SolarWinds Log & Event Manager vs. Splunk - vertaileva katsaus

Yksi tärkeimmistä - ellei kaikkein tärkeimmästä - monien nykypäivän organisaatioiden omaisuus on heidän tiedot. On niin tärkeää ja arvokasta, että monet epätoivoiset henkilöt tai organisaatiot menevät pitkälle varastaakseen tätä arvokasta tietoa. He tekevät niin, että käyttämällä laajaa joukko tekniikoita ja tekniikoita saadaan luvaton pääsy verkkoihin ja järjestelmiin. Tällaisten yritysten määrä näyttää kasvavan eksponentiaalisesti koko ajan. Tämän estämiseksi yritykset, jotka haluavat suojata tietoresursseja, käyttävät tunkeutumisen estäviä järjestelmiä tai IPS-järjestelmiä. SolarWinds Log & Event Manager yhtä hyvin kuin Splunkovat kaksi epätavanomaista tuotetta tällä areenalla. Tänään vertaamme näitä kahta.

Aloitamme tutkimuksemme tarkastelemalla tunkeutumisen estämistä yleensä. Se auttaa laatimaan taulukon tulevalle. Yritämme pitää sen niin ei-teknisenä kuin mahdollista. Ideamme ei ole tehdä sinusta tunkeutumisen ehkäisyn asiantuntijoita, vaan pikemminkin varmistaa, että olemme samalla sivulla tutkiessamme edelleen molempia tuotteita. Tuotteiden tutkimisesta puhutaan seuraavasta. Kuvailemme ensin SolarWinds Log & Event Manager -sovelluksen pääominaisuudet. Seuraavaksi katsomme tuotteen vahvuuksia ja heikkouksia ja sen etuja ja haittoja, kuten foorumin käyttäjät ovat ilmoittaneet, ja päätämme tuotekatsauksemme tarkastelemalla sen hinnoittelua ja lisensointia rakenne. Tämän jälkeen tarkastelemme Splunkia käyttämällä identtistä muotoa, jossa on tuotteiden ominaisuudet, vahvuudet ja heikkoudet, edut ja haitat sekä hinnoittelurakenne. Lopuksi päädymme siihen, mitä käyttäjien on sanottava kahdesta tuotteesta.

Tunkeutumisen estäminen - mistä tässä on kyse?

Vuosia sitten virukset olivat melko paljon järjestelmänvalvojien ainoita huolenaiheita. Virukset pääsivät pisteeseen, jossa ne olivat niin yleisiä, että teollisuus reagoi kehittämällä virustorjuntavälineitä. Nykyään kukaan oikeassa mielessä oleva vakava käyttäjä ei ajattele tietokoneen käyttämistä ilman virussuojausta. Vaikka emme enää kuule paljon viruksia, tunkeutuminen - tai pahantahtoisten käyttäjien luvaton pääsy tietoihisi - on uusi uhka. Tietojen ollessa usein organisaation tärkein voimavara, yritysverkoista on tullut pahalla tarkoituksella toimivien hakkereiden kohde, jotka menevät pitkälle saadakseen tietoja käyttöön. Aivan kuten virussuojaohjelmistot olivat vastaus virusten leviämiseen, Intrusion Prevention Systems on vastaus tunkeilijahyökkäyksiin.

Tunkeutumisen estävät järjestelmät tekevät olennaisesti kaksi asiaa. Ensinnäkin, he havaitsevat tunkeutumisyritykset ja havaitseessaan epäilyttävät toimet käyttävät erilaisia ​​menetelmiä estääkseen tai estääkseen sen. Tunkeutumisyritykset voidaan havaita kahdella eri tavalla. Allekirjoituspohjainen tunnistus toimii analysoimalla verkkoliikennettä ja dataa sekä etsimällä tunkeutumisyrityksiin liittyviä erityisiä malleja. Tämä on samanlainen kuin perinteiset virussuojausjärjestelmät, jotka tukeutuvat virusmääritelmiin. Allekirjoituspohjainen tunkeutumisen havaitseminen riippuu tunkeutumissignaareista tai kuvioista. Tämän ilmaisumenetelmän päähaittapuoli on, että se tarvitsee oikeat allekirjoitukset ladattavaksi ohjelmistoon. Ja kun uusi hyökkäysmenetelmä, hyökkäysten allekirjoitusten päivitys tapahtuu yleensä viiveellä. Jotkut toimittajat toimittavat erittäin nopeasti päivitetyt hyökkäys allekirjoitukset, kun taas toiset ovat paljon hitaampia. Kuinka usein ja kuinka nopeasti allekirjoituksia päivitetään, on tärkeä huomioitava tekijä valittaessa myyjää.

