SolarWinds Log & Event Manager vs Splunk - En sammenlignende anmeldelse

En af de vigtigste - hvis ikke DE vigtigste - aktiver i mange af dagens organisationer er deres data. Det er så vigtigt og værdifuldt, at mange dårligt tilsigtede enkeltpersoner eller organisationer vil gøre meget for at stjæle de dyrebare data. De gør det, at ved hjælp af en lang række teknikker og teknologier for at få uautoriseret adgang til netværk og systemer. Antallet af sådanne forsøg ser ud til at vokse eksponentielt hele tiden. For at forhindre det bliver systemer kaldet Intrusion Prevention Systems eller IPS distribueret af virksomheder, der ønsker at beskytte deres datakapital. Det SolarWinds Log & Event Manager såvel som splunker to ukonventionelle produkter på den arena. I dag sammenligner vi de to.

Vi begynder vores udforskning ved at kigge på forebyggelse af indtrængen generelt. Det vil hjælpe med at sætte tabellen for det, der kommer. Vi prøver at holde det så ikke-teknisk som muligt. Vores idé er ikke at gøre dig eksperter med forebyggelse af indtrængen, men snarere at sikre, at vi alle er på samme side, da vi yderligere udforsker begge produkter. Når vi taler om at udforske produkterne, er det her, vi har næste gang. Vi beskriver først hovedfunktionerne i SolarWinds Log & Event Manager, vi følger efter ved at se på produktets styrke og svagheder og dens fordele og ulemper, som rapporteret af brugere af platformen, og vi vil afslutte vores oversigt over produktet ved at se på dets priser og licens struktur. Vi gennemgår derefter Splunk ved hjælp af et identisk format med produktets funktioner, dens styrker og svagheder, dens fordele og ulemper og prisstruktur. Endelig afslutter vi, hvad brugerne har at sige om de to produkter.

Forebyggelse af indtrængen - Hvad handler det her om?

For mange år siden var virusser stort set de eneste bekymringer fra systemadministratorer. Vira kom til et punkt, hvor de var så almindelige, at industrien reagerede ved at udvikle virusbeskyttelsesværktøjer. I dag ville ingen seriøs bruger i sit rette sind tænke på at køre en computer uden virusbeskyttelse. Selvom vi ikke hører meget af vira mere, er indtrængen - eller den uautoriserede adgang til dine data fra ondsindede brugere - en ny trussel. Da data ofte er en organisations vigtigste aktiv, er virksomhedsnetværk blevet målet for dårligt tilsigtede hackere, som vil gå meget langt for at få adgang til data. Ligesom virusbeskyttelsessoftware var svaret på spredning af vira, er Intrusion Prevention Systems svaret på indtrængende angreb.

Intrusionsforebyggelsessystemer gør i det væsentlige to ting. Først registrerer de indtrængende forsøg, og når de registrerer mistænkelige aktiviteter, bruger de forskellige metoder til at stoppe eller blokere det. Der er to forskellige måder, hvorpå indtrængen kan forsøges. Signaturbaseret detektion fungerer ved at analysere netværkstrafik og data og kigge efter specifikke mønstre, der er forbundet med indbrudsforsøg. Dette ligner traditionelle virusbeskyttelsessystemer, der er afhængige af virusdefinitioner. Signaturbaseret intrusionsdetektion er afhængig af intrusionssignaturer eller -mønstre. Den største ulempe ved denne detektionsmetode er, at den har brug for de korrekte underskrifter, der skal indlæses i softwaren. Og når en ny angrebsmetode er, er der normalt en forsinkelse, før angrebsunderskrifter opdateres. Nogle leverandører er meget hurtige med at levere opdaterede angrebsunderskrifter, mens andre er meget langsommere. Hvor ofte og hvor hurtigt underskrifter opdateres er en vigtig faktor, du skal overveje, når du vælger en leverandør.

Anomali-baseret detektion giver bedre beskyttelse mod angreb på nul dage, dem, der sker før detekteringsunderskrifter har haft en chance for at blive opdateret. Processen ser efter anomalier i stedet for at forsøge at genkende kendte indtrængende mønstre. For eksempel ville det blive udløst, hvis nogen forsøgte at få adgang til et system med en forkert adgangskode flere gange i træk, et almindeligt tegn på et brute force-angreb. Dette er bare et eksempel, og der er typisk hundreder af forskellige mistænkelige aktiviteter, der kan udløse disse systemer. Begge detektionsmetoder har fordele og ulemper. De bedste værktøjer er dem, der bruger en kombination af signatur og adfærdsanalyse til den bedste beskyttelse.

