[spoiler]В развитие темы Security Information Event Management.
По версии Gartner, лидеры на SIEM рынке сегодня таковы: HP/ArcSight, IBM/Q1 Labs, McAfee/Nitro Security и EMC-RSA/Netwitness. Около них компании Quest Software, Novell, Symantec, NetIQ, Tripwire, LogRhythm, Red Lambda, Trustwave, Sensage и Splunk.
9 июля LogRhythm сообщила о внедрении её патентованной платформы SIEM 2.0 Big Data Security Analytics в юридической фирме Blank Rome LLP, обслуживающей компании из Fortune 500, и будет ежедневно анализировать десятки млн. записей в логах.
16 июля HP представила расширение линейки ArcSight средствами защищённой аналитики Больших данных и технологиями мониторинга и поиска «подозрительных» событий. Такие системы помогли бы своевременно отловить Сноудена например
Они отлично подходят для нахождения сотрудников-«предателей», злоумышленников, любых лиц, планирующих нехорошие действия через корпоративную сеть -- с помощью ArcSight Threat Detector 2.0 и облачного HP ArcSight Threat Response Manager.В этот же день, что показательно в плане уровня конкуренции на данном рынке, Trustwave сообщила об успешном проекте защиты крупнейшего медицинского фонда Великобритании Southern Health NHS Foundation Trust. Система будет контролировать деятельность 9 тысяч сотрудников в 150 английских городах. Интересно, что в Англии действует т.н. правительственный экстранет, и подключение компаний к нему должно происходить по нормативам безопасности и приватности Good Practice Guide 13, а в Евросоюзе они регулируются через EU Data Protection Law.
Из инновационных SIEM-продуктов надо упомянуть MLSecProject, в котором активно используются технологии машинного обучения, он будет на днях официально представлен на хакерской конференции Black Hat 2013.
Этот продукт оказался столь хорошим, что его даже отметил eWeek
http://www.eweek.com/security/researcher-proposes-using-machine-learning-to-improve-network-defense
Любителям же не обращаться к услугам специально обученных специалистов, а тратить кучу собственного (видимо, не слишком дорогого))) времени на изучение и внедрение, порекомендую опенсорсную SIEM-систему OS SIM (The Open Source SIEM) http://sourceforge.net/projects/os-sim/
Она развивается уже десять лет и представляет собой весьма зрелое решение.
InfoWatch Traffic Monitor Enterprise кстати подходит для работы в рамках SIEM не очень хорошо, потому что у нее нету API к внешним системам, в отличии от многих других DLP-решений.