TriGeo的SIM卡升级了高端功能

编者注:这是我们对这个产品的测试的总结，是它在我们跨SIEM类别的测试中表现如何的一个完整的纲要;请参阅我们的完全覆盖．

TriGeo微软的SIM平台是一系列技术的集合，这些技术历来较少针对企业，而更多地针对中小企业(SMB)。该公司声称，它希望继续专注于低端市场。然而，最近添加的一些功能大大增加了产品的功能，使其可以与我们测试的许多经典企业SIEM产品相媲美。

TriGeo为我们提供了一套三种设备:主SIM平台和两个支持系统，其中包含InSight和depth附加组件，分别提供商业智能和数据解析绑定。主要的TriGeo平台是基于英特尔的Windows系统，支持设备也是基于英特尔的，但在底层运行Linux。用户界面是一个可以安装在桌面系统上的Java applet。但是，在我们的测试中，我们选择从提供的TriGeo Windows设备中简单地使用它。

乍一看，TriGeo SIM似乎是一个非常基本的SIEM平台:它可以接收来自多个来源的事件;它包含一个基本的相关引擎;而且，它在接近实时的情况下显示警报和原始事件视图。相关引擎的功能不像Q1 Labs产品那样全面，支持的设备列表也不像其他测试平台那样全面，但基本功能已经在那里了。

当我们开始使用InSight和depth插件时，事情变得更有趣了。InSight设备接收来自TriGeo SIM的数据，并提供商业智能显示工具覆盖层。这使得在固定的数据集上(例如，在预先选择的时间范围内发现的数据集)更容易查看和发现趋势。当我们想粗略地查看一天的事件趋势时，这种方法是有用的，但没有发现它对更长的时间跨度有用。最终，我们的结论是，虽然InSight工具看起来很好，但我们很少使用它。

相比之下，depth设备是无价的。depth本质上是Splunk日志解析工具的一个捆绑版本，它提供了市场上最好的临时搜索功能之一。Splunk技术类似于日志文件的谷歌;它使快速搜索基本字符串成为现实。depth不提供全功能事件监控所需的功能，但TriGeo SIM和depth的组合在大多数用例中非常有竞争力。

对于较小的组织来说，TriGeo SIM还有一些独特的功能值得注意。一个是包含了可以从主设备运行的Snort网络IDS的开源版本。组织当然可以部署自己的Snort版本，但是这个包很方便。另一个独特的功能是Windows代理，包括“USB防御”:一种机制，可以监控，检测和阻止USB相关活动。正如市场上有许多独立的网络IDS/IPS产品一样，也有许多基于主机的USB预防工具，但对于预算紧张的小企业来说，捆绑产品也有自己的位置。相反，我们认为企业客户对这些额外的选项不太感兴趣。

然而，该产品在一些领域确实举步维艰。对于初学者来说，如果不添加InSight和depth，报告和临时查询机制几乎不存在。对于许多小型企业来说，这可能不是问题，但我们不建议大型企业考虑不添加depth的产品。它还在设备支持方面遇到了一些困难，因为它在解析开放源码软件事件时遇到了一些问题，而且我们最初在解析来自Snort设备的事件时也遇到了一些问题。

库存用户界面在排序和表示功能方面也是相当基本的。例如，我们不能轻易地根据特定列对事件集进行重新排序——这是我们测试的所有其他产品中都存在的特性。

TriGeo在SMB领域取得了成功，因为它为事件监控和功能齐全的SIEM工具提供了良好的基础，而且价格合理。然而，随着初级单元现在从Q1 Labs和High Tower的出货，我们可以预见，TriGeo在SMB领域的竞争将有所增加。同样，随着InSight和depth的加入，TriGeo的产品开始包含通常仅限于企业SIEM空间的特性。最终的冲突可能是不可避免的。

<返回主测试:SIEM工具不足>

了解更多关于这个主题的信息