SolarWinds Log & Event Manager vs Splunk - uporedni pregled

Njihovi su podaci jedno od najvažnijih - ako ne i najvažnije - bogatstva današnjih organizacija. Toliko je važno i dragocjeno da će mnogi zli namjeri pojedinci ili organizacije u velikoj mjeri pokušati ukrasti dragocjene podatke. To čine tako da pomoću širokog spektra tehnika i tehnologija dobivaju neovlašteni pristup mrežama i sustavima. Čini se da se broj takvih pokušaja neprestano povećava. Da bi se to spriječilo, poduzeća koja žele zaštititi svoju imovinu podataka implementiraju sustave pod nazivom Sustavi za zaštitu od provale ili IPS. SolarWinds Log & Event Manager kao i Splunkdva su nekonvencionalna proizvoda u toj areni. Danas uspoređujemo to dvoje.

Počet ćemo istraživanje istraživanjem općenito protiv sprečavanja provale. To će vam pomoći postaviti tablicu za ono što dolazi. Pokušat ćemo ga održati što je moguće više netehnički. Naša ideja nije stvoriti stručnjake za sprječavanje upada, već osigurati da se svi nalazimo na istoj stranici dok dodatno istražujemo oba proizvoda. Govorimo o istraživanju proizvoda, ovo je sljedeće. Prvo ćemo opisati glavne značajke programa SolarWinds upravitelja dnevnika i događaja, a slijedi ćemo pregledati snage i slabosti proizvoda i njegove prednosti i nedostatke, kako su naveli korisnici platforme, a svoj pregled proizvoda zaključit ćemo pregledom cijena i licenciranja. struktura. Zatim ćemo pregledati Splunk koristeći identičan format s karakteristikama proizvoda, njegovim prednostima i slabostima, njegovim prednostima i nedostacima i strukturom cijena. Na kraju, zaključit ćemo što korisnici moraju reći o ova dva proizvoda.

Sprječavanje upada - o čemu se radi?

Prije mnogo godina, virusi su bili prilično briga samo za administratore sustava. Virusi su stigli do točke u kojoj su bili toliko uobičajeni da je industrija reagirala razvijanjem alata za zaštitu od virusa. Danas nijedan ozbiljan korisnik s pravim umom ne bi pomislio pokrenuti računalo bez zaštite od virusa. Premda više ne čujemo puno virusa, uljez - ili neovlašteni pristup vašim podacima od strane zlonamjernih korisnika - nova je prijetnja. Budući da su podaci često najvažnije sredstvo organizacije, korporativne mreže postale su meta zlonamjernih hakera koji će u velikoj mjeri doći do podataka. Kao što je softver za zaštitu od virusa bio odgovor na širenje virusa, Intrusion Prevention Systems odgovor je na napade napada.

Sustavi za sprječavanje provale zapravo rade dvije stvari. Prvo otkrivaju pokušaje upada, a kad otkriju sumnjive aktivnosti, koriste različite metode da ga zaustave ili blokiraju. Postoje dva različita načina na koje se mogu otkriti pokušaji upada. Otkrivanje na temelju potpisa funkcionira analizom mrežnog prometa i podataka i traženjem određenih obrazaca povezanih s pokušajima provale. To je slično tradicionalnim sustavima za zaštitu od virusa koji se oslanjaju na definicije virusa. Otkrivanje upada na temelju potpisa oslanja se na potpise ili obrasce upada. Glavni nedostatak ove metode otkrivanja je taj da joj je potreban odgovarajući potpis da bi se učitao u softver. A kada je nova metoda napada, obično dolazi do kašnjenja prije nego što se napadi potpisa ažuriraju. Neki dobavljači vrlo brzo pružaju ažurirane potpise napada, dok su drugi puno sporiji. Koliko često i koliko brzo se ažuriraju potpisi važan je čimbenik koji treba uzeti u obzir pri odabiru dobavljača.

Otkrivanje temeljeno na anomaliji pruža bolju zaštitu od napada nula dana, onih koji se događaju prije otkrivanja potpisa imali su priliku biti ažurirani. Proces traži anomalije umjesto pokušaja prepoznavanja poznatih obrazaca prodora. Primjerice, aktiviralo bi se ako netko pokuša nekoliko puta zaredom pristupiti sustavu s pogrešnom zaporkom, što je uobičajeni znak napada grube sile. Ovo je samo primjer i obično postoje stotine različitih sumnjivih aktivnosti koje mogu pokrenuti ove sustave. Obje metode otkrivanja imaju prednosti i nedostatke. Najbolji su alati oni koji za najbolju zaštitu koriste kombinaciju potpisa i analize ponašanja.