Detektering af indbrudsforsøg er den første del af at forhindre dem. Når det er registreret, arbejder intrusionsforebyggelsessystemer aktivt med at stoppe de fundne aktiviteter. Adskillige forskellige afhjælpende handlinger kan udføres af disse systemer. De kunne f.eks. Suspendere eller på anden måde deaktivere brugerkonti. En anden typisk handling er at blokere kildens IP-adresse til angrebet eller ændre firewallregler. Hvis ondsindet aktivitet kommer fra en bestemt proces, kan forebyggelsessystemet dræbe processen. At starte en vis beskyttelsesproces er en anden almindelig reaktion, og i værste tilfælde kan hele systemer lukkes ned for at begrænse potentiel skade. En anden vigtig opgave for Intrusion Prevention Systems er at advare administratorer, registrere begivenheden og rapportere mistænkelige aktiviteter.

Passive forebyggelse af indtrængen

Mens indbrudssikringssystemer kan beskytte dig mod adskillige typer angreb, slår intet gode, gammeldags passive forebyggelsesforanstaltninger. For eksempel er mandat til stærke adgangskoder en fremragende måde at beskytte mod mange indtrængen. En anden let beskyttelsesforanstaltning er at ændre standardadgangskoder til udstyr. Selvom det er mindre hyppigt i virksomhedsnetværk - selvom det ikke er uhørt - har jeg kun set for ofte internetportaler, der stadig havde deres standardadgangskode til admin. Mens der er tale om adgangskoder, er aldring af adgangskoder et andet konkret skridt, der kan indføres for at reducere indtrængenforsøg. Enhver adgangskode, også den bedste, kan til sidst blive knækket, givet nok tid. Ældre adgangskode sikrer, at adgangskoder ændres, før de er blevet brudt.

SolarWinds er et velkendt navn inden for netværksadministration. Det har et solidt ry for at fremstille nogle af de bedste netværks- og systemadministrationsværktøjer. Dets flagskibsprodukt, Network Performance Monitor konsekvent scorer blandt de tilgængelige overvågningsværktøjer til båndbredde til netværk. SolarWinds er også berømt for sine mange gratis værktøjer, der hver især imødekommer et specifikt behov hos netværksadministratorer. Det Kiwi Syslog Server eller den SolarWinds TFTP Server er to fremragende eksempler på disse gratis værktøjer.

Lad ikke det SolarWinds Log & Event Manager'S navn narre dig. Der er meget mere ved det end at møde øjet. Nogle af de avancerede funktioner i dette produkt kvalificerer det som et system til detektion og forebyggelse af indtrængen, mens andre sætter det i SIEM-området Security Information and Event Management. Værktøjet indeholder for eksempel realtidshændelseskorrelation og realtidsrensning.

• GRATIS PRØVEVERSION: SolarWinds Log & Event Manager
• Download link: https://www.solarwinds.com/log-event-manager-software/registration

Det SolarWinds Log & Event Manager kan prale af øjeblikkelig detektion af mistænkelig aktivitet (en funktionalitet til påvisning af indtrængen) og automatiserede svar (en funktion til at forhindre indtrængen). Dette værktøj kan også bruges til at udføre sikkerhedshændelsesundersøgelser og kriminalteknik. Det kan bruges til formildende og overholdelsesformål. Værktøjet har revisionsprøvet rapportering, som også kan bruges til at demonstrere overensstemmelse med forskellige lovgivningsmæssige rammer, såsom HIPAA, PCI-DSS og SOX. Værktøjet har også overvågning af filintegritet og USB-enhedsovervågning. Alle avancerede funktioner i softwaren gør det mere til en integreret sikkerhedsplatform end blot det log- og begivenhedsstyringssystem, som dens navn vil få dig til at tro.

Funktioner til forebyggelse af indtrængen på SolarWinds Log & Event Manager fungerer ved at implementere handlinger kaldet Active Responses, når trusler opdages. Forskellige svar kan knyttes til specifikke alarmer. F.eks. Kan systemet skrive til firewall-tabeller for at blokere netværksadgangen til en kilde-IP-adresse, der er identificeret som udførelse af mistænkelige aktiviteter. Værktøjet kan også suspendere brugerkonti, stoppe eller starte processer og lukke systemer. Du vil huske, hvordan det netop er de saneringshandlinger, vi identificerede før.

