6 najboljih sigurnosnih podataka i alata za upravljanje događajima (SIEM) koje vrijedi provjeriti u 2020. godini

Tamo je džungla! Zlonamjerni pojedinci su svuda i oni tragaju za vama. Pa, vjerojatno ne vi osobno, već više vaši podaci. Nismo više samo od virusa od kojih moramo zaštititi, već od svih vrsta napada koji mogu dovesti do vaše mreže - i vaše organizacije - u teškoj situaciji. Zbog širenja različitih sustava zaštite poput antivirusa, vatrozida i otkrivanja provale sustavi, mrežni administratori sad su preplavljeni informacijama koje moraju povezati, pokušavajući to imati smisla od toga. Tu nam dolaze korisni sustavi sigurnosnih informacija i upravljanja događajima (SIEM). Oni se bave većinom groznog posla bavljenja previše informacija. Da biste olakšali posao odabira SIEM-a, predstavljamo vam najbolje sigurnosne alate za upravljanje informacijama i događajima (SIEM).

Danas započinjemo s analizom raspravljajući o suvremenom prizoru prijetnji. Kao što smo rekli, to više nisu samo virusi. Potom ćemo pokušati bolje objasniti što je točno SIEM i razgovarati o različitim komponentama koje čine SIEM sustav. Neki od njih mogu biti važniji od drugih, ali njihov relativni značaj može biti različit za različite ljude. I na kraju, predstavit ćemo naš izbor šest najboljih sigurnosnih alata za upravljanje informacijama i događajima i ukratko ih pregledati.

Moderna scena prijetnje

Računalna sigurnost odnosila se samo na zaštitu od virusa. Ali posljednjih godina otkriveno je nekoliko različitih vrsta napada. Oni mogu biti u obliku napada uskraćivanja usluge (krađe usluge), krađe podataka i mnogih drugih. I više ne dolaze samo izvana. Mnogi napadi potječu iz mreže. Dakle, za vrhunsku zaštitu izumljeni su različiti tipovi sustava zaštite. Pored tradicionalnog antivirusnog i vatrozida, imamo, primjerice, sustave za otkrivanje provale i gubitka podataka (IDS i DLP).

Naravno, što više dodajete sustave, to ćete više upravljati njima. Svaki sustav nadzire neke specifične parametre za nepravilnosti te će ih zabilježiti i / ili pokrenuti upozorenja kada ih se otkrije. Ne bi li bilo lijepo kada bi nadzor svih ovih sustava mogao biti automatiziran? Nadalje, neke vrste napada mogu se otkriti u više sustava dok prolaze kroz različite faze. Ne bi li bilo puno bolje da biste mogli reagirati na sve povezane događaje kao jedan? Pa, upravo je to SIEM.

Što je točno SIEM?

Ime sve govori. Sigurnosne informacije i upravljanje događajima je proces upravljanja sigurnosnim informacijama i događajima. Konkretno, sustav SIEM ne pruža nikakvu zaštitu. Njegova osnovna svrha je olakšati život mrežnim i sigurnosnim administratorima. Ono što tipično SIEM sustav doista radi je prikupljanje podataka iz različitih zaštita i otkrivanja sustavima, povezati sve te informacije okupljanju povezanih događaja i reagirati na smislene događaje u razne načine. Sustavi SIEM često uključuju i neki oblik izvješćivanja i nadzorne ploče.

Bitne komponente sustava SIEM

Upravo ćemo detaljnije istražiti svaku glavnu komponentu SIEM sustava. Ne uključuju svi SIEM-ovi sustavi sve te komponente i, čak i kad to čine, mogli bi imati različite funkcionalnosti. Međutim, to su najosnovnije komponente koje bi se u ovom ili onom obliku obično našle u bilo kojem SIEM sustavu.

Prikupljanje i upravljanje zapisnicima

Prikupljanje i upravljanje zapisnicima glavna je komponenta svih SIEM sustava. Bez njega nema SIEM-a. SIEM sustav mora prikupljati podatke dnevnika iz različitih izvora. Može ga povući ili ga različiti sustavi za otkrivanje i zaštitu mogu dovesti do SIEM-a. Budući da svaki sustav ima svoj način kategoriziranja i bilježenja podataka, na SIEM-u je da normalizira podatke i učini ih ujednačenima, bez obzira na izvor.

