6 legjobb biztonsági információ és eseménykezelő (SIEM) eszköz, amelyeket érdemes megnézni 2020-ban

Ez egy dzsungel odakint! Rossz szándékú személyek mindenhol vannak, és utána vannak. Nos, valószínűleg nem Ön személyesen, hanem az adatai. Nemcsak a vírusokat kell védenünk, hanem mindenféle támadás ellen, amelyek szörnyű helyzetben hagyhatják a hálózatot - és a szervezetet -. Különböző védelmi rendszerek, például antivírusok, tűzfalak és behatolás-észlelési rendszerek elterjedése miatt rendszerek, a hálózati rendszergazdák most olyan információkkal vannak elárasztva, amelyeket korrelálniuk kell, próbálva érteni belőle. Itt hasznosak a biztonsági információs és eseménykezelő (SIEM) rendszerek. Nagyon sok félelmetes munka, mert túl sok információt kezelnek. A SIEM kiválasztásának megkönnyítése érdekében bemutatjuk Önnek a legjobb biztonsági információs és eseménykezelő (SIEM) eszközöket.

Ma elemzésünket a modern fenyegetés jelenetének megvitatásával kezdjük. Mint mondtuk, már nemcsak a vírusok. Ezután megpróbáljuk jobban megmagyarázni, mi az a SIEM pontosan, és megbeszéljük azokat a különféle összetevőket, amelyek egy SIEM rendszert alkotnak. Némelyikük fontosabb lehet, mint mások, ám relatív fontosságuk eltérő lehet az egyes embereknél. És végül bemutatjuk a hat legjobb biztonsági információs és eseménykezelő (SIEM) eszköz kiválasztását, és röviden áttekintjük azokat.

A modern veszélyhelyzet

A számítógépes biztonság csak a vírusvédelemről szólott. Az utóbbi években azonban számos különféle támadást fedeztek fel. Ezek a szolgáltatás megtagadásának (DoS) támadások, adatlopások és még sok más formájában jelentkezhetnek. És már nem csak kívülről érkeznek. Sok támadás a hálózaton belül származik. Tehát a végső védelem érdekében különféle típusú védelmi rendszereket fedeztek fel. A hagyományos antivírusok és tűzfalak mellett már rendelkeznek például behatolás-felderítő és adatvesztés-megelőző rendszerekkel (IDS és DLP).

Természetesen, minél több rendszert ad hozzá, annál több munkát végez azok kezelése. Minden rendszer figyeli a rendellenességek bizonyos paramétereit, és naplózza azokat és / vagy riasztásokat vált ki, amikor felfedezik őket. Nem lenne jó, ha ezeknek a rendszereknek a felügyelete automatizálható lenne? Ezenkívül bizonyos típusú támadásokat több rendszer is észlelhet, mivel azok különböző szakaszokban haladnak keresztül. Nem lenne sokkal jobb, ha azután az összes kapcsolódó eseményre egyként reagál? Nos, pontosan erről szól a SIEM.

Mi az a SIEM, pontosan?

A név mindent elmond. A biztonsági információk és az események kezelése a biztonsági információk és események kezelésének folyamata. Konkrétan: a SIEM rendszer nem nyújt védelmet. Elsődleges célja a hálózati és biztonsági adminisztrátorok életének megkönnyítése. Ami a tipikus SIEM rendszert illeti, az információgyűjtés a különféle védelem és felderítés során rendszereket, összekapcsolja az összes ilyen információt, összeállítva a kapcsolódó eseményeket, és reagál az értelmes eseményekre a különböző módokon. A SIEM rendszerek gyakran tartalmaznak valamilyen jelentéstételi és irányítópultot is.

Az SIEM rendszer alapvető alkotóelemei

Arra készülünk, hogy mélyebben részletesebben megismerjük a SIEM rendszer minden fő elemét. Nem minden SIEM rendszer tartalmazza ezeket a komponenseket, és még akkor is, ha megteszik, eltérő funkciókkal rendelkezhetnek. Ezek azonban a legalapvetőbb alkotóelemek, amelyeket általában bármely formában megtalálnak bármelyik SIEM rendszerben.

Napló gyűjtése és kezelése

A naplógyűjtés és -kezelés az összes SIEM rendszer fő alkotóeleme. Enélkül nincs SIEM. A SIEM rendszernek naplóadatokat kell gyűjtenie számos különböző forrásból. Vagy meghúzhatja, vagy különféle érzékelő és védelmi rendszerek tolhatják el a SIEM-hez. Mivel minden rendszernek saját módja van az adatok kategorizálásának és rögzítésének, az SIEM feladata az adatok normalizálása és egységesítése, függetlenül attól, hogy melyik forrásuk van.