Otkrivanje pokušaja provale prvi je dio sprječavanja istih. Jednom otkriveni, sustavi za sprečavanje provale djeluju aktivno na zaustavljanju otkrivenih aktivnosti. Ovi sustavi mogu poduzeti nekoliko različitih korektivnih radnji. Na primjer, mogu obustaviti ili na drugi način deaktivirati korisničke račune. Druga tipična akcija je blokiranje izvorne IP adrese napada ili izmjena pravila vatrozida. Ako zlonamjerna aktivnost proizlazi iz određenog postupka, sustav prevencije mogao bi ubiti postupak. Pokretanje nekog postupka zaštite još je jedna uobičajena reakcija, a u najgorim slučajevima mogu se zatvoriti čitavi sustavi radi ograničavanja potencijalne štete. Drugi važan zadatak sustava za sprečavanje provale je upozoravanje administratora, snimanje događaja i prijavljivanje sumnjivih aktivnosti.

Pasivne mjere sprječavanja upada

Iako sustavi za sprečavanje provale mogu vas zaštititi od brojnih vrsta napada, ništa ne može biti dobro, staromodne mjere pasivne prevencije provale. Primjerice, izricanje jakih lozinki izvrstan je način zaštite od mnogih provala. Druga jednostavna mjera zaštite je promjena zadanih lozinki za opremu. Iako je rjeđi u korporativnim mrežama - iako to nije nečuveno - samo sam prečesto vidio internetske prolaze koji su i dalje imali zadanu administratorsku lozinku. Dok se radi o lozinki, starenje lozinke je još jedan konkretan korak koji se može poduzeti za smanjenje pokušaja provale. Svaka lozinka, pa i najbolja, na kraju se može provaliti s obzirom na dovoljno vremena. Starenje lozinke osigurava promjenu lozinki prije nego što se kreiraju.

SolarWinds dobro je poznato ime u mrežnoj administraciji. Uživa u solidnoj reputaciji za izradu nekih od najboljih alata za administraciju mreže i sustava. Njegov vodeći proizvod, the Monitor performansi mreže kontinuirano bilježi najbolje raspoložive alate za praćenje propusnosti mreže. SolarWinds je također poznat po brojnim besplatnim alatima, koji se obraćaju specifičnim potrebama mrežnih administratora. Kivi Syslog poslužitelj ili SolarWinds TFTP Server dva su izvrsna primjera ovih besplatnih alata.

Ne dopusti SolarWinds Log & Event ManagerPrevara ti ime. Postoji mnogo više od toga što susreće oko. Neke napredne značajke ovog proizvoda klasificiraju ga kao sustav otkrivanja i sprečavanja provale, dok ga drugi stavljaju u raspon sigurnosnih podataka i upravljanja događajima (SIEM). Na primjer, alat sadrži korelaciju događaja u stvarnom vremenu i sanaciju u stvarnom vremenu.

• BESPLATNO ISPITIVANJE: SolarWinds Log & Event Manager
• Poveznica za skidanje: https://www.solarwinds.com/log-event-manager-software/registration

SolarWinds Log & Event Manager ima trenutno otkrivanje sumnjivih aktivnosti (funkcionalnost otkrivanja provale) i automatizirane reakcije (funkcionalnost sprečavanja provale). Ovaj se alat također može koristiti za provođenje istraga sigurnosnih događaja i forenzike. Može se koristiti u svrhu ublažavanja i poštivanja propisa. Alat sadrži izvještavanje dokazano revizijom, koje se također može koristiti za dokazivanje usklađenosti s različitim regulatornim okvirima kao što su HIPAA, PCI-DSS i SOX. Alat također ima nadzor nad integritetom datoteka i nadzor USB uređaja. Sve napredne značajke softvera čine ga više integriranom sigurnosnom platformom nego samo sustavom za upravljanje dnevnicima i događajima u što bi vas njegovo ime moglo poverovati.

Značajke sprječavanja provale prema SolarWinds Log & Event Manager djeluje provođenjem akcija koje se nazivaju Aktivni odgovori kad god se otkriju prijetnje. Različiti odgovori mogu se povezati s određenim upozorenjima. Na primjer, sustav može pisati u tablice vatrozida kako bi blokirao mrežni pristup izvornoj IP adresi koja je identificirana kao obavljanje sumnjivih aktivnosti. Alat također može obustaviti korisničke račune, zaustaviti ili pokrenuti procese i zatvoriti sustave. Sjetit ćete se kako su to točno postupci sanacije koje smo prethodno identificirali.