Styrker og svagheder

Ifølge Gartner er SolarWinds Log & Event Manager "Tilbyder en velintegreret løsning, der er særlig godt egnet til små og mellemstore virksomheder takket være dens enkle arkitektur, lette licensiering og robuste out-of-the-box indhold og funktioner". Værktøjet flere begivenhedskilder, og tilbyder en vis trusselindeslutning og karantænekontrolfunktion, som ikke ofte er tilgængelig fra konkurrerende produkter.

Imidlertid bemærker forskningsfirmaet også, at dette produkt er et lukket økosystem, hvilket gør det udfordrende at integreres med tredjeparts sikkerhedsløsninger såsom avanceret trusselsdetektion, trusselsinformation feeds og UEBA værktøjer. Som firmaet skrev: ”Integrationer med servicebordværktøjer er også begrænset til envejsforbindelse via e-mail og SNMP”.

Desuden understøttes overvågningen af ​​SaaS-miljøer ikke af produktet, og overvågningen af ​​IaaS er begrænset. Kunder, der ønsker at udvide deres overvågning til netværk og applikationer, skal købe andre SolarWinds-produkter.

• GRATIS PRØVEVERSION: SolarWinds Log & Event Manager
• Download link: https://www.solarwinds.com/log-event-manager-software/registration

Fordele og ulemper

Vi har samlet de mest betydningsfulde fordele og ulemper, som brugere af SolarWinds Log & Event Managers har rapporteret. Her er hvad de har at sige.

Fordele

• Produktet er utroligt let at installere. Det blev indsat og havde logkilder peget på det og udførte basale korrelationer inden for et døgn.
• De automatiserede svar, der er tilgængelige efter implementering af agenten, giver dig utrolig kontrol til at reagere på begivenheder på dit netværk.
• Værktøjets interface er brugervenlig. Nogle konkurrerende produkter kan være skræmmende at lære at bruge og blive akklimatiseret til, men SolarWinds Log & Event Manager har et intuitivt layout og er meget let at hente og bruge.

Ulemper

• Produktet har ingen brugerdefineret parser. Der vil uundgåeligt være et produkt på dit netværk, som The SolarWinds Log & Event Manager ved ikke, hvordan man skal parse. Nogle konkurrerende løsninger udnytter tilpassede parsere af denne grund. Dette produkt har ikke understøttelse til at oprette brugerdefinerede parsere, så ukendte logformater forbliver uparsede.
• Værktøjet kan undertiden være for grundlæggende. Det er et fremragende værktøj til at udføre basale korrelationer i et lille til mellemstort miljø. Hvis du imidlertid prøver at komme for avanceret med de korrelationer, du prøver at udføre, kan du blive frustreret over værktøjets manglende funktionalitet, som hovedsageligt skyldes den måde, den analyserer data.

Prisfastsættelse og licens

Prisfastsættelse for SolarWinds Log & Event Manager varierer baseret på antallet af overvågede noder. Priser starter på $ 4585 for op til 30 overvågede noder, og licenser for op til 2500 noder kan købes med flere licensniveauer imellem, hvilket gør produktet meget skalerbart. Hvis du vil tage produktet til en testkørsel og se selv, hvis det er rigtigt for dig, en gratis fuldt udstyret 30-dages prøveversion er tilgængelig.

splunk er muligvis et af de mest populære Intrusion Prevention Systems. Det fås i flere forskellige udgaver med forskellige funktionssæt. Splunk Enterprise Security-eller Splunk ES, som det ofte kaldes, er det, du har brug for for sand forebyggelse af indtrængen. Og det er det, vi ser på i dag. Softwaren overvåger dit systems data i realtid på udkig efter sårbarheder og tegn på unormal aktivitet. Selvom dets mål at forhindre indtrængen ligner SolarWinds', Den måde, det opnår, er anderledes.

Sikkerhedsrespons er en af ​​de splunk'S stærke dragter, og det er det, der gør det til et indbrudssikringssystem og et alternativ til SolarWinds produkt netop revideret. Den bruger det, som sælgeren kalder Adaptive Response Framework (ARF). Værktøjet integreres med udstyr fra mere end 55 sikkerhedsleverandører og kan udføre automatiseret respons, fremskynde manuelle opgaver og give en hurtigere reaktion. Kombinationen af ​​automatiseret sanering og manuel indgriben giver dig de bedste chancer for hurtigt at få overhånden. Værktøjet har en enkel og uklart brugergrænseflade, der skaber en vindende løsning. Andre interessante beskyttelsesfunktioner inkluderer “notabiliteter”-Funktion, der viser brugerdefinerede advarsler og“Asset Investigator”Til at markere ondsindede aktiviteter og forhindre yderligere problemer.