A normalizálás után a naplózott adatokat gyakran összehasonlítják az ismert támadási mintákkal annak érdekében, hogy a lehető legkorábban felismerjék a rosszindulatú viselkedést. Az adatokat gyakran összehasonlítják a korábban összegyűjtött adatokkal is, hogy elősegítsék az alapvonal létrehozását, amely tovább javítja a rendellenes aktivitás észlelését.

Esemény válasz

Miután észleltek egy eseményt, meg kell tenni valamit. Erről szól a SIEM rendszer esemény-válaszmodulja. Az eseményre adott válasz különféle formákat ölthet. A legalapvetőbb megvalósításban riasztási üzenet jön létre a rendszer konzolján. Gyakran e-mail vagy SMS figyelmeztetés is generálható.

A legjobb SIEM rendszerek azonban egy lépéssel tovább mennek, és gyakran kezdenek valamilyen javítási folyamatot. Ez ismét valami formája lehet. A legjobb rendszereknek van egy teljes eseménykezelő munkafolyamat-rendszere, amely testreszabható úgy, hogy pontosan a kívánt választ adja. És amint az elvárható, az eseményekre adott válasznak nem kell egységesnek lennie, és a különböző események különböző folyamatokat válthatnak ki. A legjobb rendszerek teljes ellenőrzést adnak az eseményekre való reagálás munkafolyamata felett.

Jelentés

Miután a naplógyűjtés és -kezelés, valamint a válaszrendszerek a helyén vannak, a következő építőelemet kell jelentenie. Lehet, hogy nem ismeri még, de szüksége lesz jelentésekre. A felső vezetésnek szüksége lesz rájuk, hogy meggyőződjenek arról, hogy a SIEM-rendszerbe történő befektetésük megtérül. Előfordulhat, hogy jelentésekre is szükség van megfelelőség céljából. A PCI DSS, HIPAA vagy SOX szabványoknak való megfelelés megkönnyíthető, ha az SIEM rendszere megfelelőségi jelentéseket készít.

Lehet, hogy a jelentések nem képezik a SIEM rendszer lényegét, ám ennek ellenére ez az egyik alapvető elem. És gyakran a jelentéstétel lesz a megkülönböztető tényező a versengő rendszerek között. A jelentések olyan, mint cukorkák, soha nem lehet túl sok. És természetesen a legjobb rendszerek lehetővé teszik egyedi jelentések készítését.

Irányítópult (ok)

Végül, de nem utolsósorban, a műszerfal lesz az ablaka a SIEM rendszer állapotának. És akár több műszerfal is lehet. Mivel a különböző emberek prioritásai és érdekei eltérőek, a hálózati rendszergazda tökéletes irányítópultja különbözik a biztonsági rendszergazdaé. És egy végrehajtó végrehajtónak szintén teljesen másra lesz szüksége.

Noha a SIEM rendszert nem tudjuk értékelni a rendelkezésére álló műszerfalak száma alapján, ki kell választania egy olyan rendszert, amely rendelkezik az összes szükséges műszerfallal. Ez minden bizonnyal érdemes szem előtt tartani, amikor a szállítókat értékeli. Ugyanúgy, mint a jelentéseknél, a legjobb rendszerek lehetővé teszik testreszabott műszerfalak készítését az ön igényei szerint.

A 6 legfontosabb SIEM eszköz

Sok SIEM rendszer létezik odakint. Tulajdonképpen túlságosan sok ahhoz, hogy itt mindet felül tudjuk tekinteni. Tehát átkutattuk a piacot, összehasonlítottuk a rendszereket, és összeállítottuk a listát azokról, amelyeket a hat legjobb biztonsági információs és kezelő (SIEM) eszköznek találtunk. Felsoroljuk őket preferencia sorrendben, és röviden áttekintjük mindegyiket. Rendelésük ellenére mind a hat kiváló rendszer, amelyet csak azt ajánlhatunk, hogy próbálja ki magát.

Íme a 6 legfontosabb SIEM eszköz

1. SolarWinds Napló- és eseménykezelő
2. Splunk vállalati biztonság
3. RSA NetWitness
4. ArcSight Enterprise biztonsági menedzser
5. McAfee Enterprise biztonsági menedzser
6. IBM QRadar SIEM

A SolarWinds egy általános név a hálózatfigyelő világban. Kiemelkedő termékük, a Network Performance Monitor az elérhető legjobb SNMP-megfigyelő eszköz. A cég ismert számos olyan ingyenes eszközéről, mint például az alhálózati kalkulátor vagy az SFTP szerver.

A SolarWinds SIEM eszköz, a Napló- és eseménykezelő (LEM) a legjobb, mint egy belépő szintű SIEM rendszer. De ez valószínűleg a piacon az egyik legversenyképesebb belépő szintű rendszer. A SolarWinds LEM mindent tartalmaz, amire számíthat egy SIEM rendszertől. Kiváló hosszú kezelési és korrelációs tulajdonságokkal rendelkezik, és lenyűgöző jelentési motorral rendelkezik.

Ami az eszköz eseményekre reagáló funkcióit illeti, nem hagynak semmi kívánnivalót. A részletes valós idejű reagálási rendszer aktívan reagál minden veszélyre. És mivel inkább viselkedésen, mint aláíráson alapszik, védelmet élvez az ismeretlen vagy jövőbeli fenyegetésekkel szemben.

De valószínűleg a legfontosabb eszköz az eszköz műszerfal. Egy egyszerű kialakításnak köszönhetően nincs probléma gyorsan azonosítani a rendellenességeket. Körülbelül 4 500 dollártól kezdve az eszköz több mint megfizethető. És ha először ki akarja próbálni, egy ingyenes, teljesen működőképes 30 napos próbaverzió A verzió letölthető.

2. Splunk vállalati biztonság

Lehetséges, hogy az egyik legnépszerűbb SIEM rendszer, Splunk vállalati biztonság- vagy a Splunk ES, mint gyakran nevezik, - különösen híres elemző képességeiről. A Splunk ES valós időben figyeli a rendszer adatait, keresve a sebezhetőségeket és a rendellenes tevékenység jeleit.

A biztonsági válasz egyike a Splunk ES erős öltözeteinek. A rendszer azt használja, amit a Splunk az Adaptive Response Framework (ARF) nevez, amely több mint 55 biztonsági szolgáltatótól integrálódik. Az ARF automatikus válaszokat hajt végre, gyorsítva a kézi feladatokat. Ez lehetővé teszi, hogy gyorsan megszerezze a kezét. Ehhez adjon hozzá egy egyszerű és tiszta felhasználói felületet, és van nyerő megoldása. További érdekes funkciók közé tartozik a Notables funkció, amely a felhasználó által testreszabható figyelmeztetéseket jeleníti meg, valamint az Asset Investigator a rosszindulatú tevékenységek megjelölésére és a további problémák megelőzésére.

A Splunk ES valóban vállalati szintű termék, és egy vállalkozás méretű árat tartalmaz. Még az Splunk webhelyéről sem kaphat árinformációkat. Az ár megszerzéséhez vegye fel a kapcsolatot az értékesítési részleggel. Ára ellenére ez egy nagyszerű termék, ezért érdemes felvenni a kapcsolatot a Splunk-nal, és kihasználhatja az ingyenes próbaverzió előnyeit.

3. RSA NetWitness

2001 óta6 a NetWitness olyan termékekre összpontosított, amelyek „mély, valós idejű hálózati helyzeti tudatosságot és agilis hálózati válaszokat” támogatnak. Miután megszerezte az EMC-t, amely azután összeolvadt a Dell-lel, a Newitness üzlet most része a vállalat RSA fiókjának. És ez jó hír Az RSA híres név a biztonságban.

RSA NetWitness ideális azoknak a szervezeteknek, amelyek teljes hálózati elemzési megoldást keresnek. Az eszköz információkat tartalmaz a vállalkozásáról, amely elősegíti a riasztások rangsorolását. Az RSA szerint a rendszer „több adatgyűjtési ponton, számítógépes platformon és fenyegetés intelligencia forrásán gyűjt adatokat, mint más SIEM megoldások”. Van fejlett fenyegetés-felderítés, amely egyesíti a viselkedés elemzését, az adattudomány technikáit és a fenyegetés intelligenciáját. És végül: a fejlett válaszrendszer orkestrációs és automatizálási képességekkel büszkélkedhet, amelyek segítenek megszabadulni a fenyegetések kiküszöböléséről, még mielőtt azok befolyásolják az üzleti vállalkozást.

Az RSA NetWitness egyik fő hátránya, hogy a használata és konfigurálása nem a legegyszerűbb. Van azonban átfogó dokumentáció, amely segíthet a termék beállításában és használatában. Ez egy másik vállalati szintű termék, és árazási információk beszerzéséhez kapcsolatba kell lépnie az értékesítéssel.

