أفضل 6 أدوات لإدارة المعلومات والأحداث (SIEM) تستحق المراجعة في 2020

انها غابة هناك! الأفراد ذوي النوايا السيئة موجودون في كل مكان ويلاحقونك. حسنًا ، ربما لا أنت شخصيًا بل بياناتك. لم يعد الأمر يقتصر على الفيروسات التي يتعين علينا حمايتها من جميع أنواع الهجمات التي يمكن أن تترك شبكتك - ومنظمتك - في وضع صعب. بسبب تكاثر أنظمة الحماية المختلفة مثل مضادات الفيروسات والجدران النارية وكشف التسلل الأنظمة ، أصبح مسؤولو الشبكات الآن مغمورًا بالمعلومات التي يجب عليهم ربطها ، محاولين فهمها منه. هذا هو المكان الذي تكون فيه أنظمة معلومات الأمان وإدارة الأحداث (SIEM) في متناول اليد. إنهم يتعاملون مع معظم العمل الشنيع في التعامل مع الكثير من المعلومات. لتسهيل مهمتك في اختيار SIEM ، نقدم لك أفضل أدوات معلومات الأمان وإدارة الأحداث (SIEM).

اليوم ، نبدأ تحليلنا من خلال مناقشة مشهد التهديد الحديث. كما قلنا ، لم يعد الأمر مجرد فيروسات بعد الآن. بعد ذلك ، سنحاول شرح ما هو SIEM بشكل أفضل ونتحدث عن المكونات المختلفة التي تجعل نظام SIEM. قد يكون بعضها أكثر أهمية من الآخر ولكن قد تختلف أهميتها النسبية لأشخاص مختلفين. وأخيرًا ، سنقدم اختيارنا لأفضل ست أدوات لمعلومات الأمان وإدارة الأحداث (SIEM) ونراجع كل منها بإيجاز.

مشهد التهديد الحديث

كان أمان الكمبيوتر يتعلق فقط بالحماية من الفيروسات. ولكن في السنوات الأخيرة ، تم الكشف عن عدة أنواع مختلفة من الهجمات. يمكن أن تتخذ شكل هجمات رفض الخدمة (DoS) وسرقة البيانات وغيرها الكثير. ولم يعودوا يأتون من الخارج فقط. تنشأ العديد من الهجمات من داخل الشبكة. لذلك ، من أجل الحماية النهائية ، تم اختراع أنواع مختلفة من أنظمة الحماية. بالإضافة إلى برامج مكافحة الفيروسات وجدار الحماية التقليدية ، لدينا الآن أنظمة كشف التسلل ومنع فقدان البيانات (IDS و DLP) ، على سبيل المثال.

بالطبع ، كلما أضفت المزيد من الأنظمة ، زاد العمل الذي تديره. يراقب كل نظام بعض المعلمات المحددة للتشوهات وسيسجلها و / أو يشغل التنبيهات عند اكتشافها. ألن يكون لطيفًا إذا كان من الممكن أتمتة مراقبة جميع هذه الأنظمة؟ علاوة على ذلك ، يمكن اكتشاف بعض أنواع الهجمات من قبل العديد من الأنظمة لأنها تمر بمراحل مختلفة. ألن يكون أفضل بكثير إذا استطعت الرد على جميع الأحداث ذات الصلة كواحد؟ حسنًا ، هذا هو بالضبط موضوع SIEM.

ما هو SIEM بالضبط؟

اسم يقول كل شيء. معلومات الأمان وإدارة الأحداث هي عملية إدارة المعلومات والأحداث الأمنية. بشكل ملموس ، لا يوفر نظام SIEM أي حماية. الغرض الأساسي منه هو تسهيل حياة مسؤولي الشبكات والأمن. ما يفعله نظام SIEM النموذجي حقًا هو جمع المعلومات من مختلف الحماية والكشف أنظمة ، وربط كل هذه المعلومات تجميع الأحداث ذات الصلة ، ويتفاعل مع الأحداث ذات مغزى في طرق مختلفة. في كثير من الأحيان ، ستتضمن أنظمة SIEM أيضًا بعض أشكال التقارير ولوحات المعلومات.