Prednosti i mane

Prema Gartneru, tajnik SolarWinds Log & Event Manager "Nudi dobro integrirano rješenje koje je posebno dobro za male i srednje tvrtke, zahvaljujući jednostavnoj arhitekturi, jednostavnom licenciranju i robusnom sadržaju i značajkama izvan okvira". Alat ima više izvora događaja i nudi određenu kontrolu prijetnji i funkciju kontrole karantene koja obično nije dostupna od konkurentskih proizvoda.

Međutim, istraživačka tvrtka također primjećuje da je ovaj proizvod zatvoreni ekosustav, što ga čini izazovnim integriraju se sa sigurnosnim rješenjima treće strane poput naprednog otkrivanja prijetnji, feedova obavještajnih podataka i UEBA alati. Kako je tvrtka napisala: "Integracije s alatima servisnog stola također su ograničene na jednosmjernu povezanost putem e-pošte i SNMP".

Nadalje, proizvod ne podržava SaaS okruženje i nadzor IaaS je ograničen. Kupci koji žele proširiti svoje nadgledanje na mreže i aplikacije moraju kupiti druge proizvode SolarWinds.

• BESPLATNO ISPITIVANJE: SolarWinds Log & Event Manager
• Poveznica za skidanje: https://www.solarwinds.com/log-event-manager-software/registration

Za i protiv

Sastavili smo najznačajnije prednosti i nedostatke koje su izvijestili korisnici SolarWinds upravitelja dnevnika i događaja. Evo što imaju za reći.

prozodija

• Proizvod se nevjerojatno jednostavno postavlja. Bio je raspoređen i na njega su upućeni izvori dnevnika i obavljao je osnovne korelacije u roku jednog dana.
• Automatski odgovori koji su dostupni nakon raspoređivanja agenta pružaju vam nevjerojatnu kontrolu reakcija na događaje na vašoj mreži.
• Sučelje alata je jednostavno za korisnika. Neki konkurentski proizvodi mogu biti zastrašujući kada bi naučili kako se koristiti i naviknuti na njih, ali SolarWinds Log & Event Manager ima intuitivan izgled i lako ga je odabrati i koristiti.

kontra

• Proizvod nema prilagođeni analizator. Neizbježno će se na vašoj mreži pojaviti proizvod koji The SolarWinds Log & Event Manager neće znati raščlaniti Iz tog razloga neka konkurentna rješenja utječu na prilagođene analizatore. Ovaj proizvod nema podršku za izradu prilagođenih rastavljača, pa nepoznati formati dnevnika ostaju nerazvrstani.
• Alat ponekad može biti previše osnovni. Odlično je sredstvo za izvođenje osnovnih korelacija u okruženju malih i srednjih veličina. Međutim, ako se pokušate previše napredovati s korelacijama koje pokušavate izvesti, možete se frustrirati zbog nedostatka funkcionalnosti alata, što je uglavnom zbog načina na koji analizira podatke.

Cijene i licenciranje

Cijene za SolarWinds Log & Event Manager razlikuju se ovisno o broju nadziranih čvorova. Cijene počinju od 4.585 USD za do 30 nadziranih čvorova, a licence za do 2500 čvorova mogu se kupiti s nekoliko razina licenciranja između, što proizvod čini vrlo skalabilnim. Ako želite uzeti proizvod za probni rad i uvjerite se da li je to za vas, na raspolaganju je besplatno 30-dnevno besplatno probno razdoblje.

Splunk je vjerojatno jedan od najpopularnijih sustava za sprečavanje provale. Dostupan je u nekoliko različitih izdanja u kojima se nalaze različite setove značajki. Splunk Enterprise Security-ili Splunk ES, kako se često naziva - ono što vam je potrebno za istinsku prevenciju provale. To je ono što danas gledamo. Softver prati podatke vašeg sustava u stvarnom vremenu, tražeći ranjivosti i znakove nenormalne aktivnosti. Iako je njegov cilj sprečavanja upada sličan SolarWinds", Način na koji to postiže je drugačiji.

Sigurnosni odgovor jedan je od SplunkJaka odijela i upravo je to ono što čini sustav za sprečavanje provale i alternativu SolarWinds proizvod upravo pregledan. Koristi ono što dobavljač naziva Okvir za prilagodljivi odgovor (ARF). Alat se integrira s opremom više od 55 dobavljača sigurnosti i može izvoditi automatizirani odgovor, ubrzavajući ručne zadatke i pružajući bržu reakciju. Kombinacija automatizirane sanacije i ručne intervencije daje vam najbolje šanse za brzo osvajanje prednosti. Alat ima jednostavno i nesputano korisničko sučelje, čineći pobjedničko rješenje. Ostale zanimljive značajke zaštite uključuju "ugledne ličnosti"Funkcija koja prikazuje upozorenja koja se mogu prilagoditi korisniku i"Ispitivač imovine"Za označavanje zlonamjernih aktivnosti i sprečavanje daljnjih problema.

