6 כלי אבטחה וניהול אירועים הטובים ביותר (SIEM) שכדאי לבדוק אותם בשנת 2020

זה ג'ונגל בחוץ! אנשים עם כוונה לא טובה נמצאים בכל מקום והם מחפשים אותך. ובכן, כנראה שלא אתה באופן אישי אלא הנתונים שלך. זה כבר לא רק וירוסים שאנחנו צריכים להגן עליהם אלא כל מיני התקפות שיכולות להשאיר את הרשת שלך - ואת הארגון שלך - במצב קשה. עקב ריבוי מערכות מיגון שונות כגון אנטי-וירוסים, חומות אש וגילוי חדירות מערכות, מנהלי רשת מוצפים כעת במידע שהם צריכים לתאם, מנסים להיות הגיוניים מזה. כאן מועילים מערכות מידע בנושא אבטחה וניהול אירועים (SIEM). הם מטפלים ברוב העבודה המבעיתה של התמודדות עם יותר מדי מידע. כדי להקל על העבודה שלך בבחירת SIEM, אנו מציגים לך את הכלים הטובים ביותר למידע בנושא אבטחה וניהול אירועים (SIEM).

כיום אנו מתחילים בניתוח שלנו בדיון בסצנת האיום המודרנית. כמו שאמרנו, זה כבר לא סתם נגיפים. לאחר מכן, ננסה להסביר טוב יותר מה זה SIEM בדיוק ולדבר על הרכיבים השונים שהופכים מערכת SIEM. חלקם עשויים להיות חשובים יותר מאחרים אך חשיבותם היחסית עשויה להיות שונה עבור אנשים שונים. ולבסוף, נציג את הבחירה שלנו בששת הכלים הטובים ביותר למידע בנושא אבטחה וניהול אירועים (SIEM) ונבדוק בקצרה כל אחד מהם.

סצנת האיום המודרנית

אבטחת מחשב הייתה אמורה להיות רק הגנה מפני וירוסים. אולם בשנים האחרונות נחשפו כמה סוגים שונים של פיגועים. הם יכולים לנקוט בצורה של התקפות של מניעת שירות, גניבת נתונים ורבים אחרים. והם כבר לא סתם באים מבחוץ. התקפות רבות מקורן ברשת. לכן, לצורך ההגנה האולטימטיבית, הומצאו סוגים שונים של מערכות מיגון. בנוסף לאנטי-וירוס וחומת האש המסורתית, כעת יש לנו מערכות למניעת חדירות ואובדן נתונים (IDS ו- DLP), למשל.

כמובן שככל שתוסיפו מערכות, יש לכם יותר עבודה בניהולן. כל מערכת עוקבת אחר פרמטרים ספציפיים לחריגות ותירשם אותם ו / או תפעיל התראות כאשר יתגלו. האם לא יהיה נחמד אם ניתן לבצע אוטומציה של ניטור של כל המערכות הללו? יתר על כן, סוגים מסוימים של התקפות עלולים להימצא על ידי מספר מערכות כאשר הם עוברים בשלבים שונים. האם לא היה עדיף בהרבה אם היית יכול להגיב לכל האירועים הקשורים כאחד? ובכן, זה בדיוק מה ש- SIEM עוסק בו.

מה זה SIEM, בדיוק?

השם אומר הכל. מידע אבטחה וניהול אירועים הוא תהליך ניהול מידע ואירועי אבטחה. באופן קונקרטי, מערכת SIEM אינה מספקת שום הגנה. מטרתו העיקרית היא להקל על חייהם של מנהלי רשת ואבטחה. מה שמערכת SIEM טיפוסית באמת עושה זה לאסוף מידע מהגנה וגילוי שונים מערכות, מתאמים את כל המידע הזה שמרכיב אירועים קשורים ומגיב לאירועים משמעותיים ב- דרכים שונות. לעתים קרובות, מערכות SIEM יכללו גם צורה כלשהי של דיווחים ומרכזי שליטה.

המרכיבים החיוניים של מערכת SIEM

אנו עומדים לחקור בפירוט מעמיק יותר כל מרכיב עיקרי במערכת SIEM. לא כל מערכות ה- SIEM כוללות את כל המרכיבים הללו, וגם אם כן, יכולות להיות להן פונקציות שונות. עם זאת, הם המרכיבים הבסיסיים ביותר שניתן למצוא בדרך כלל, בצורה כזו או אחרת, בכל מערכת SIEM.

אוסף יומנים וניהול

איסוף וניהול יומנים הוא המרכיב העיקרי בכל מערכות SIEM. בלעדיו אין SIEM. מערכת SIEM צריכה לרכוש נתוני יומן ממגוון מקורות שונים. זה יכול למשוך אותו או שמערכות גילוי והגנה שונות יכולות לדחוף אותו ל- SIEM. מכיוון שלכל מערכת יש דרך משלה לקטלג נתונים ולהקליטם, SIEM מתאימה לנרמל נתונים ולהפוך אותם לאחידים, לא משנה מה המקור שלה.

לאחר הנורמליזציה, בדרך כלל ישוו נתונים רשומים כנגד דפוסי התקפה ידועים בניסיון לזהות התנהגות זדונית מוקדם ככל האפשר. לעתים קרובות ישוו בין נתונים לנתונים שנאספו בעבר כדי לעזור לבנות קו בסיס אשר ישפר עוד יותר את איתור הפעילות הלא תקינה.

תגובה לאירוע

ברגע שמתגלה אירוע, יש לעשות משהו בנדון. זה מה שעוסק במודול תגובת האירועים עבור מערכת SIEM. תגובת האירוע יכולה ללבוש צורות שונות. ביישום הבסיסי ביותר, תיווצר הודעת התראה במסוף המערכת. לעתים קרובות ניתן ליצור התראות דוא"ל או SMS.

אבל מערכות ה- SIEM הטובות ביותר עוברות צעד אחד קדימה ולעיתים קרובות יוזמות תהליך מתקנה כלשהו. שוב, זה משהו שיכול ללבוש צורות רבות. המערכות הטובות ביותר כוללות מערכת זרימת עבודה מלאה לתגובה לאירועים הניתנת להתאמה אישית כדי לספק בדיוק את התגובה הרצויה. וכפי שניתן היה לצפות, תגובת האירועים אינה חייבת להיות אחידה ואירועים שונים יכולים לעורר תהליכים שונים. המערכות הטובות ביותר יעניקו לך שליטה מלאה בזרימת העבודה בתגובה לאירועים.

דיווח

ברגע שיש לך את איסוף וניהול היומנים ומערכות התגובה, אבן הבניין הבאה שאתה צריך היא דיווח. יתכן שלא תדע זאת עדיין, אך תזדקק לדוחות. ההנהלה העליונה תצטרך אותם לראות בעצמם שההשקעה שלהם במערכת SIEM משתלמת. ייתכן שתצטרך גם דוחות למטרות התאמה. ניתן להקל על עמידה בתקנים כמו PCI DSS, HIPAA או SOX כאשר מערכת ה- SIEM שלך יכולה ליצור דוחות התאמה.

דוחות אולי אינם בבסיסה של מערכת SIEM, אך עדיין, זהו מרכיב חיוני אחד. ולעתים קרובות הדיווח יהיה גורם מבדיל משמעותי בין מערכות מתחרות. דוחות הם כמו סוכריות, לעולם אינך יכול לקבל יותר מדי. וכמובן, המערכות הטובות ביותר יאפשרו לכם ליצור דוחות מותאמים אישית.

לוח מחוונים (ים)

אחרון חביב, לוח המחוונים יהיה החלון שלך למצב מערכת SIEM שלך. ויכולים להיות אפילו לוחות מחוונים מרובים. מכיוון שלאנשים שונים יש סדרי עדיפויות ואינטרסים שונים, לוח המחוונים המושלם עבור מנהל רשת יהיה שונה מזה של מנהל אבטחה. ומנהל יצטרך גם מנה אחרת אחרת.

אמנם איננו יכולים להעריך מערכת SIEM לפי מספר לוח המחוונים שיש לה, אך עליך לבחור אחת שיש לה את כל לוח המחוונים הדרוש לך. זה בהחלט משהו שתרצה לזכור כשאתה מעריך ספקים. וכמו בדוחות, המערכות הטובות ביותר יאפשרו לכם לבנות לוחות מחוונים בהתאמה אישית לטעמכם.

6 כלי SIEM המובילים שלנו

יש המון מערכות SIEM שם בחוץ. למעשה הרבה יותר מדי מכדי להיות מסוגלים לסקור את כולם כאן. אז, חיפשנו בשוק, השווינו מערכות ובנינו רשימה של מה שמצאנו שהם ששת הכלים הטובים ביותר למידע וניהול אבטחה (SIEM). אנו מפרטים אותם לפי סדר העדפה ואנו נסקור בקצרה כל אחד מהם. אבל למרות ההזמנה שלהם, כל שש הן מערכות מצוינות שאנחנו יכולים רק להמליץ ​​לך לנסות בעצמך.

הנה מה 6 כלי ה- SIEM המובילים שלנו

1. SolarWinds יומן ומנהל אירועים
2. Splunk Enterprise Security
3. RSA NetWitness
4. מנהל האבטחה של ארקיסייט
5. מנהל האבטחה של מק'אפי
6. IBM QRadar SIEM

SolarWinds הוא שם נפוץ בעולם ניטור הרשת. מוצר הדגל שלהם, Monitor Performance Monitor, הוא אחד מכלי הניטור הטובים ביותר של SNMP. החברה ידועה גם בשל מספר הכלים החינמיים שלה כמו מחשבון המשנה שלהם או שרת ה- SFTP שלהם.

כלי SIEM של SolarWinds, ה- מנהל יומן ואירועים (LEM) מתואר בצורה הטובה ביותר כמערכת SIEM ברמת כניסה. אך יתכן שזו אחת המערכות התחרותיות ביותר ברמת הכניסה בשוק. ל- LEM של SolarWinds כל מה שאתה יכול לצפות ממערכת SIEM. יש לו מאפייני ניהול ומתאם ארוכים מעולים ומנוע דיווח מרשים.

באשר לתכונות של תגובת האירועים של הכלי, הן אינן משאירות שום דבר רצוי. מערכת התגובה המפורטת בזמן אמת תגיב באופן פעיל לכל איום. ומכיוון שהוא מבוסס על התנהגות ולא על חתימה, אתה מוגן מפני איומים לא ידועים או עתידיים.

אבל לוח המחוונים של הכלי הוא אולי הנכס הטוב ביותר שלו. עם עיצוב פשוט, לא תהיה לך בעיה במהירות לזהות חריגות. החל בסביבות 4 500 דולר, הכלי הוא יותר משתלם. ואם אתה רוצה לנסות את זה קודם, ניסיון חינם למשך 30 יום בחינם הגרסה זמינה להורדה.

2. Splunk Enterprise Security

אולי אחת ממערכות ה- SIEM הפופולריות ביותר, Splunk Enterprise Security- או Splunk ES, כפי שהוא מכונה לעתים קרובות - מפורסם במיוחד בזכות יכולות הניתוח שלו. Splunk ES עוקב אחר נתוני המערכת בזמן אמת ומחפש פגיעויות וסימנים של פעילות לא תקינה.

תגובת האבטחה היא אחת מהתביעות החזקות של Splunk ES. המערכת משתמשת במה ש- Splunk מכנה את מסגרת ה- Adaptive Response Framework (ARF) שמשתלבת בציוד של יותר מ- 55 ספקי אבטחה. ה- ARF מבצעים מענה אוטומטי ומזרז משימות ידניות. זה יאפשר לך להשיג במהירות את העליונה. הוסף לזה ממשק משתמש פשוט ולא מסודר ויש לך פיתרון מנצח. תכונות מעניינות אחרות כוללות את הפונקציה Notables המציגה התראות הניתנות להתאמה אישית על ידי המשתמש ואת חוקר הנכסים לסימון פעילויות זדוניות ומניעת בעיות נוספות.

Splunk ES הוא באמת מוצר ברמה ארגונית והוא מגיע עם תג מחיר בגודל ארגוני. אתה לא יכול אפילו לקבל מידע על מחירים אודות אתר האינטרנט של Splunk. אתה צריך ליצור קשר עם מחלקת המכירות כדי לקבל מחיר. למרות מחירו, מדובר במוצר מעולה וייתכן שתרצה ליצור קשר עם Splunk ולנצל ניסיון חינם.

3. RSA NetWitness

מאז שנת 20016, NetWitness התמקדה במוצרים התומכים ב"מודעות מצב עמוק בזמן אמת ברשת ותגובת רשת זריזת ". לאחר שנרכש על ידי EMC שהתמזג אז עם דל, עסק Newitness הוא כיום חלק מסניף RSA של התאגיד. ואלה חדשות טובות RSA הוא שם מפורסם בביטחון.

RSA NetWitness הוא אידיאלי לארגונים המחפשים פיתרון ניתוח רשת מלא. הכלי משלב מידע על העסק שלך שעוזר לתעדף התראות. על פי RSA, המערכת "אוספת נתונים על פני יותר נקודות לכידה, פלטפורמות מחשוב ומקורות מודיעין איומים מאשר פתרונות אחרים של SIEM". יש גם איתור איומים מתקדם המשלב ניתוח התנהגות, טכניקות מדעי נתונים ואינטליגנציית איומים. ולבסוף, מערכת התגובה המתקדמת מתהדרת ביכולות תזמור ואוטומציה כדי לסלק את מיגור האיומים לפני שהן משפיעות על העסק שלך.

אחד החסרונות העיקריים של RSA NetWitness הוא שזה לא הקל ביותר לשימוש ולהגדרת התצורה. עם זאת, קיים תיעוד מקיף שיכול לעזור לך בהגדרת המוצר ושימוש בו. זהו מוצר אחר בדרגה ארגונית ותצטרך ליצור קשר עם מכירות כדי לקבל מידע על מחירים.

4. מנהל האבטחה של ארקיסייט

מנהל האבטחה של ארקיסייט עוזר בזיהוי ותעדוף איומי אבטחה, ארגון ומעקב אחר פעילויות תגובת אירועים, ופשטת פעילויות ביקורת ותאימות. בעבר נמכרה תחת המותג HP, היא התמזגה עם Micro Focus, חברת בת אחרת של HP.