Nakon normalizacije, zabilježeni podaci često će se uspoređivati ​​s poznatim obrascima napada u pokušaju prepoznavanja zlonamjernog ponašanja što je prije moguće. Podaci će se također često uspoređivati ​​s ranije prikupljenim podacima kako bi se pomoglo izgraditi osnovnu liniju koja će dodatno poboljšati otkrivanje nenormalnih aktivnosti.

Odgovor događaja

Jednom kada se događaj otkrije, o njemu se mora nešto učiniti. O tome se radi u modulu odgovora na događaje za SIEM sustav. Reakcija događaja može biti u različitim oblicima. U svojoj najosnovnijoj implementaciji generirat će se poruka upozorenja na konzoli sustava. Često se mogu generirati i e-mail ili SMS upozorenja.

Ali najbolji SIEM sustavi idu korak dalje i često će pokrenuti neki postupak sanacije. Opet, to je nešto što može poprimiti mnoge oblike. Najbolji sustavi imaju cjelovit sustav radnog odziva na incident koji se može prilagoditi tako da pruži točno željeni odgovor. I kao što se može očekivati, reakcija na incident ne mora biti jednolika i različiti događaji mogu pokrenuti različite procese. Najbolji sustavi pružit će vam potpunu kontrolu nad tijekom rada na reakciju na incident.

Izvještavanje

Jednom kad uspostavite prikupljanje i upravljanje zapisnicima i sustave odziva, sljedeći građevni blok koji je potreban je izvješćivanje. To možda još ne znate, ali trebat će vam izvještaji. Vrhovni menadžment će im trebati da sami vide da se njihovo ulaganje u sustav SIEM isplati. Možda će vam trebati i izvješća u svrhu sukladnosti. U skladu sa standardima kao što su PCI DSS, HIPAA ili SOX može se olakšati kada vaš SIEM sustav može generirati izvješća o sukladnosti.

Izvješća možda nisu u srcu SIEM-ovog sustava, no ipak, to je jedna bitna komponenta. Često je izvješćivanje glavni faktor razlikovanja između konkurentskih sustava. Izvještaji su poput bombona, nikad ih ne možete imati previše. I naravno, najbolji će vam sustavi omogućiti da kreirate prilagođena izvješća.

Nadzorna ploča

Posljednje, ali ne najmanje bitno, nadzorna ploča bit će vaš prozor u status vašeg SIEM sustava. A čak može biti i više nadzornih ploča. Budući da različiti ljudi imaju različite prioritete i interese, savršena nadzorna ploča mrežnog administratora bit će drugačija od one sigurnosnog administratora. A izvršni direktor će trebati i potpuno drugačiji.

Iako ne možemo procijeniti SIEM sustav prema broju nadzornih ploča, morate odabrati onaj koji sadrži sve potrebne nadzorne ploče. Ovo je definitivno nešto što biste željeli imati na umu dok ocjenjujete dobavljače. I baš kao i s izvješćima, najbolji sustavi će vam omogućiti da napravite prilagođene nadzorne ploče po vašoj želji.

Naših top 6 SIEM alata

Postoji puno SIEM sustava vani. Zapravo previše, da bismo ih mogli pregledati ovdje. Dakle, pretražili smo tržište, usporedili sustave i napravili popis onoga što smo našli kao šest najboljih sigurnosnih alata za informacije i upravljanje (SIEM). Njih ćemo popisati prema redoslijedu, a mi ćemo ih ukratko pregledati. No unatoč njihovoj narudžbi, svih šest su izvrsni sustavi koje vam možemo samo preporučiti da isprobate sami.

Evo što je najboljih 6 SIEM alata

1. SolarWinds Log & Event Manager
2. Splunk Enterprise Security
3. RSA NetWitness
4. ArcSight Enterprise Security Manager
5. Menadžer za sigurnost tvrtke McAfee
6. IBM QRadar SIEM

SolarWinds je uobičajeno ime u svijetu praćenja mreže. Njihov vodeći proizvod mrežni monitor performansi jedan je od najboljih dostupnih alata za praćenje SNMP-a. Tvrtka je također poznata po brojnim besplatnim alatima kao što su njihov podmrežni kalkulator ili njihov SFTP poslužitelj.

