Открыть сервис

McAfee Enterprise Security Manager

McAfee Enterprise Security Manager (ESM) — это корпоративная платформа класса SIEM (Security Information and Event Management), предназначенная для сбора, агрегации, корреляции и анализа событий безопасности в информационных системах организаций. ESM позволяет выявлять подозрительные действия, нарушения политик безопасности и инциденты в реальном времени, а также обеспечивает хранение журналов аудита и построение отчетности. Продукт разработан компанией McAfee (входит в состав McAfee Corp.), одним из крупнейших мировых поставщиков решений в области кибербезопасности. ESM часто используется в крупных предприятиях, государственных учреждениях и центрах мониторинга безопасности (SOC). С 2021 года продукт развивается под брендом Trellix (McAfee Enterprise объединилась с FireEye) — полное название в настоящее время — Trellix Enterprise Security Manager (ранее McAfee ESM).

История

История McAfee ESM началась в середине 2000-х годов, когда рынок SIEM-систем стал активно формироваться. Компания McAfee, известная антивирусными продуктами, приобрела несколько компаний в сфере управления событиями безопасности, включая разработчика SIEM-решения NitroSecurity в 2011 году. Технологии NitroSecurity легли в основу McAfee Enterprise Security Manager. В последующие годы платформа развивалась, получая интеграции с другими продуктами экосистемы McAfee (например, McAfee ePolicy Orchestrator, McAfee Network Security Platform) и сторонними системами.

Ранее решение называлось McAfee Enterprise Security Manager (или McAfee SIEM). В 2021 году McAfee продала корпоративный бизнес (включая ESM) компании STG (Symphony Technology Group), которая затем объединила его с FireEye, образовав новую компанию Trellix. С этого момента продукт официально называется Trellix Enterprise Security Manager, однако в русскоязычной среде и в технической документации часто сохраняется прежнее название, особенно в контексте legacy-инсталляций.

Архитектура и компоненты

Серверная часть

ESM представляет собой трёхуровневую архитектуру:

Модули и расширения

ESM поддерживает установку дополнительных «движков»:

Функциональные возможности

Сбор и нормализация

ESM способен принимать события в десятках форматов: Syslog, SNMP, Windows Event Log, ODBC, API-интерфейсы (для облачных сервисов). Библиотека парсеров (дешифраторов) включает сотни исходных правил для ведущих производителей: Cisco, Palo Alto, Check Point, Microsoft, Linux, VMware, AWS, Azure и др. Нормализованные события приводятся к единой схеме полей (тип события, источник, адрес, действие и т.д.).

Корреляция и выявление инцидентов

Корреляция осуществляется на основе правил, использующих такие критерии, как: количество событий за интервал времени, последовательность событий, географические данные, активность с подозрительных IP-адресов, статусы уязвимостей. ESM поддерживает создание корреляционных правил через графический редактор. Комбинирование корреляции с данными об уязвимостях (из VM) позволяет оценить реальную критичность инцидента.

Мониторинг в реальном времени

Консоль отображает активные инциденты, текущую нагрузку, статус компонентов. Доступны настраиваемые панели (дашборды) с графиками и таблицами. За 2020-2022 годы в интерфейсе были улучшены возможности визуализации: Heat Maps, географические карты, временные шкалы.

Отчётность

ESM включает более 200 встроенных отчётов, отвечающих требованиям стандартов: PCI DSS, HIPAA, SOX, ГОСТ Р (применительно к РФ). Отчёты генерируются в форматах PDF, HTML, CSV, Excel. Возможна автоматическая рассылка по расписанию.

Управление уязвимостями

Модуль Vulnerability Manager (ранее McAfee Vulnerability Manager) активный сканер и пассивный анализатор, который сканирует сетевые сегменты и приложения по расписанию или в ответ на инциденты. Результаты сканирования обогащают данные ESM: если атака на систему, имеющую высокую уязвимость, она помечается как критическая.

Развёртывание и масштабирование

ESM развёртывается на физических или виртуальных серверах. В больших средах возможна многоуровневая архитектура с несколькими коллекторами, распределёнными по филиалам, и центральной консолью. Поддерживается кластеризация для отказоустойчивости (Active-Passive). Для обеспечения производительности требуется оборудование с достаточным объёмом оперативной памяти (от 32 ГБ на сервер среднего масштаба) и скоростными дисками (SSD). Система линейно масштабируется при добавлении узлов обработки.

Интеграции

ESM интегрируется с основными продуктами экосистемы McAfee/Trellix:

Также поддерживаются REST API и Syslog для интеграции со сторонними SIEM (например, с российской системой MaxPatrol SIEM) и системами управления инцидентами.

Версии и лицензирование

На 2024 год последняя стабильная версия — 11.x. Различают редакции:

Лицензирование осуществляется на основе количества событий в секунду (EPS) или объёма хранимых данных (GB в день). Стоимость варьируется от $25 000 для малого развёртывания до сотен тысяч долларов для крупных корпораций.

Критика и ограничения

SIEM-решения, включая McAfee ESM, подвергаются критике из-за высокой сложности настройки корреляционных правил, необходимости в квалифицированных специалистах SOC и больших эксплуатационных затратах. В отзывах пользователей отмечают:

Правовой статус и ограничения

Компания McAfee Corp. не входит в санкционные списки и не является экстремистской или террористической организацией на территории РФ. Однако с 2022 года, в связи с санкциями и ограничениями на экспорт технологий, McAfee приостановила деятельность в России. Поставщики и пользователи программного обеспечения McAfee в РФ столкнулись с невозможностью продления лицензий и обновлений. Ряд государственных и корпоративных заказчиков перешёл на российские SIEM-системы.

Сравнение с аналогами

Сравним McAfee ESM/SIEM с основными конкурентами (по состоянию на 2024 год):

ПродуктОсновной разработчикОсобенностиПрименимость в РФ
Splunk Enterprise SecuritySplunk Inc.Мощный поиск, поддержка машинного обучения, высокая стоимость лицензийОграничена (санкции)
IBM QRadarIBMБогатая корреляция, интеграция с другими системами IBMОграничена, но поддержка остаётся
Trellix ESM (McAfee ESM)TrellixПоддержка ADM, VM, высокая производительность на масштабахНовая поддержка прекращена
MaxPatrol SIEMPositive TechnologiesВстроенное соответствие ФСТЭК, поддержка отечественной криптографииШироко применяется в РФ
R-SiemR-VisionПоддержка ГОСТ, облачная/гибридная архитектураАктивно внедряется

Источники

  1. Trellix Enterprise Security Manager Documentation (Product Guide, v11.x). Trellix Corp. 2023.
  2. McAfee Enterprise Security Manager 11.5.0. Administrator Guide. McAfee, 2020.
  3. Обзор рынка SIEM-систем: текущее состояние и перспективы. – Информационный портал «CNews», 2023.
  4. Статья «McAfee ESM: обзор возможностей и архитектуры». – Журнал «Системы безопасности», №4, 2021.
  5. Аналитический отчёт IDC: «Worldwide Siem Market 2022–2026 Forecast», IDC, 2022.
  6. Официальный сайт Trellix: страница продукта Trellix Enterprise Security Manager. – trellix.com, 2024.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →