SolarWinds napló- és eseménykezelő vs Splunk - összehasonlító áttekintés

Napjaink számos szervezetének egyik legfontosabb - ha nem is a legfontosabb - eszköze az adatok. Annyira fontos és értékes, hogy sok rossz szándékú személy vagy szervezet nagyon sokáig megy el, hogy ellopja ezt az értékes adatot. Megállapítják, hogy a technikák és technológiák hatalmas sorát használják fel a hálózatokhoz és rendszerekhez való jogosulatlan hozzáférés eléréséhez. Az ilyen kísérletek száma exponenciálisan növekszik. Ennek megakadályozása érdekében behatolás-megelőző rendszereknek (IPS) vagy IPS-nek nevezett rendszereket telepítenek azok a vállalkozások, amelyek adatvédelmi eszközöket akarnak védelmezni. Az SolarWinds Napló- és eseménykezelő továbbá Splunkkét nem szokatlan termék ebben az arénában. Ma összehasonlítjuk a kettőt.

A feltárást azzal kezdjük, hogy áttekintjük a behatolás megelőzését. Segít az asztal elkészítésében annak, ami jön. Megpróbáljuk a lehető legtechnikusabban tartani. Nem az a szándékunk, hogy behatolás-megelőző szakértővé tegyük Önt, hanem annak biztosítása, hogy mind ugyanazon az oldalon vagyunk, amikor mindkét terméket tovább vizsgáljuk. A termékek feltárásáról beszélünk, ez a következő. Először a SolarWinds Napló- és eseménykezelő főbb jellemzőit írjuk le. Ezt követjük, amikor átnézzük a termék erősségét és gyengeségeit, valamint előnyeiről és hátrányairól, ahogy a platformon használók beszámoltak, és a termék áttekintéséről befejezzük az árképzés és az engedélyeztetés áttekintését szerkezet. Ezután áttekinti a Splunk azonos formátumát a termékjellemzőkkel, erősségeivel és gyengeségeivel, előnyeivel és hátrányaival, valamint az árazási struktúrával kapcsolatban. Végül azt fejezzük be, hogy mit kell mondani a felhasználók a két termékről.

Behatolásmegelőzés - mi ez az egész?

Évekkel ezelőtt a vírusok általában csak a rendszergazdák aggodalmak voltak. A vírusok olyan pontra jutottak, ahol annyira általánosak voltak, hogy az ipar vírusvédelmi eszközök kifejlesztésével reagált. Manapság senki sem gondolja komoly felhasználó számára, hogy számítógépe vírusvédelem nélkül működjön. Bár már nem hallunk sok vírust, a behatolás - vagy a rosszindulatú felhasználók jogosulatlan hozzáférése az Ön adataihoz - új fenyegetést jelent. Mivel az adatok gyakran a szervezet legfontosabb eszközei, a vállalati hálózatok rossz szándékú hackerek célpontjává váltak, és az adatokhoz való hozzáféréshez nagy teherbírásúak lesznek. Csakúgy, mint a vírusvédelmi szoftverek voltak a válaszok a vírusok elterjedésére, az Intrusion Prevention Systems a válasz a betolakodók támadásaira.

A behatolás-megelőző rendszerek alapvetően két dolgot tesznek. Először észlelik a betolakodási kísérleteket, és ha bármilyen gyanús tevékenységet észlelnek, különféle módszereket használnak a megállításra vagy blokkolásra. Kétféle módon lehet észlelni a behatolási kísérleteket. Az aláírás-alapú észlelés a hálózati forgalom és adatok elemzésével működik, és a behatolási kísérletekkel kapcsolatos konkrét mintákat keresi. Ez hasonló a hagyományos vírusvédelmi rendszerekhez, amelyek a vírusdefiníciókra támaszkodnak. Az aláírás-alapú behatolás-észlelés behatolás-aláírásokra vagy mintákra támaszkodik. Ennek az észlelési módszernek a legfontosabb hátránya, hogy a szoftverbe be kell töltenie a megfelelő aláírásokat. És amikor új támadási módszert alkalmaznak, általában késés mutatkozik a támadási aláírások frissítése előtt. Egyes szállítók nagyon gyorsan szolgáltatnak frissített támadási aláírásokat, míg mások sokkal lassabbak. Az aláírások frissítésének gyakorisága és gyorsasága fontos tényező, amelyet figyelembe kell venni a szállító kiválasztásakor.

Az anomálián alapuló észlelés jobb védelmet nyújt a nulla napos támadások ellen, azok ellen, amelyek akkor történnek meg, mielőtt az észlelési aláírásokat frissíteni lehetett volna. A folyamat rendellenességeket keres az ismert behatolási minták felismerése helyett. Például, akkor aktiválódik, ha valaki egymás után többször próbál hozzáférni egy rendszerhez rossz jelszóval, ami a brutális erő támadásának általános jele. Ez csak egy példa, és általában több száz különféle gyanús tevékenység indíthatja el ezeket a rendszereket. Mindkét detektálási módszernek vannak előnyei és hátrányai. A legjobb eszközök azok, amelyek az aláírás és a viselkedés elemzése kombinációját használják a legjobb védelem érdekében.

A betolakodási kísérlet észlelése az egyik első része annak megakadályozására. A felismerés után a behatolás-megelőző rendszerek aktívan működnek az észlelt tevékenységek leállításában. Ezek a rendszerek számos különféle helyrehozási intézkedést hajthatnak végre. Például felfüggeszthetik vagy más módon deaktiválhatják a felhasználói fiókokat. Egy másik tipikus művelet a támadás forrás IP-címének blokkolása vagy a tűzfalszabályok módosítása. Ha egy rosszindulatú tevékenység egy meghatározott folyamatból származik, a megelőző rendszer megsemmisítheti a folyamatot. A védelmi folyamat elindítása egy másik általános reakció, és a legrosszabb esetekben az egész rendszert le lehet állítani a lehetséges károk korlátozása érdekében. A behatolás-megelőző rendszerek másik fontos feladata a rendszergazdák figyelmeztetése, az esemény rögzítése és a gyanús tevékenységek jelentése.

Passzív behatolás-megelőzési intézkedések

Noha a behatolásmegelőző rendszerek számos támadással szemben védhetnek, addig semmi nem jó a jó, régimódi passzív betolakodásgátló intézkedéseknél. Például az erős jelszavak kikényszerítése kiváló módja a sok behatolás elleni védelemnek. Egy másik egyszerű védelmi intézkedés a berendezés alapértelmezett jelszavainak megváltoztatása. Noha ez ritkábban fordul elő a vállalati hálózatokban - bár nem hallhatatlan -, túl gyakran láttam olyan internetes átjárókat, amelyek még mindig rendelkeztek alapértelmezett rendszergazdai jelszavukkal. Míg a jelszavak kérdésében a jelszó öregedése újabb konkrét lépés, amelyet be lehet hozni a behatolási kísérletek csökkentése érdekében. Bármely jelszó, még a legjobb is, megtörténhet, feltéve, hogy elég idő áll rendelkezésre. A jelszó öregedése biztosítja, hogy a jelszavak megváltoznak, mielőtt feltörik őket.

SolarWinds egy közismert név a hálózati adminisztrációban. Megalapozott hírnévnek örvend annak érdekében, hogy elkészíti a legjobb hálózati és rendszergazdai eszközöket. Kiemelkedő terméke, a Hálózati teljesítményfigyelő következetesen pontozza a rendelkezésre álló legfontosabb hálózati sávszélességet figyelő eszközöket. A SolarWinds számos ingyenes eszközéről is híres, amelyek mindegyike a hálózati rendszergazdák speciális igényeinek felel meg. Az Kiwi Syslog Server vagy a SolarWinds TFTP SSzerverhitelesítés két kiváló példa ezekre az ingyenes eszközökre.