Väärinkäytöksiin perustuva havaitseminen tarjoaa paremman suojan nollapäivän hyökkäyksiltä, ​​sellaisilta, jotka tapahtuvat ennen havaitsemisen allekirjoituksia, on ollut mahdollisuus päivittää. Prosessi etsii poikkeavuuksia sen sijaan, että yritetään tunnistaa tunnetut tunkeutumismallit. Esimerkiksi se laukaistaan, jos joku yrittää käyttää järjestelmää väärin salasanalla useita kertoja peräkkäin, mikä on yleinen merkki raa'asta voimasta. Tämä on vain esimerkki ja on yleensä satoja erilaisia ​​epäilyttäviä toimia, jotka voivat laukaista nämä järjestelmät. Molemmilla havaitsemismenetelmillä on etuja ja haittoja. Parhaita työkaluja ovat ne, jotka käyttävät allekirjoituksen ja käyttäytymisanalyysin yhdistelmää parhaan suojan saavuttamiseksi.

Tunkeutumisyrityksen havaitseminen on yksi ensimmäinen osa niiden estämisessä. Löytymisen jälkeen tunkeutumisen estävät järjestelmät toimivat aktiivisesti pysäyttääkseen havaitut toiminnot. Nämä järjestelmät voivat toteuttaa useita erilaisia ​​korjaavia toimia. Ne voivat esimerkiksi keskeyttää tai deaktivoida käyttäjätilit. Toinen tyypillinen toimenpide on hyökkäyksen lähde-IP-osoitteen estäminen tai palomuurisääntöjen muuttaminen. Jos haitalliset toimet johtuvat tietystä prosessista, ehkäisyjärjestelmä voi tappaa prosessin. Suojausprosessin käynnistäminen on toinen yleinen reaktio, ja pahimmissa tapauksissa kokonaiset järjestelmät voidaan sammuttaa mahdollisten vaurioiden rajoittamiseksi. Toinen tunkeutumisen estävien järjestelmien tärkeä tehtävä on hälyttää järjestelmänvalvojia, tallentaa tapahtuma ja ilmoittaa epäilyttävistä toimista.

Passiivisen tunkeutumisen estävät toimenpiteet

Vaikka tunkeutumisen estävät järjestelmät voivat suojata sinua lukuisilta hyökkäyksiltä, ​​mikään ei ole hyvää, vanhanaikaista passiivista tunkeutumisen estämistä. Esimerkiksi vahvojen salasanojen antaminen on erinomainen tapa suojautua monilta tunkeilmilta. Toinen helppo suojatoimenpide on laitteen oletussalasanojen vaihtaminen. Vaikka yritysverkoissa se on harvempaa - vaikka se ei olekaan ennenkuulumatonta -, olen nähnyt vain liian usein Internet-yhdyskäytäviä, joilla oli edelleen oletusarvoinen järjestelmänvalvojan salasana. Salasanoissa vanhentaminen on toinen konkreettinen vaihe, joka voidaan ottaa käyttöön tunkeutumisyritysten vähentämiseksi. Mikä tahansa salasana, jopa paras, voidaan lopulta murtaa, jos siihen annetaan tarpeeksi aikaa. Salasanan vanhentaminen varmistaa, että salasanat vaihdetaan ennen niiden murskaamista.

SolarWinds on tunnettu nimi verkonhallinnassa. Sillä on vankka maine tekeessään joitain parhaista verkko- ja järjestelmänhallintatyökaluista. Sen lippulaiva, Verkon suorituskyvyn näyttö tulokset jatkuvasti parhaiden käytettävissä olevien verkon kaistanleveyden seurannan työkalujen joukossa. SolarWinds on kuuluisa myös monista ilmaisista työkaluista, joista jokainen vastaa verkonvalvojien erityistarpeisiin. Kiwi Syslog -palvelin tai SolarWinds TFTP Server ovat kaksi erinomaista esimerkkiä näistä ilmaisista työkaluista.