כבר קיימת למעלה מחמש עשרה שנה, ArcSight הוא כלי נוסף של SIEM פופולרי ביותר. זה אוסף נתוני יומן ממקורות שונים ומבצעת ניתוח נתונים נרחב, ומחפש סימנים של פעילות זדונית. כדי להקל על זיהוי איומים במהירות, באפשרותך להציג את תוצאות הניתוח של ה- real0tme.

להלן סקירה של התכונות העיקריות של המוצרים. יש לו מתאם נתונים מופץ בזמן אמת, אוטומציה של זרימת עבודה, תזמור אבטחה ותוכן אבטחה מונחה קהילה. מנהל אבטחת הארגון משתלב גם עם מוצרים אחרים של ArcSight כמו פלטפורמת הנתונים ArcSight ו- Broker Event או ArcSight Investigate. זהו מוצר אחר בדרגה ארגונית - כמו כמעט כל כלי SIEM איכותיים - אשר ידרוש ממך ליצור קשר עם צוות המכירות של ArcSight כדי לקבל מידע על מחירים.

5. מנהל האבטחה של מק'אפי

מקאפי הוא ללא ספק שם ביתי נוסף בענף האבטחה. עם זאת, הוא ידוע יותר בזכות מוצרי ההגנה שלו מפני וירוסים. ה מנהל אבטחה ארגוני אינה רק תוכנה. זה למעשה מכשיר. אתה יכול להשיג את זה בצורה וירטואלית או פיזית.

מבחינת יכולות הניתוח שלו, McAfee Enterprise Security Manager נחשב לאחד מכלי SIEM הטוב ביותר עבור רבים. המערכת אוספת יומנים במגוון רחב של מכשירים. באשר ליכולות הנורמליזציה שלו, הוא גם מהשורה הראשונה. מנוע המתאם אוסף בקלות מקורות נתונים שונים, מה שמקל על איתור אירועי אבטחה בזמן שהם מתרחשים

אם להיות נכון, יש יותר פיתרון של McAfee מאשר רק מנהל האבטחה הארגוני שלה. כדי לקבל פיתרון SIEM מלא, אתה זקוק גם למנהל יומן הארגון ומקבל האירועים. למרבה המזל, את כל המוצרים ניתן לארוז במכשיר יחיד. לאלו מכם שאולי ירצו לנסות את המוצר לפני שאתם קונים אותו, תקופת ניסיון חינם זמינה.

6. IBM QRadar

יבמ, אולי השם הידוע ביותר בענף ה- IT הצליחה להקים את פיתרון SIEM שלה, IBM QRadar הוא אחד המוצרים הטובים ביותר בשוק. הכלי מאפשר לאנליסטים ביטחוניים לאתר חריגות, לחשוף איומים מתקדמים ולהסיר חיוביות שגויות בזמן אמת.

IBM QRadar מתהדרת בחבילת תכונות לניהול יומני, איסוף נתונים, ניתוחים וגילוי פריצות. יחד הם עוזרים לשמור על תשתית הרשת שלך פועלת. יש גם ניתוח דוגמנות סיכונים שיכול לדמות התקפות אפשריות.

חלק מתכונות המפתח של QRadar כוללות את היכולת לפרוס את הפיתרון באופן מקומי או בסביבת ענן. זהו פיתרון מודולרי ואפשר להוסיף במהירות ובזול יותר אחסון של כוח עיבוד. המערכת משתמשת במומחיות מודיעינית של יבמ X-Force ומשתלבת בצורה חלקה עם מאות מוצרי IBM ולא-יבמ.

בהיותה יבמ, אתה יכול לצפות בתשלום מחיר פרמיום עבור פתרון SIEM שלהם. אבל אם אתה זקוק לאחד מכלי SIEM הטובים ביותר בשוק, ייתכן ש- QRadar יהיה שווה את ההשקעה.

לסיכום

הבעיה היחידה בה אתה מסתכן כאשר אתה קונה את הכלי הטוב ביותר למידע בנושא אבטחה ומעקב אחר אירועים (SIEM) הוא שפע האפשרויות המצוינות. בדיוק הצגנו את השישה הטובים ביותר. כולם בחירות מצוינות. זה שתבחר יהיה תלוי במידה רבה בצרכים המדויקים שלך, בתקציב שלך ובזמן שאתה מוכן להכניס להגדרתו. אבוי, התצורה הראשונית היא תמיד החלק הקשה ביותר וכאן הדברים יכולים להשתבש אם כלי SIEM לא מוגדר כראוי, הוא לא יוכל לבצע את העבודה שלו כמו שצריך.

טקסט 50 - 2300