Ne hagyd, hogy a SolarWinds Napló- és eseménykezelőA neve becsap téged. Sokkal több van rajta, mint szemmel látni. A termék néhány fejlett funkciója behatolás-felderítő és -megelőző rendszernek minősíti, míg mások a biztonsági információk és eseménykezelés (SIEM) sorozatába sorolják be. Az eszköz például valósidejű eseménykorrelációt és valósidejű helyreállítást tartalmaz.

• INGYENES PRÓBAVERZIÓ: SolarWinds Napló- és eseménykezelő
• Letöltési link: https://www.solarwinds.com/log-event-manager-software/registration

Az SolarWinds Napló- és eseménykezelő büszkélkedhet a gyanús tevékenységek (behatolás-észlelési funkció) azonnali észlelésével és az automatikus válaszokkal (behatolás-megelőző funkciók). Ez az eszköz biztonsági események kivizsgálására és kriminalisztikára is felhasználható. Használható enyhítési és megfelelési célokra. Az eszköz audit által bevált jelentést tartalmaz, amely felhasználható a különféle szabályozási kereteknek, például a HIPAA, a PCI-DSS és a SOX megfelelés igazolására is. Az eszköz rendelkezik a fájl integritásának és az USB-eszközök megfigyelésének is. A szoftver minden fejlett funkciója inkább egy integrált biztonsági platformmá teszi, mint pusztán a napló- és eseménykezelő rendszert, amiben a neve elhitt.

A behatolás megelőzésének jellemzői SolarWinds Napló- és eseménykezelő Aktív válaszoknak nevezett tevékenységek végrehajtásával működik, amikor fenyegetéseket észlelnek. Különböző válaszok kapcsolhatók össze konkrét riasztásokkal. Például a rendszer írhat a tűzfalatáblákba, hogy blokkolja a gyanús tevékenységeket végzőként azonosított forrás IP-cím hálózati hozzáférését. Az eszköz felfüggesztheti a felhasználói fiókokat, leállíthatja vagy elindíthatja a folyamatokat és leállíthatja a rendszereket. Emlékeztetni fog arra, hogy pontosan ezeket a helyreállítási tevékenységeket mi korábban azonosítottuk.

Erősségeit és gyengeségeit

Gartner szerint a SolarWinds Napló- és eseménykezelő „Egy jól integrált megoldást kínál, amely különösen jól illeszkedik a kis- és középvállalkozások számára, egyszerű architektúrájának, könnyű licencének, valamint robosztus, nem dobozos tartalmának és funkcióinak köszönhetően”. Az eszköz többféle forrást jelent az eszközhöz, és olyan veszélyeztetési és karanténellenőrzési funkciókat kínál, amelyek általában nem állnak rendelkezésre a versengő termékekből.

A kutató cég ugyanakkor azt is megjegyzi, hogy ez a termék zárt ökoszisztéma, ami kihívást jelent integrálódjon a harmadik féltől származó biztonsági megoldásokhoz, mint például a fejlett fenyegetés-észlelés, a fenyegetés-intelligencia hírcsatornák és az UEBA eszközöket. Ahogy a cég írta: „Az ügyfélszolgálati eszközökkel történő integráció az e-mailen és az SNMP-n keresztüli egyirányú kapcsolódásra is korlátozódik”.

Ezenkívül a SaaS-környezetek figyelését a termék nem támogatja, és az IaaS figyelése korlátozott. Azoknak a vásárlóknak, akik ki akarják terjeszteni figyelésüket a hálózatokra és az alkalmazásokra, más SolarWinds termékeket kell vásárolniuk.

• INGYENES PRÓBAVERZIÓ: SolarWinds Napló- és eseménykezelő
• Letöltési link: https://www.solarwinds.com/log-event-manager-software/registration

Érvek és ellenérvek

Összeállítottuk azokat a legfontosabb előnyöket és hátrányokat, amelyekről a SolarWinds Napló- és Eseménykezelők jelentettek. Itt van, mit kell mondaniuk.