Älä anna SolarWinds Log & Event ManagerNimi huijaa sinua. Siihen kuuluu paljon enemmän kuin silmälle. Jotkut tämän tuotteen edistyneistä ominaisuuksista määrittelevät sen tunkeutumisen havaitsemis- ja estämisjärjestelmäksi, kun taas toiset sisällyttävät sen turvallisuustietojen ja tapahtumien hallintaan (SIEM). Työkalu sisältää esimerkiksi reaaliaikaisen tapahtuman korreloinnin ja reaaliaikaisen korjauksen.

• ILMAINEN KOKEILU: SolarWinds Log & Event Manager
• Lataa linkki: https://www.solarwinds.com/log-event-manager-software/registration

SolarWinds Log & Event Manager ylpeilee epäilyttävän toiminnan (tunkeutumisen havaitsemistoiminto) hetkellisellä havainnoinnilla ja automatisoiduilla vastauksilla (tunkeutumisen estäminen). Tätä työkalua voidaan käyttää myös tietoturvatapahtumien tutkimiseen ja oikeuslääketieteeseen. Sitä voidaan käyttää lieventämiseen ja noudattamiseen. Työkalussa on auditoitu-todistettu raportointi, jota voidaan käyttää myös osoittamaan noudattaminen erilaisissa sääntelykehyksissä, kuten HIPAA, PCI-DSS ja SOX. Työkalussa on myös tiedostojen eheyden valvonta ja USB-laitteen valvonta. Ohjelmiston kaikki edistyneet ominaisuudet tekevät siitä enemmän integroidun tietoturvaympäristön kuin pelkkä loki- ja tapahtumienhallintajärjestelmä, jonka nimi saa sinut uskomaan.

Sisätautien estämisen ominaisuudet SolarWinds Log & Event Manager toimii toteuttamalla aktiivisten vastausten toimia, kun uhat havaitaan. Erilaiset vastaukset voidaan linkittää tiettyihin hälytyksiin. Esimerkiksi järjestelmä voi kirjoittaa palomuuritaulukoihin estääkseen lähde-IP-osoitteen verkkoyhteyden, jonka on todettu suorittavan epäilyttäviä toimintoja. Työkalu voi myös keskeyttää käyttäjätilit, pysäyttää tai käynnistää prosessit ja sammuttaa järjestelmät. Muistat, kuinka nämä ovat juuri aiemmin havaitsemiamme korjaustoimenpiteitä.

Vahvuudet ja heikkoudet

Gartnerin mukaan SolarWinds Lokien ja tapahtumien hallinta "Tarjoaa hyvin integroidun ratkaisun, joka sopii erityisen hyvin pienille ja keskisuurille yrityksille yksinkertaisen arkkitehtuurin, helpon lisensoinnin ja vankan, sisällön ja ominaisuuksien ansiosta". Työkalu useita tapahtumalähteitä, ja se tarjoaa joitain uhkien hillitsemisen ja karanteenin hallintatoimintoja, joita ei yleensä ole saatavana kilpailevista tuotteista.

Tutkimusyritys toteaa kuitenkin myös, että tämä tuote on suljettu ekosysteemi, mikä tekee siitä haastavan integroitu kolmansien osapuolien tietoturvaratkaisuihin, kuten edistyksellinen uhkien havaitseminen, uhkien tiedustesyötteet ja UEBA työkaluja. Kuten yritys kirjoitti: ”Integrointi palvelupistetyökalujen kanssa rajoittuu myös yksisuuntaisiin yhteyksiin sähköpostin ja SNMP: n kautta”.

Lisäksi tuote ei tue SaaS-ympäristöjen seurantaa ja IaaS: n seuranta on rajoitettua. Asiakkaiden, jotka haluavat laajentaa seurantaa verkkoihin ja sovelluksiin, on ostettava muita SolarWinds-tuotteita.

• ILMAINEN KOKEILU: SolarWinds Log & Event Manager
• Lataa linkki: https://www.solarwinds.com/log-event-manager-software/registration

Hyvät ja huonot puolet

Olemme koonnut merkittävimmät edut ja haitat, jotka SolarWinds-loki- ja tapahtumavastaavien käyttäjät ovat ilmoittaneet. Tässä heillä on mitä sanoa.