المكونات الأساسية لنظام SIEM

نحن على وشك استكشاف تفاصيل أعمق لكل مكون رئيسي لنظام SIEM. لا يحتوي كل نظام SIEM على جميع هذه المكونات ، وحتى عندما تفعل ذلك ، يمكن أن يكون لها وظائف مختلفة. ومع ذلك ، فهي المكونات الأساسية التي يمكن للمرء أن يجدها ، بشكل أو بآخر ، في أي نظام SIEM.

جمع السجلات وإدارتها

يعد جمع السجلات وإدارتها المكون الرئيسي لجميع أنظمة SIEM. بدونها ، لا يوجد SIEM. يجب على نظام SIEM الحصول على بيانات السجل من مجموعة متنوعة من المصادر المختلفة. يمكنها إما سحبها أو يمكن لأنظمة الكشف والحماية المختلفة دفعها إلى SIEM. نظرًا لأن لكل نظام طريقته الخاصة في تصنيف البيانات وتسجيلها ، فإن الأمر متروك لـ SIEM لتطبيع البيانات وجعلها موحدة ، بغض النظر عن مصدرها.

بعد التطبيع ، غالبًا ما تتم مقارنة البيانات المسجلة بأنماط الهجوم المعروفة في محاولة للتعرف على السلوك الضار في أقرب وقت ممكن. غالبًا ما تتم مقارنة البيانات بالبيانات التي تم جمعها سابقًا للمساعدة في بناء خط أساس من شأنه أن يعزز اكتشاف النشاط غير الطبيعي.

استجابة الحدث

بمجرد اكتشاف حدث ما ، يجب القيام بشيء حيال ذلك. هذا هو ما تدور حوله وحدة استجابة الحدث لنظام SIEM. يمكن أن تتخذ استجابة الحدث أشكالًا مختلفة. في أبسط تطبيق ، سيتم إنشاء رسالة تنبيه على وحدة تحكم النظام. غالبًا ما يمكن أيضًا إنشاء تنبيهات بالبريد الإلكتروني أو الرسائل القصيرة.

لكن أفضل أنظمة SIEM تذهب إلى أبعد من ذلك وستبدأ غالبًا في بعض الإجراءات العلاجية. مرة أخرى ، هذا شيء يمكن أن يتخذ العديد من الأشكال. تحتوي أفضل الأنظمة على نظام سير عمل كامل للاستجابة للحوادث يمكن تخصيصه لتوفير الاستجابة التي تريدها بالضبط. وكما هو متوقع ، لا يجب أن تكون الاستجابة للحوادث موحدة ويمكن أن تؤدي الأحداث المختلفة إلى عمليات مختلفة. ستمنحك أفضل الأنظمة التحكم الكامل في سير عمل الاستجابة للحوادث.

إعداد التقارير

بمجرد أن يكون لديك تجميع السجلات وإدارتها وأنظمة الاستجابة في مكانها ، فإن العنصر الأساسي التالي الذي تحتاج إليه هو إعداد التقارير. قد لا تعرف ذلك بعد ، ولكنك ستحتاج إلى تقارير. ستحتاجهم الإدارة العليا لأن يروا بأنفسهم أن استثمارهم في نظام SIEM يؤتي ثماره. قد تحتاج أيضًا إلى تقارير لأغراض المطابقة. يمكن تسهيل الامتثال لمعايير مثل PCI DSS أو HIPAA أو SOX عندما يتمكن نظام SIEM من إنشاء تقارير المطابقة.

قد لا تكون التقارير في صميم نظام SIEM ولكنها لا تزال مكونًا أساسيًا. وكثيراً ما يكون إعداد التقارير عاملاً مختلفاً بين الأنظمة المتنافسة. التقارير تشبه الحلويات ، لا يمكن أن يكون لديك الكثير. وبالطبع ، ستتيح لك أفضل الأنظمة إنشاء تقارير مخصصة.

