EIQ Networks提供了独特的表示特性，但是底层的SIEM需要一些改进

EIQ Network的SecureVue是一款多功能产品，它提供SIEM功能作为其众多组件之一。

编者注:这是我们对这个产品的测试的总结，是它在我们跨SIEM类别的测试中表现如何的一个完整的纲要;请参阅我们的完全覆盖．

EIQ网络SecureVue是一款多功能产品，它提供SIEM功能作为其众多组件之一。

EIQ采用了一种新颖的方法，不仅收集传统设备事件和漏洞信息，还收集配置和性能数据。该产品具有我们测试过的最广泛的设备支持，并具有通过配置“快照”分析主机的能力，并提供事件的3D视图，这当然是非常有用的功能。不幸的是，用户界面有点粗糙。而且，更严重的是，它价格昂贵，而且许多支持工具的功能非常有限，这使得我们很难推荐SecureVue用于许多传统的SIEM使用。也就是说，探索SecureVue的非siemen类功能(例如它的审计和法规遵循管理工具)来看看它们是否弥补了SIEM的不足，超出了我们的测试范围。

SecureVue是在一个运行Windows 2003 eIQ网络的基于英特尔的设备上获得的，它提供了独特的表示特性，但底层的SIEM需要一些改进。eIQ Networks在为广泛的格式和设备类型编写解析器方面做得很出色，尽管新设备的供应不像High Tower的过程那么顺利，但已经相当接近了。SecureVue的解析编辑器也给我们留下了深刻印象;该工具允许我们获取未知类型的日志数据，导入它，然后选择并匹配相关字段(例如源IP地址)，只需要突出显示屏幕上的文本即可。非常光滑。

我们在日常使用该产品时遇到的困难是查看数据时必须采取的尴尬路径。例如，在我们测试的大多数SIEM工具中，都有某种类型的事件概述表，允许我们实时查看所有相关的警报。深入到相关事件以揭示“触发”事件通常只需鼠标点击，然后双击进一步将我们引向原始事件日志本身。使用SecureVue完成相同的任务需要多个步骤;单击一个警报将引导您进入一个法医报告查询，然后该查询将启动一个不同的窗口，以显示导致该触发器的事件。一旦到达那里，事件查看器就相对不灵活;我们不能很容易地对列进行排序，重新排列列，或做任何我们在执行初始调查任务时想要做的数据“切片和切片”。

默认相关规则的有效性似乎也有限。例如,在我们的测试SecureVue,还有不到12个发射的相关规则,和许多的攻击模式(例如,一个入侵检测系统(IDS)事件之后,失败的登录,然后成功的身份验证和主机活动)认可的其他工具SecureVue地忽视了。关联引擎在某种程度上也是“硬编码”的，因为它不允许您编辑很多底层逻辑。我们发现自己在配置规则的特定参数(如阈值和时间限制)时陷入了困境，无法创建更复杂的规则。如果能看到一个更开放的规则集和更积极的相关性，那就太好了。

除了解析工具包之外，我们还发现了另一个我们非常喜欢的独特SecureVue特性:Visualizor组件。这是一个可视化引擎，在一个三维可旋转的平面上绘制数据。您可以从主用户界面启动此工具，对存储在产品中的数据执行特别的可视化任务，但也可以从取证报告中启用该工具。我们发现，在涉及多个警报和主机的更大、更复杂的数据集中，它对于轻松发现项目非常有用。例如，我们有一组大约15个需要进一步研究的IDS事件，并且能够隔离一组支持的事件数据。虽然在表格中可以看到文本，但将其发送到visualizer进行3D绘图可以更容易地发现可能需要进一步研究的主机之间的关系。不幸的是，SecureVue不允许进一步的数据操作和查询，一旦你在Visualizor工具中工作，所以我们经常跳入和退出它。通过一些额外的特性扩展，Visualizor可能会成为一个非常引人注目的区分器。

和Checkpoint一样，eIQ Networks已经为一个好的SIEM产品建立了必要的基础，当涉及到visualizer和解析编辑器时，它甚至领先于市场。但该产品在许多关键领域需要显著改进，软件版本的建议起价为5万美元(设备为7万美元)，它的定价不是很有竞争力。幸运的是eIQ将在今年晚些时候发布该产品的v3.1版本，我们被告知该版本解决了许多现有的缺陷。我们一定会密切注意的。

<返回主测试:SIEM工具不足>

了解更多关于这个主题的信息