4. ArcSight Enterprise biztonsági menedzser

ArcSight Enterprise biztonsági menedzser elősegíti a biztonsági fenyegetések azonosítását és fontossági sorrendbe állítását, az eseményekre való reagálás tevékenységeinek megszervezését és nyomon követését, valamint az ellenőrzési és megfelelőségi tevékenységek egyszerűsítését. Korábban a HP márkanév alatt értékesítették, és most összeolvadt a Micro Focus-szal, egy másik HP leányvállalattal.

Az ArcSight több mint tizenöt éve működik, és egy rendkívül népszerű SIEM eszköz. Összegyűjti a különféle forrásokból származó naplóadatokat, és kiterjedt adatelemzést végez, a rosszindulatú tevékenységek jeleit keresve. A veszélyek gyors azonosításának megkönnyítése érdekében megtekintheti a real0tme elemzési eredményeket.

Itt található a termékek főbb jellemzői. Hatékony, elosztott valós idejű adatkorrelációval, munkafolyamat-automatizálással, biztonsági rendezéssel és közösségvezérelt biztonsági tartalommal rendelkezik. Az Enterprise Security Manager integrálódik más ArcSight termékekkel is, mint például az ArcSight Data Platform és az Event Broker vagy az ArcSight Investigate. Ez egy másik vállalati szintű termék - hasonlóan szinte minden minőségi SIEM eszközhöz -, amely megköveteli, hogy vegye fel a kapcsolatot az ArcSight értékesítési csapatával az árazási információk megszerzése érdekében.

5. McAfee Enterprise biztonsági menedzser

A McAfee minden bizonnyal egy másik háztartási név a biztonsági iparban. A vírusvédelmi termékeiről azonban jobban ismert. Az Vállalati biztonsági menedzser nem csak szoftver. Valójában készülék. Virtuális vagy fizikai formában is beszerezheti.

Analitikai képességeit tekintve a McAfee Enterprise Security Manager sokan az egyik legjobb SIEM eszköznek tekintik. A rendszer naplókat gyűjt sokféle eszközön. Ami a normalizálási képességeket illeti, ez szintén kiváló. A korrelációs motor könnyen összegyűjti az eltérő adatforrásokat, megkönnyítve a biztonsági események észlelését, amikor azok bekövetkeznek

Az igazság az, hogy a McAfee megoldás nem csupán az Enterprise Security Manager. A teljes SIEM megoldás eléréséhez az Enterprise Log Managerre és az eseményfogadóra is szükség van. Szerencsére az összes termék egyetlen készülékbe csomagolható. Azoknak, akik a termék megvásárlása előtt kipróbálhatják, ingyenes próbaverzió áll rendelkezésre.

6. IBM QRadar

Az IBM, az IT-ipar talán legismertebb neve sikerült létrehoznia SIEM megoldását, IBM QRadar az egyik legjobb termék a piacon. Az eszköz felhatalmazza a biztonsági elemzőket a rendellenességek észlelésére, a fejlett fenyegetések feltárására és a hamis pozitív eredmények valós időben történő eltávolítására.

Az IBM QRadar naplókezelési, adatgyűjtési, elemzési és behatolás-észlelési szolgáltatásokkal rendelkezik. Együtt segítik a hálózati infrastruktúra működőképességét. Van olyan kockázatmodellezési elemzés is, amely szimulálja a lehetséges támadásokat.

A QRadar néhány kulcsfontosságú funkciója magában foglalja a megoldás telepítését a helyszínen vagy egy felhő környezetben. Ez egy moduláris megoldás, amely gyorsan és olcsón hozzáadhat további tárolóeszközöket a feldolgozási teljesítményhez. A rendszer az IBM X-Force intelligencia-szakértelmét használja, és zökkenőmentesen integrálódik több száz IBM és nem IBM termékkel.

Ha az IBM az IBM, akkor számíthat arra, hogy prémium árat fizet a SIEM megoldásért. De ha szüksége van a piacon lévő egyik legjobb SIEM eszközre, akkor a QRadar valóban megéri a befektetést.

Összefoglalva

A legjobb biztonsági információ és eseményfigyelő (SIEM) eszköz vásárlásakor az egyetlen olyan probléma, amely a kiváló lehetőségek gazdagságán rejlik. Most bemutattuk a legjobb hatot. Mindegyik kiváló választás. A választott döntően függ a pontos igényeitől, a költségvetéstől és az időtól, amelyet hajlandó feltenni a beállításra. Sajnos, a kezdeti konfiguráció mindig a legnehezebb rész, és ebben az esetben a dolgok rosszul fordulhatnak elő, ha a SIEM eszköz nincs megfelelően konfigurálva, akkor nem lesz képes megfelelően elvégezni a munkáját.

50 - 2300