لوحة (لوحات)

أخيرًا وليس آخرًا ، ستكون لوحة التحكم هي نافذتك في حالة نظام SIEM. ويمكن أن تكون هناك لوحات تحكم متعددة. نظرًا لأن الأشخاص المختلفين لديهم أولويات واهتمامات مختلفة ، فإن لوحة التحكم المثالية لمسؤول الشبكة ستكون مختلفة عن تلك الخاصة بمدير الأمان. وسيحتاج المدير التنفيذي إلى شخص مختلف تمامًا أيضًا.

على الرغم من أنه لا يمكننا تقييم نظام SIEM من خلال عدد لوحات التحكم الموجودة به ، إلا أنك تحتاج إلى اختيار نظام يحتوي على جميع لوحات البيانات التي تحتاجها. هذا بالتأكيد شيء يجب أن تضعه في اعتبارك أثناء تقييم البائعين. وكما هو الحال مع التقارير ، ستتيح لك أفضل الأنظمة إنشاء لوحات تحكم مخصصة حسب رغبتك.

أفضل 6 أدوات SIEM

هناك الكثير من أنظمة SIEM. الكثير جدا ، في الواقع ، لتكون قادرة على مراجعتها جميعا هنا. لذلك ، بحثنا في السوق وقارنا الأنظمة ، وقمنا بإنشاء قائمة بما وجدناه كأفضل ستة أدوات لمعلومات وإدارة الأمان (SIEM). نحن ندرجها بترتيب التفضيل وسنراجع كل منها بإيجاز. ولكن على الرغم من ترتيبها ، فإن جميع الأنظمة الستة هي أنظمة ممتازة لا يمكننا إلا أن نوصيك بتجربتها بنفسك.

إليك أهم 6 أدوات SIEM

1. مدير سجل الأحداث الشمسية و SolarWinds
2. Splunk Enterprise Security
3. RSA NetWitness
4. مدير ArcSight Enterprise Security Manager
5. مدير McAfee Enterprise Security Manager
6. آي بي إم QRadar SIEM

SolarWinds هو اسم شائع في عالم مراقبة الشبكة. منتجها الرئيسي ، مراقبة أداء الشبكة هو واحد من أفضل أداة مراقبة SNMP المتاحة. تشتهر الشركة أيضًا بالعديد من الأدوات المجانية مثل حاسبة الشبكة الفرعية الخاصة بهم أو خادم SFTP الخاص بهم.

أداة SIEM SolarWinds ، إدارة السجلات والأحداث (LEM) أفضل وصف لنظام SIEM للمبتدئين. ولكن من المحتمل أن يكون أحد أكثر أنظمة مستوى الدخول تنافسية في السوق. لدى SolarWinds LEM كل ما يمكن أن تتوقعه من نظام SIEM. لديها ميزات إدارة وربط طويلة ممتازة ومحرك تقارير مثير للإعجاب.

أما بالنسبة لميزات استجابة حدث الأداة ، فلا تترك شيئًا مطلوبًا. سوف يتفاعل نظام الاستجابة التفصيلية في الوقت الفعلي بنشاط مع كل تهديد. ونظرًا لأنه يستند إلى السلوك بدلاً من التوقيع ، فأنت محمي ضد التهديدات غير المعروفة أو المستقبلية.

لكن لوحة تحكم الأداة ربما تكون أفضل أصولها. مع التصميم البسيط ، لن تواجه مشكلة في التعرف على الحالات الشاذة بسرعة. بدءًا من حوالي 500 4 دولار ، فإن الأداة أكثر من معقولة. وإذا كنت تريد تجربتها أولاً ، تجربة مجانية كاملة لمدة 30 يومًا الإصدار متاح للتنزيل.

2. Splunk Enterprise Security

ربما أحد أشهر أنظمة SIEM ، Splunk Enterprise Security–أو Splunk ES ، كما يطلق عليه غالبًا - مشهور بشكل خاص بقدراته التحليلية. تراقب Splunk ES بيانات نظامك في الوقت الفعلي ، وتبحث عن نقاط الضعف وعلامات النشاط غير الطبيعي.