Alat SIEM tvrtke SolarWinds, Upravitelj dnevnika i događaja (LEM) najbolje je opisan kao ulazni sustav SIEM. Ali to je možda jedan od najkonkurentnijih ulaznih sustava na tržištu. SolarWinds LEM ima sve što možete očekivati ​​od SIEM sustava. Ima izvrsne mogućnosti upravljanja i korelacije te impresivan motor izvještavanja.

Što se tiče značajki reagiranja na alatu, oni ne ostavljaju ništa najbolje. Detaljan sustav reagiranja u stvarnom vremenu aktivno će reagirati na svaku prijetnju. A budući da se temelji na ponašanju, a ne na potpisu, zaštićeni ste od nepoznatih ili budućih prijetnji.

No, nadzorna ploča alata je možda njezino najbolje sredstvo. Jednostavnim dizajnom brzo ćete prepoznati anomalije. Počevši od oko 4 500 USD, alat je više nego pristupačan. A ako želite prvo isprobati, besplatno potpuno funkcionalno probno razdoblje od 30 dana verzija je dostupna za preuzimanje.

2. Splunk Enterprise Security

Možda jedan od najpopularnijih sustava SIEM-a, Splunk Enterprise Security- Ili Splunk ES, kako se često naziva - posebno je poznat po svojim analitičkim mogućnostima. Splunk ES nadgleda podatke vašeg sustava u stvarnom vremenu, tražeći ranjivosti i znakove nenormalne aktivnosti.

Sigurnosni odgovor je još jedno od jakih odijela Splunk ES-a. Sustav koristi ono što Splunk naziva Adaptive Response Framework (ARF) koji integrira s opremom više od 55 proizvođača sigurnosti. ARF izvodi automatizirani odgovor, ubrzavajući ručne zadatke. Tako ćete brzo steći prednost. Dodajte tom jednostavnom i nespretnom korisničkom sučelju i imate dobitno rješenje. Ostale zanimljive značajke uključuju značajku Notables koja prikazuje upozorenja koja se mogu prilagoditi korisniku i Ispitivač imovine za označavanje zlonamjernih aktivnosti i sprečavanje daljnjih problema.

Splunk ES je uistinu korporativni proizvod i dolazi s cijenom veličine poduzeća. Informacije o cijenama ne možete dobiti ni sa Splunkove web stranice. Za cijenu morate kontaktirati odjel prodaje. Unatoč cijeni, ovo je sjajan proizvod i možda biste htjeli kontaktirati Splunk i iskoristiti besplatno probno razdoblje.

3. RSA NetWitness

Od 2001. godine, NetWitness se fokusirao na proizvode koji podržavaju „duboku, svjesnu situaciju u stvarnom vremenu i brzi mrežni odgovor“. Nakon što ih je EMC preuzeo i koji se tada spojio s Dell-om, posao Newitnessa sada je dio podružnice RSA-e. A to je dobra vijest da je RSA poznato ime u sigurnosti.

RSA NetWitness idealan je za organizacije koje traže cjelovito rješenje mrežne analize. Alat sadrži podatke o vašoj tvrtki što pomaže u postavljanju prioriteta upozorenja. Prema RSA-u, sustav "prikuplja podatke na više točaka hvatanja, računalnim platformama i izvorima obavještajnih podataka od drugih SIEM rješenja". Postoji i napredno otkrivanje prijetnji koje kombinira analizu ponašanja, tehnike nauke podataka i inteligenciju prijetnji. I na kraju, napredni sustav odgovora ima mogućnosti orkestracije i automatizacije kako bi se riješili iskorjenjivanja prijetnji prije nego što utječu na vaše poslovanje.

Jedan od glavnih nedostataka RSA NetWitness je taj što ga nije najlakše koristiti i konfigurirati. No dostupna je opsežna dokumentacija koja vam može pomoći pri postavljanju i korištenju proizvoda. Ovo je još jedan proizvod korporativnog stupnja i za informacije o cijenama morat ćete se obratiti prodaji.

4. ArcSight Enterprise Security Manager

ArcSight Enterprise Security Manager pomaže identificirati i prioritetno razraditi sigurnosne prijetnje, organizirati i pratiti aktivnosti reagiranja na incident, te pojednostaviti aktivnosti revizije i usklađenosti Ranije se prodavala pod oznakom HP, a sada se spojila s Micro Focusom, još jednom HP-ovom podružnicom.

