Es probable que esta pregunta se marque, ya que es específica del proveedor, sin embargo, tomaré un tiempo para responder a sus preguntas utilizando un enfoque de seguridad.
Es gratuito y de código abierto : hay un costo asociado con el aprendizaje de cualquier herramienta y su implementación adecuada. También hay un costo asociado con el apoyo. En un momento decisivo, utilizando un modelo de código abierto, está listo para lidiar con el problema. Esto significa, encontrar el foro adecuado para obtener ayuda, lista de correo electrónico, etc.
Una vez que se instaló, los administradores de seguridad pueden observar fácilmente todos los procesos relacionados con el riesgo : una vez instalados, lo único que sabe es qué lo configuró para hacerlo. Estos dispositivos tienen mucho en cuenta la ubicación, qué es lo que desea observar, por qué lo quiere observar. Esta parte se realiza con una evaluación de riesgos: "¿Qué está tratando de proteger y por qué?"
Cuenta con muchos componentes de software que ayudan en la recolección de datos, estos se utilizan para evaluaciones de vulnerabilidad, como IDS, HID y otros. : estos dispositivos funcionan de manera diferente. Este en particular usa agentes para monitoreo (OSSEC, Snare, etc.), lo que significa que necesita ir a cada máquina individual, configurarlos para hablar con el servidor central.
Ahora veamos las cosas con las que necesita ayuda:
El hardware físico que necesito. Me dijeron que necesitaría 3 tarjetas de red
(NIC). ¿Es esto cierto? por favor explique. También me gustaría saber cómo.
Necesitaré mucha capacidad de procesamiento, almacenamiento y RAM.
Nadie podrá ayudarte con esta pregunta. Nadie puede conocer las complejidades de su red, la cantidad de ancho de banda que se utiliza, la cantidad de eventos / registros que deben procesarse.
¿Será importante el número de proveedores de servicios de Internet (ISP)?
¿Cuándo tiene lugar el proceso de selección de hardware? Actualmente tenemos 2
Diferentes ISPs para diferentes servicios.
Otra pregunta que nadie podrá contestar. ¿Necesita capacidades de conmutación por error? ¿Necesita capacidades de alta disponibilidad? Hay demasiadas preguntas para que nadie las adivine.
¿Será suficiente 1 computadora con OSSIM para administrar eventos de seguridad desde
¿Alrededor de 5 sitios web de tráfico medio y un par de sistemas internos?
Tenemos la intención de configurar una estación de monitoreo con al menos 2
monitores para facilitar la tarea de monitoreo.
Otra pregunta que nadie podrá responder y cualquiera que lo haga está haciendo un mal servicio al hacerlo.