Styrker og svagheder

splunk'S store partnerøkosystem giver integration og splunk-specifikt indhold gennem Splunkbase app butik. Sælgers fulde pakke med løsninger gør det også nemt for brugerne at vokse ind i platformen over tid, og avancerede analysefunktioner er tilgængelige på forskellige måder i hele splunk økosystem.

På ulempen, splunk tilbyder ikke en enhedsversion af løsningen, og Gartner-klienter har rejst bekymring for licensmodellen og omkostningerne ved implementering - som svar, splunk har introduceret nye licensmetoder, herunder Enterprise Adoption Agreement (EAA).

Fordele og ulemper

Som vi gjorde med det forrige produkt, her er en liste over de vigtigste fordele og ulemper, som rapporteret af brugere af splunk.

Fordele

• Værktøjet samler logfiler meget godt fra næsten alle maskintyper - de fleste alternative produkter gør det ikke lige så godt.
• splunk giver visuals til brugeren, hvilket giver dem muligheden for at omdanne logfiler til visuelle elementer som cirkeldiagrammer, grafer, tabeller osv.
• Det er meget hurtigt i rapportering og alarmering om anomalier. Der er lidt forsinkelse.

Ulemper

• splunk'S søgesprog går meget dybt. Imidlertid involverer noget af den mere avancerede formatering eller statistiske analyser lidt af en indlæringskurve. splunk træning er tilgængelig til at lære søgesproget og manipulere dine data, men kan koste alt fra $ 500,00 til $ 1 500,00.
• Værktøjets dashboardfunktioner er temmelig anstændige, men for at gøre mere spændende visualiseringer kræves en smule udvikling ved hjælp af enkel XML, Javascript og CSS.
• Sælgeren frigiver mindre revisioner meget hurtigt, men på grund af det store antal fejl, vi har haft, har vi været nødt til at opgradere vores miljø fire gange på ni måneder.

Prisfastsættelse og licens

Splunk EnterprisePrisfastsættelse er baseret på hvor meget samlede data du sender til dem hver dag. Det starter ved $ 150 / måned på op til 1 GB dagligt indtagne data. Volumenrabatter er tilgængelige. Denne pris inkluderer ubegrænsede brugere, ubegrænsede søgninger, søgning i realtid, analyse og visualisering, overvågning og alarmering, standard support og mere. Du skal kontakte Splunk's salg for at få et detaljeret tilbud. Som de fleste produkter i den slags prisklasse, er en gratis prøveversion tilgængelig for dem, der gerne vil prøve produktet.

Hvad er der sagt om de to produkter?

Brugere af IT Central Station giver SolarWinds en 9 ud af 10 og splunk en 8 ud af 10. Gartner Peer Insights-brugere vender imidlertid ordren og giver splunk en 4,3 ud af 5 og SolarWinds en 4 ud af 5.

Jeffrey Robinette, systemingeniør hos Foxhole Technology, skrev det SolarWinds‘Out-of-the-box rapporter og dashboard er en nøglestyrke, og bemærker at“ Det giver os mulighed for hurtigt at overvåge adgang og trække cyberrapporter. Ikke mere at søge gennem logfiler på hver server. ”

Sammenlignet med splunk, Robinette sagde det SolarWinds kræver ikke meget tilpasning, og prisfastsættelsen er lavere, mens han skrev om splunk at “du har brug for en ph.d. om at tilpasse rapporterne. ”

For Raul Lapaz, senior IT-sikkerhedsoperationer kl Roche, mens splunk er ikke billig, dets brugervenlighed, skalerbarhed, stabilitet, søgemaskinens hastighed og kompatibilitet med en lang række datakilder gør det værd.

Lapaz påpegede imidlertid et par mangler, herunder for eksempel det faktum, at klyngestyring kun kan udføres via kommandolinjen, og at tilladelser ikke er meget fleksible. Han skrev: ”Det ville være dejligt at have flere granulære indstillinger, såsom dobbeltfaktorautentisering”.