Előnyök

• Hihetetlenül könnyű a termék üzembe helyezése. Telepítették, és a naplóforrások rámutattak rá, és egy napon belül elvégezte az alapvető összefüggéseket.
• Az ügynök telepítése után elérhető automatikus válaszok hihetetlen irányítást biztosítanak a hálózat eseményeire való reagáláshoz.
• Az eszköz kezelőfelülete felhasználóbarát. Néhány versengő termék félelmetes lehet megtanulni használni és hozzászokni, de a SolarWinds Napló- és eseménykezelő intuitív elrendezéssel rendelkezik, és nagyon könnyen felvehető és használható.

Hátrányok

• A terméknek nincs egyéni elemzője. Elkerülhetetlenül lesz egy olyan termék a hálózaton, amelyet a SolarWinds Napló- és eseménykezelő nem tudom, hogyan kell elemezni. Néhány versengő megoldás ebből az okból kihasználja az egyedi elemzőket. Ez a termék nem támogatja az egyéni elemzők létrehozását, így az ismeretlen naplóformátumok változatlanok maradnak.
• Az eszköz néha túl alapvető lehet. Kiváló eszköz alapvető korrelációk elvégzésére kis és közepes méretű környezetben. Ha azonban megpróbálja túlságosan fejlettnek lennie az elvégzendő korrelációkkal, akkor csalódást okozhat az eszköz funkcionalitásának hiánya, ami elsősorban az adatok feldolgozási módjának tudható be.

Árképzés és licenc

A SolarWinds Napló és eseménykezelő árazása a megfigyelt csomópontok számától függ. Az árak 4585 dollártól kezdődnek akár 30 megfigyelt csomóponttól, és legfeljebb 2500 csomóponthoz licenceket lehet megvásárolni több köztes licencszinttel, ami a terméket nagyon skálázhatóvá teszi. Ha el akarja vinni a terméket próbaüzemre és nézd meg magad, ha ez az Ön számára megfelelő - ingyenes, teljes értékű, 30 napos próbaverzió áll rendelkezésre.

Splunk valószínűleg az egyik legnépszerűbb behatolás-megelőző rendszer. Számos különféle kiadásban érhető el, különféle sportkészletekkel. Splunk vállalati biztonság-vagy Splunk ES, mint gyakran nevezik, - amire szükség van a valódi behatolás-megelőzéshez. És erre gondolunk ma. A szoftver valós időben figyeli a rendszer adatait, keresve a sebezhetőségeket és a rendellenes tevékenység jeleit. Annak ellenére, hogy a behatolások megakadályozására irányuló célja hasonló a: SolarWinds”, Az elérésének módja eltérő.

A biztonsági válasz az egyik SplunkErős ruhája, és ez teszi behatolás-megelőző rendszerré, és alternatívájává a SolarWinds a termék most felülvizsgálva. Azt használja, amit az eladó hív Adaptív reakciókeret (ARF). Az eszköz több mint 55 biztonsági szolgáltató berendezéseivel integrálódik, és automatikus válaszokat képes végrehajtani, felgyorsítva a kézi feladatokat és gyorsabb reakciót biztosítva. Az automatizált kármentesítés és a kézi beavatkozás kombinációja biztosítja a legjobb esélyeket a kezed gyors megszerzésére. Az eszköz egyszerű és nem zavart felhasználói felülettel rendelkezik, így nyerő megoldást kínál. További érdekes védelmi funkciók közé tartozik a „előkelőség”Funkció, amely megjeleníti a felhasználó által testreszabható figyelmeztetéseket és a„Eszköz nyomozó”A rosszindulatú tevékenységek megjelölésére és a további problémák megelőzésére.

Erősségeit és gyengeségeit

SplunkNagy partner ökoszisztémája integrációt és Splunk-specifikus tartalom a Splunkbase alkalmazásbolt. Az eladó teljes megoldásainak köszönhetően a felhasználók is könnyen megnövelik a platformot az idő múlásával, és a fejlett elemzési lehetőségek számos módon elérhetők az egész Splunk ökoszisztéma.