Poslije više od petnaest godina, ArcSight je još jedan od izuzetno popularnih alata SIEM. Prikuplja podatke dnevnika iz različitih izvora i provodi opsežnu analizu podataka, tražeći znakove zlonamjerne aktivnosti. Da biste olakšali brzo prepoznavanje prijetnji, možete pregledati rezultate analize real0tme.

Slijedi pregled glavnih značajki proizvoda. Ima moćnu raspodjelu podataka u stvarnom vremenu, automatizaciju tijekova rada, sigurnosnu orkestraciju i sigurnosni sadržaj vođen zajednicom. Enterprise Security Manager integrira se i s drugim ArcSight proizvodima kao što je ArcSight platforma podataka i Event Broker ili ArcSight Investigate. Ovo je još jedan proizvod korporativnog kvaliteta - poput gotovo svih kvalitetnih alata SIEM - za koji ćete trebati kontaktirati prodajni tim ArcSight-a da biste dobili informacije o cijenama.

5. Menadžer za sigurnost tvrtke McAfee

McAfee je sigurno još jedno ime kućanstva u sigurnosnoj industriji. Međutim, poznatiji je po svojim proizvodima za zaštitu od virusa. Enterprise Security Manager nije samo softver. To je zapravo aparat. Možete ga dobiti u virtualnom ili fizičkom obliku.

McAfee Enterprise Security Manager, s obzirom na svoje analitičke mogućnosti, smatra se jednim od najboljih SIEM-ovih alata. Sustav prikuplja zapisnike na širokom rasponu uređaja. Što se tiče njegovih mogućnosti normalizacije, ona je također vrhunska. Korelacijski mehanizam lako sastavlja različite izvore podataka, što olakšava otkrivanje sigurnosnih događaja koji se događaju

Istina, za McAfee rješenje postoji više nego samo njegov Enterprise Security Manager. Da biste dobili cjelovito SIEM rješenje također vam trebaju Enterprise Log Manager i prijamnik događaja. Srećom, svi proizvodi se mogu pakirati u jedan aparat. Za one od vas koji će možda htjeti isprobati proizvod prije nego što ga kupite, dostupna je besplatna proba.

6. IBM QRadar

IBM, možda najpoznatije ime u IT industriji, uspio je uspostaviti svoje rješenje SIEM, IBM QRadar jedan je od najboljih proizvoda na tržištu. Alat omogućuje analitičarima sigurnosti da otkriju anomalije, otkriju napredne prijetnje i uklone lažne pozitivne podatke u stvarnom vremenu.

IBM QRadar može se pohvaliti paketom dnevnika, značajkama prikupljanja podataka, analizom i otkrivanjem provale. Zajedno pomažu u održavanju i radu mrežne infrastrukture. Postoji i analitika za modeliranje rizika koja može simulirati potencijalne napade.

Neke od ključnih značajki QRadara uključuju mogućnost implementacije rješenja u lokalnom okruženju ili u oblaku. To je modularno rješenje i može se brzo i jeftino dodati više prostora za pohranu procesora. Sustav koristi obavještajnu stručnost IBM X-Force i integrira se sa stotinama IBM-ovih i ne-IBM proizvoda.

Budući da je IBM IBM, možete očekivati ​​da ćete platiti premijsku cijenu za njihovo rješenje SIEM. Ali ako vam treba jedan od najboljih SIEM alata na tržištu, QRadar bi možda mogao biti vrijedan ulaganja.

U zaključku

Jedini problem koji riskirate prilikom kupovine najboljeg sigurnosnog alata i praćenja događaja (SIEM) je obilje odličnih opcija. Upravo smo predstavili najboljih šest. Svi su oni odlični izbori. Ona koju odaberete uvelike će ovisiti o vašim potrebama, proračunu i vremenu koje ste spremni uložiti u njegovo postavljanje. Jao, početna konfiguracija uvijek je najteži dio i ovdje stvari mogu poći po zlu ako SIEM alat nije pravilno konfiguriran, neće moći pravilno raditi svoj posao.

Tekst 50 - 2300