Plussat

• Tuote on uskomattoman helppo asentaa. Se otettiin käyttöön, ja lokilähteet osoittivat sen, ja se suoritti peruskorrelaatiot päivän sisällä.
• Agentin käyttöönoton jälkeen käytettävissä olevat automatisoidut vastaukset antavat sinulle uskomattoman hallinnan reagoidaksesi verkon tapahtumiin.
• Työkalun käyttöliittymä on käyttäjäystävällinen. Jotkut kilpailevat tuotteet voivat olla pelottavia oppia käyttämään ja totuttelemaan, mutta SolarWinds Log & Event Manager on intuitiivinen asettelu ja on erittäin helppo noutaa ja käyttää.

Haittoja

• Tuotteella ei ole mukautettua jäsentäjää. Verkostossasi on väistämättä tuote, jonka The SolarWinds Log & Event Manager ei osaa jäsentää. Jotkut kilpailevat ratkaisut hyödyntävät mukautettuja jäsentäjiä tästä syystä. Tällä tuotteella ei ole tukea mukautettujen jäsentäjien luomiseen, joten tuntemattomat lokimuodot pysyvät paikoillaan.
• Työkalu voi joskus olla liian yksinkertainen. Se on erinomainen työkalu peruskorrelaatioiden suorittamiseen pienessä tai keskikokoisessa ympäristössä. Jos yrität kuitenkin mennä liian pitkälle korrelaatioiden kanssa, joita yrität tehdä, saatat turhautua työkalun puutteellisesta toiminnasta, joka johtuu pääasiassa tavasta, jolla se jäsentelee tietoja.

Hinnoittelu ja lisensointi

SolarWinds Log & Event Manager -sovelluksen hinnoittelu vaihtelee valvottujen solmujen määrän mukaan. Hinnat alkavat 4585 dollarista jopa 30 valvotulle solmulle, ja jopa 2500 solmun lisenssejä voi ostaa useiden lisensointiasteiden välillä, mikä tekee tuotteesta erittäin skaalautuvan. Jos haluat viedä tuotteen koeajoon ja katso itse, jos se sopii sinulle, ilmainen monipuolinen 30 päivän kokeiluversio on saatavana.

Splunk on mahdollisesti yksi suosituimmista tunkeutumisen estämisjärjestelmistä. Sitä on saatavana useissa eri versioissa, joissa urheillaan erilaisia ​​ominaisuusjoukkoja. Splunk-yritysturvallisuus-tai Splunk ES, kuten sitä usein kutsutaan, - tarvitset todellista tunkeutumisen estämistä. Ja tätä me tarkastelemme tänään. Ohjelmisto tarkkailee järjestelmän tietoja reaaliajassa etsimällä haavoittuvuuksia ja merkkejä epänormaalista toiminnasta. Vaikka sen tavoite estää tunkeutumiset ovat samanlaisia ​​kuin SolarWinds', Tapa, jolla se saavutetaan, on erilainen.

Turvallisuuteen liittyvä vastaus on yksi SplunkVahvat puvut ja juuri se tekee siitä tunkeutumisen estävän järjestelmän ja vaihtoehdon SolarWinds tuote juuri tarkistettu. Se käyttää sitä, mitä myyjä kutsuu Mukautuva vastauskehys (ARF). Työkalu integroituu yli 55 tietoturvatoimittajan laitteisiin ja voi suorittaa automaattisen vastauksen, nopeuttaa manuaalisia tehtäviä ja antaa nopeamman reaktion. Automatisoidun korjauksen ja manuaalisen toimenpiteen yhdistelmä antaa parhaat mahdollisuudet nopeasti saavuttaa omaisuus. Työkalulla on yksinkertainen ja häiriöttömä käyttöliittymä, joka tarjoaa voittavan ratkaisun. Muita mielenkiintoisia suojausominaisuuksia ovatnotables”-Toiminto, joka näyttää käyttäjän muokattavat hälytykset ja“Omaisuuden tutkija”Haitallisten toimien merkitsemiseksi ja uusien ongelmien estämiseksi.

Vahvuudet ja heikkoudet

SplunkSuuren kumppanin ekosysteemi tarjoaa integraation ja Splunk-spesifinen sisältö Splunkbase sovelluskauppa. Toimittajan täydellinen ratkaisukokonaisuus myös helpottaa käyttäjien kasvamista alustaksi ajan myötä, ja edistyneet analysointitoiminnot ovat saatavana monin tavoin koko Splunk ekosysteemin.