الاستجابة الأمنية هي واحدة من الدعاوى القوية لـ Splunk ES. يستخدم النظام ما يطلق عليه Splunk إطار الاستجابة التكيفي (ARF) الذي يتكامل مع المعدات من أكثر من 55 بائعًا للأمان. يقوم ARF باستجابة تلقائية ، مما يسرع المهام اليدوية. سيتيح لك ذلك الحصول على اليد العليا بسرعة. أضف إلى ذلك واجهة مستخدم بسيطة ومرتبة ولديك حل ناجح. وتشمل الميزات الأخرى المثيرة للاهتمام وظيفة Notables التي تعرض تنبيهات قابلة للتخصيص من قِبل المستخدم ومحقق الأصول لتمييز الأنشطة الضارة ووضع حد لمزيد من المشاكل.

Splunk ES هو حقًا منتج على مستوى المؤسسة ويأتي مع سعر بحجم المؤسسة. لا يمكنك حتى الحصول على معلومات التسعير من موقع Splunk على الويب. تحتاج إلى الاتصال بقسم المبيعات للحصول على السعر. على الرغم من سعره ، يعد هذا منتجًا رائعًا وقد ترغب في الاتصال بـ Splunk والاستفادة من الإصدار التجريبي المجاني.

3. RSA NetWitness

منذ عام 20016 ، ركزت NetWitness على المنتجات التي تدعم "الوعي الظرفي في الوقت الفعلي للشبكة واستجابة الشبكة الرشيقة". بعد أن استحوذت عليها شركة EMC ثم اندمجت مع Dell ، أصبحت أعمال Newitness الآن جزءًا من فرع RSA في الشركة. وهذه أخبار جيدة RSA هو اسم مشهور في مجال الأمن.

RSA NetWitness مثالية للمؤسسات التي تسعى إلى حل تحليلات شبكة كاملة. تتضمن الأداة معلومات حول عملك مما يساعد في تحديد أولويات التنبيهات. وفقًا لـ RSA ، يقوم النظام "بجمع البيانات عبر المزيد من نقاط الالتقاط ومنصات الحوسبة ومصادر استخبارات التهديد أكثر من حلول SIEM الأخرى". هناك أيضًا اكتشاف متقدم للتهديدات يجمع بين التحليل السلوكي وتقنيات علوم البيانات وذكاء التهديدات. وأخيرًا ، يفتخر نظام الاستجابة المتقدمة بقدرات التنسيق والأتمتة للمساعدة في التخلص من التهديدات قبل أن تؤثر على عملك.

من العوائق الرئيسية لـ RSA NetWitness أنها ليست الأسهل في الاستخدام والتهيئة. ومع ذلك ، تتوفر وثائق شاملة يمكن أن تساعدك في إعداد المنتج واستخدامه. هذا منتج آخر على مستوى المؤسسة وستحتاج إلى الاتصال بالمبيعات للحصول على معلومات التسعير.

4. مدير ArcSight Enterprise Security Manager

مدير ArcSight Enterprise Security Manager يساعد في تحديد التهديدات الأمنية وتحديد أولوياتها ، وتنظيم وتتبع أنشطة الاستجابة للحوادث ، وتبسيط أنشطة المراجعة والامتثال. تم بيعها سابقًا تحت علامة HP التجارية ، وقد تم دمجها الآن مع Micro Focus ، وهي شركة فرعية أخرى تابعة لـ HP.

نظرًا لوجود ArcSight منذ أكثر من خمسة عشر عامًا ، تعد أدوات أخرى لـ SIEM شائعة للغاية. يقوم بتجميع بيانات السجل من مصادر مختلفة وإجراء تحليل شامل للبيانات ، بحثًا عن علامات النشاط الضار. لتسهيل التعرف على التهديدات بسرعة ، يمكنك عرض نتائج تحليل real0tme.

