы эту находку заметил человек среди множества других сообщений.

Летом мы провели небольшой конкурс под названием «Чего нам не хватает в SIEM». Практически все ИБ-специалисты, приславшие нам свои отзывы о современных системах мониторинга безопасности, отметили необходимость «умного» интерфейса, который позволял бы автоматически сортировать и визуализировать данные, чтобы заострить внимание экспертов на самых важных результатах.
Аналогичные запросы возникли и у пользователей системы контроля защищенности и соответствия стандартам MaxPatrol. Данная система применяет одну из крупнейших в мире баз уязвимостей для сканирования инфраструктур крупнейших компаний, банков, телекомов и промышленных предприятий с десятками тысяч узлов. Можно себе представить, какими порядками описывается количество записей в результатах аудита! Читать дальше →

http://habrahabr.ru/post/237171/