Haittapuoli, Splunk ei tarjoa ratkaisua laiteversioon, ja Gartner-asiakkaat ovat ilmaisseet huolensa lisenssimallista ja toteutuksen kustannuksista - vastauksena siihen, Splunk on ottanut käyttöön uusia lisenssimenetelmiä, mukaan lukien yrityssopimussopimus (EAA).

Hyvät ja huonot puolet

Kuten teimme edellisen tuotteen kanssa, tässä on luettelo tärkeimmistä eduista ja haitoista, joista käyttäjän käyttäjät ovat ilmoittaneet Splunk.

Plussat

• Työkalu kerää tukit erittäin hyvin melkein kaikista konetyypeistä - useimmat vaihtoehtoiset tuotteet eivät tee sitä aivan samoin.
• Splunk tarjoaa käyttäjille visuaalisia kuvia, jotka antavat käyttäjälle mahdollisuuden muuntaa lokit visuaalisiksi elementeiksi, kuten ympyräkaaviot, kuvaajat, taulukot jne.
• Se on erittäin nopea raportoimaan ja hälyttämään poikkeavuuksista. Viiveellä on vähän.

Haittoja

• SplunkHakukieli menee erittäin syvälle. Joidenkin edistyneempien muotoilujen tai tilastollisten analyysien tekeminen sisältää kuitenkin hieman oppimiskäyrää. Splunk Koulutus on käytettävissä hakukielen oppimiseen ja tietojen käsittelyyn, mutta se voi maksaa 500–1 500,00 dollaria.
• Työkalun kojetaulun ominaisuudet ovat melko kunnolliset, mutta jännittävien visualisointien tekeminen vaatii vähän kehitystä yksinkertaisten XML-, Javascript- ja CSS-sovellusten avulla.
• Myyjä julkaisee pienet muutokset nopeasti, mutta joutuneiden virheiden lukumäärän vuoksi meidän on pitänyt päivittää ympäristöämme neljä kertaa yhdeksän kuukauden aikana.

Hinnoittelu ja lisensointi

Splunk EnterpriseHinnoittelu perustuu siihen, kuinka paljon kokonaistietoja lähetät sille päivittäin. Se alkaa 150 dollaria kuukaudessa, jopa 1 Gt päivittäistä tietoa. Määräalennuksia on saatavana. Hintaan sisältyy rajoittamaton määrä käyttäjiä, rajoittamaton haku, reaaliaikainen haku, analysointi ja visualisointi, seuranta ja hälytys, vakiotuki ja paljon muuta. Sinun on otettava yhteyttä Splunkin myyntiin saadaksesi yksityiskohtaisen tarjouksen. Kuten useimmat sellaisen hintaluokan tuotteet, ilmainen kokeiluversio on saatavana niille, jotka haluavat kokeilla tuotetta.

Mitä sanottiin kahdesta tuotteesta?

IT-keskusaseman käyttäjät antavat SolarWinds 9 kymmenestä ja Splunk 8 kymmenestä. Gartner Peer Insights -käyttäjät kuitenkin kääntävät tilauksen ja antavat Splunk 4,3 viidestä ja SolarWinds 4 viidestä.

Jeffrey Robinette, Foxhole Technologyn järjestelmäinsinööri, kirjoitti sen SolarWinds”Valmiit raportit ja kojetaulu ovat avainasemassa, panemalla merkille, että” sen avulla voimme seurata pääsyä ja vetää verkkoraportteja nopeasti. Ei enää hakua lokien kautta kullakin palvelimella. "

Verrattuna Splunk, Robinette sanoi sen SolarWinds ei vaadi paljon mukautuksia ja sen hinnoittelu on alhaisempi, kun hän kirjoitti Splunk että ”tarvitset tohtorin raporttien mukauttamisesta. ”

Raul Lapazille, vanhempi tietoturvaoperaatio Roche, sillä aikaa Splunk ei ole halpaa, sen helppokäyttöisyys, skaalautuvuus, vakaus, hakukoneen nopeus ja yhteensopivuus monenlaisten tietolähteiden kanssa tekevät siitä arvoisen.

Lapaz kuitenkin huomautti muutamista puutteista, kuten esimerkiksi siitä, että klusterin hallinta voidaan suorittaa vain komentorivillä ja että käyttöoikeudet eivät ole kovin joustavia. Hän kirjoitti: ”Olisi hienoa saada yksityiskohtaisempia vaihtoehtoja, kuten kaksinkertainen tekijätodennus”.