في ما يلي لمحة عن الميزات الرئيسية للمنتجات. لديها ارتباط قوي للبيانات الموزعة في الوقت الحقيقي ، وأتمتة سير العمل ، وتنسيق الأمان ، ومحتوى الأمان المدفوع بالمجتمع. يتكامل مدير Enterprise Enterprise أيضًا مع منتجات ArcSight الأخرى مثل ArcSight Data Platform و Event Broker أو ArcSight Investigate. هذا منتج آخر على مستوى المؤسسة - يشبه إلى حد كبير جميع أدوات SIEM عالية الجودة - سيتطلب منك الاتصال بفريق مبيعات ArcSight للحصول على معلومات التسعير.

5. مدير McAfee Enterprise Security Manager

McAfee هو بالتأكيد اسم مألوف آخر في صناعة الأمن. ومع ذلك ، فمن المعروف عن منتجات الحماية من الفيروسات. ال مدير أمن المؤسسة ليست مجرد برامج. إنه في الواقع جهاز. يمكنك الحصول عليها بشكل افتراضي أو مادي.

من حيث قدرات التحليلات ، يعتبر McAfee Enterprise Security Manager أحد أفضل أدوات SIEM من قبل الكثير. يجمع النظام السجلات عبر مجموعة واسعة من الأجهزة. أما قدرات التطبيع فهي من الدرجة الأولى. يقوم محرك الارتباط بسهولة بتجميع مصادر البيانات المتباينة ، مما يسهل اكتشاف الأحداث الأمنية فور حدوثها

في الحقيقة ، هناك حل McAfee أكثر من مجرد مدير أمان المؤسسة. للحصول على حل SIEM كامل ، تحتاج أيضًا إلى Enterprise Log Manager و Event Receiver. لحسن الحظ ، يمكن تعبئة جميع المنتجات في جهاز واحد. بالنسبة لأولئك منكم الذين قد يرغبون في تجربة المنتج قبل شرائه ، يتوفر إصدار تجريبي مجاني.

6. آي بي إم QRadar

تمكنت شركة IBM ، التي ربما تكون الاسم الأكثر شهرة في صناعة تكنولوجيا المعلومات ، من تأسيس حل SIEM الخاص بها ، آي بي إم QRadar هي واحدة من أفضل المنتجات في السوق. تمكّن الأداة محللي الأمان من الكشف عن الحالات الشاذة ، وكشف التهديدات المتقدمة وإزالة الإيجابيات الزائفة في الوقت الحقيقي.

يفتخر IBM QRadar بمجموعة من ميزات إدارة السجلات ، وجمع البيانات ، والتحليلات ، وكشف التسلل. يساعدون معًا في الحفاظ على عمل البنية الأساسية لشبكتك وتشغيلها. هناك أيضًا تحليلات لنمذجة المخاطر يمكنها محاكاة الهجمات المحتملة.

تتضمن بعض ميزات QRadar الرئيسية القدرة على نشر الحل محليًا أو في بيئة سحابية. إنه حل معياري ويمكن للمرء أن يضيف المزيد من تخزين طاقة المعالجة بسرعة وبتكلفة منخفضة. يستخدم النظام خبرة استخبارية من IBM X-Force ويتكامل بسلاسة مع مئات من منتجات IBM وغير IBM.

شركة IBM هي شركة IBM ، يمكنك أن تتوقع دفع سعر ممتاز لحل SIEM الخاص بهم. ولكن إذا كنت بحاجة إلى واحدة من أفضل أدوات SIEM في السوق ، فقد يكون QRadar يستحق الاستثمار.

فى الختام

المشكلة الوحيدة التي تخاطر بها عند التسوق للحصول على أفضل أداة معلومات الأمان ومراقبة الأحداث (SIEM) هي وفرة الخيارات الممتازة. لقد قدمنا ​​للتو أفضل ستة. كلها خيارات ممتازة. سيعتمد الخيار الذي ستختاره إلى حد كبير على احتياجاتك الدقيقة وميزانيتك والوقت الذي ترغب في تخصيصه لإعداده. للأسف ، التكوين الأولي دائمًا هو الجزء الأصعب وهذا هو المكان الذي يمكن أن تسوء فيه الأمور إذا لم يتم تكوين أداة SIEM بشكل صحيح ، فلن تكون قادرة على القيام بعملها بشكل صحيح.

نص 50 - 2300