Prednosti i mane

SplunkEkosustav velikog partnera nudi integraciju i Splunk-specifični sadržaj putem Splunkbase Trgovina aplikacijama. Puni paket rješenja dobavljača omogućuje korisnicima da vremenom prerastu u platformu, a napredne analitičke mogućnosti dostupne su na različite načine širom Splunk ekosustava.

S donje strane, Splunk ne nudi verziju rješenja za uređaje, a Gartner-ovi klijenti postavili su zabrinutost zbog modela licenciranja i troškova provedbe - kao odgovor, Splunk uveo je nove pristupe za licenciranje, uključujući Ugovor o usvajanju poduzeća (EAA).

Za i protiv

Kao što smo to radili s prethodnim proizvodom, i ovdje je popis najvažnijih prednosti i nedostataka o kojima izvještavaju korisnici Splunk.

prozodija

• Alat prikuplja zapisnike gotovo sa svih vrsta strojeva - većina alternativnih proizvoda to ne čini baš dobro.
• Splunk korisniku pruža vizualne podatke, omogućavajući im da transformišu zapisnike u vizualne elemente, poput pitanih grafikona, grafikona, tablica, itd.
• Vrlo se brzo prijavljuje i upozorava na anomalije. Malo je kašnjenja.

kontra

• SplunkJezik pretraživanja ide vrlo duboko. Međutim, obavljanje nekih naprednijih oblika oblikovanja ili statističkih analiza uključuje malo krivulje učenja. Splunk trening je dostupan za učenje jezika pretraživanja i manipuliranje podacima, ali može koštati od 500,00 do 1 500,00 USD.
• Mogućnosti nadzorne ploče alata su prilično pristojne, ali za stvaranje uzbudljivijih vizualizacija potrebno je malo razvoja koristeći jednostavne XML, Javascript i CSS.
• Prodavač pušta manje izmjene vrlo brzo, ali zbog velikog broja pogrešaka u koje smo naišli, morali smo poboljšati svoje okruženje četiri puta u devet mjeseci.

Cijene i licenciranje

Splunk EnterpriseCijena se temelji na ukupnom broju podataka koji mu svakodnevno šaljete. Započinje od 150 USD mjesečno do 1 GB dnevno progutanih podataka. Količinski popusti su dostupni. Ova cijena uključuje neograničene korisnike, neograničeno pretraživanje, pretraživanje u stvarnom vremenu, analizu i vizualizaciju, nadzor i uzbunjivanje, standardnu ​​podršku i još mnogo toga. Morate se obratiti Splunkovim prodavačima da biste dobili detaljnu ponudu. Kao i većina proizvoda u takvom cjenovnom rasponu, dostupna je i besplatna probna verzija za one koji žele isprobati proizvod.

Što je rečeno o ova dva proizvoda?

Korisnici informatičke središnje stanice daju SolarWinds a 9 od 10 i Splunk 8 od 10. Međutim, korisnici Gartner Peer Insights obrću redoslijed, dajući prednost Splunk a 4.3 od 5 i SolarWinds a 4 od 5.

Jeffrey Robinette, sistemski inženjer iz Foxhole Technology, napisao je to SolarWinds'Izvještaji i nadzorna ploča izvan okvira su ključna snaga, uz napomenu da' omogućava nam brzo praćenje pristupa i brzo izvlačenje cyber izvješća. Nema više pretraživanja kroz zapisnike na svakom poslužitelju. "

U usporedbi sa Splunk, Robinette je to rekla SolarWinds ne zahtijeva mnogo prilagođavanja i njegova cijena je niža, dok je o tome pisao Splunk da „trebate doktorat. o prilagođavanju izvještaja. "

Za Raula Lapaza, starijeg operatora informatičke sigurnosti u Roche, dok Splunk nije jeftino, zbog njegove jednostavne uporabe, skalabilnosti, stabilnosti, brzine tražilice i kompatibilnosti s velikim brojem izvora podataka to vrijedi.

Lapaz je, međutim, ukazao na nekoliko nedostataka, uključujući, na primjer, činjenicu da se upravljanje klasterima može obavljati samo pomoću komandne linije, a da dozvole nisu baš fleksibilne. Napisao je: "Bilo bi lijepo imati detaljnije opcije, poput dvostruke faktorske provjere".