A negatívum az, Splunk nem kínál a megoldás készülékverzióját, és a Gartner ügyfelei aggodalmaikat vettek fel az engedélyezési modell és a megvalósítás költségei miatt - válaszul, Splunk új engedélyezési megközelítéseket vezetett be, ideértve a vállalati elfogadási megállapodást (EAA).

Érvek és ellenérvek

Mint az előző termékkel, itt is található a legfontosabb előnyök és hátrányok felsorolása, ahogyan a felhasználók használják Splunk.

Előnyök

• Az eszköz szinte minden géptípusból nagyon jól összegyűjti a naplókat - a legtöbb alternatív termék nem ezt teszi meg.
• Splunk látványt nyújt a felhasználónak, lehetővé téve számukra, hogy a naplókat vizuális elemekké alakítsák, például kördiagramok, grafikonok, táblázatok stb.
• Nagyon gyors a rendellenességek bejelentésében és riasztásában. Kevés késés van.

Hátrányok

• SplunkA keresési nyelv nagyon mélyre megy. A fejlettebb formázás vagy statisztikai elemzés végrehajtása azonban magában foglalja a tanulási görbét is. Splunk A képzés elérhető a keresési nyelv megtanulására és az adatok manipulálására, de bárhol 500,00 és 1 500,00 USD között lehet.
• Az eszköz műszerfal képességei meglehetősen tisztességesek, de izgalmasabb megjelenítések elvégzéséhez egy kis fejlesztés szükséges az egyszerű XML, Javascript és CSS használatával.
• Az eladó nagyon gyorsan kiadja a kisebb módosításokat, de mivel sok hibát tapasztalunk, kilenc hónap alatt négyszer kellett frissítenünk környezetünket.

Árképzés és licenc

Splunk EnterpriseÁrazása attól függ, hogy mennyi teljes adatot küld el neki minden nap. Havonta 150 dollárral kezdődik, és akár napi 1 GB-os adatot is felvehet. Volumenes engedmények állnak rendelkezésre. Ez az ár tartalmazza a korlátlan felhasználót, a korlátlan keresést, a valós idejű keresést, az elemzést és a megjelenítést, a figyelést és a riasztást, a szokásos támogatást és egyebeket. A részletes árajánlatért kapcsolatba kell lépnie a Splunk értékesítésével. Mint a legtöbb ilyen típusú árkategóriába tartozó termék, az ingyenes próbaverzió elérhető azok számára is, akik szeretnék kipróbálni a terméket.

Mit mondtak a két termékről?

Az IT központi állomás felhasználói adják SolarWinds 10-ből 9 és Splunk 10-ből 8-at. A Gartner Peer Insights felhasználói azonban megfordítják a megrendelést, megadva Splunk az 5,3-ból 4,3 és SolarWinds 5-ből 4

Jeffrey Robinette, a Foxhole Technology rendszermérnöke ezt írta SolarWinds„A beérkezett jelentések és az irányítópult kulcsfontosságú erő, megjegyezve, hogy„ lehetővé teszi számunkra a hozzáférés nyomon követését és a számítógépes jelentések gyors begyűjtését. Nincs több keresés az egyes kiszolgálók naplóin. "

Összehasonlítva Splunk, Mondta Robinette SolarWinds nem igényel sok testreszabást, és ára alacsonyabb, míg írt róla Splunk hogy „Ph.D-re van szüksége a jelentések testreszabásáról. ”

Raul Lapaz, a Roche, míg Splunk nem olcsó, könnyű kezelhetősége, méretezhetősége, stabilitása, a keresőmotor sebessége és sokféle adatforrással való kompatibilitása megéri.

Lapaz azonban rámutatott néhány hiányosságra, például arra, hogy a klaszterkezelés csak parancssoron keresztül valósítható meg, és hogy az engedélyek nem túl rugalmasak. Írta: „Jó lenne, ha részletesebb opciókkal rendelkeznénk, mint például a kettős tényezővel történő hitelesítés”.