6 geriausios saugumo informacijos ir įvykių valdymo (SIEM) įrankiai, kuriuos verta patikrinti 2020 m

Tai ten džiunglės! Netinkamo elgesio asmenys yra visur ir yra paskui jus. Na, tikriausiai ne jūs asmeniškai, o jūsų duomenys. Apsaugoti turime ne tik virusus, bet ir įvairius išpuolius, kurie gali palikti jūsų tinklą ir organizaciją pavojingoje situacijoje. Dėl gausybės įvairių apsaugos sistemų, tokių kaip antivirusai, ugniasienės ir įsibrovimų aptikimas sistemos, tinklo administratoriai dabar yra užtvindyti informacija, kurią jie turi koreliuoti, bandydami įprasminti iš jo. Čia naudingos saugumo informacijos ir įvykių valdymo (SIEM) sistemos. Jie tvarko daugumą baisių darbų, susijusių su per daug informacijos tvarkymu. Kad jums būtų lengviau išsirinkti SIEM, pateiksime jums geriausius saugos informacijos ir įvykių valdymo (SIEM) įrankius.

Šiandien analizę pradedame aptardami šiuolaikinę grėsmės sceną. Kaip jau sakėme, tai jau nebe vien virusai. Tada pabandysime geriau paaiškinti, kas tiksliai yra SIEM, ir pakalbėsime apie skirtingus komponentus, sudarančius SIEM sistemą. Kai kurie iš jų gali būti svarbesni už kitus, tačiau jų santykinė svarba skirtingiems žmonėms gali būti skirtinga. Galiausiai pateiksime savo pasirinkimą iš šešių geriausių saugos informacijos ir įvykių valdymo (SIEM) įrankių ir trumpai apžvelgsime kiekvieną iš jų.

Šiuolaikinė grėsmės scena

Kompiuterių saugumas anksčiau buvo susijęs tik su apsauga nuo virusų. Tačiau pastaraisiais metais buvo aptikta keletas skirtingų išpuolių rūšių. Tai gali būti paslaugų atsisakymo (DoS) išpuoliai, duomenų vagystės ir daug daugiau. Ir jie nebėra tik iš išorės. Daugelis atakų kyla iš tinklo. Taigi, siekiant maksimalios apsaugos, buvo išrastos įvairių rūšių apsaugos sistemos. Be tradicinės antivirusinės ir ugniasienės, dabar turime, pavyzdžiui, įsilaužimo aptikimo ir duomenų praradimo prevencijos sistemas (IDS ir DLP).

Žinoma, kuo daugiau pridėsite sistemų, tuo daugiau darbo turėsite valdydami. Kiekviena sistema stebi kai kuriuos specifinius anomalijų parametrus ir juos registruoja ir (arba) suaktyvina perspėjimo signalus, kai jie bus aptikti. Ar ne puiku, jei visų šių sistemų stebėjimas galėtų būti automatizuotas? Be to, kai kurias atakų rūšis gali aptikti kelios sistemos, nes jos eina per skirtingus etapus. Ar nebūtų daug geriau, jei galėtumėte į visus susijusius įvykius reaguoti kaip vienas? Na, būtent apie tai ir kalbama SIEM.

Kas yra SIEM, tiksliai?

Vardas sako viską. Saugumo informacija ir įvykių valdymas yra saugumo informacijos ir įvykių valdymo procesas. Konkrečiai kalbant, SIEM sistema nesuteikia jokios apsaugos. Pagrindinis jo tikslas yra palengvinti tinklo ir saugos administratorių gyvenimą. Tai, kas iš tikrųjų yra tipiška SIEM sistema, yra informacijos kaupimas iš įvairių apsaugos ir aptikimo būdų sistemos, koreliuoja visą šią informaciją, surenkant susijusius įvykius, ir reaguoja į prasmingus įvykius įvairiais būdais. Dažnai į SIEM sistemas taip pat įeina tam tikros formos ataskaitos ir informacijos suvestinės.

Esminiai SIEM sistemos komponentai

Mes ketiname išsamiau ištirti kiekvieną pagrindinį SIEM sistemos komponentą. Ne visose SIEM sistemose yra visi šie komponentai ir, net jei jie yra, jie gali turėti skirtingas funkcijas. Tačiau tai yra patys svarbiausi komponentai, kuriuos paprastai galima rasti vienoje ar kitoje formoje bet kurioje SIEM sistemoje.

Rąstų rinkimas ir tvarkymas

Žurnalų rinkimas ir tvarkymas yra pagrindinis visų SIEM sistemų komponentas. Be jo nėra SIEM. SIEM sistema turi rinkti žurnalų duomenis iš įvairių šaltinių. Jis gali jį traukti, arba skirtingos aptikimo ir apsaugos sistemos gali jį nukreipti į SIEM. Kadangi kiekviena sistema turi savo būdą klasifikuoti ir įrašyti duomenis, SIEM turi normalizuoti duomenis ir padaryti juos vienodus, nesvarbu, koks jų šaltinis.

Po normalizavimo prisijungti duomenys dažnai bus lyginami su žinomais išpuolių būdais, bandant kuo anksčiau atpažinti kenkėjišką elgesį. Duomenys taip pat dažnai bus lyginami su anksčiau surinktais duomenimis, kad būtų lengviau sukurti pradinę situaciją, kuri dar labiau pagerins nenormalios veiklos aptikimą.

Atsakymas apie įvykį

Aptikus įvykį, reikia ką nors padaryti. Štai apie ką kalbama SIEM sistemos reagavimo į įvykius moduliu. Atsakas į įvykį gali būti įvairių formų. Paprasčiausias diegimo metu įspėjamasis pranešimas bus sugeneruotas sistemos konsolėje. Dažnai gali būti generuojami ir el. Pašto ar SMS pranešimai.

Tačiau geriausios SIEM sistemos žengia žingsnį pirmyn ir dažnai inicijuoja kokį nors taisomąjį procesą. Vėlgi, tai gali būti įvairių formų. Geriausios sistemos turi visą reagavimo į įvykius darbo eigos sistemą, kurią galima pritaikyti taip, kad būtų užtikrintas būtent jūsų atsakymas. Kaip ir galima tikėtis, reagavimas į incidentus neturi būti vienodas, o skirtingi įvykiai gali sukelti skirtingus procesus. Geriausios sistemos leis jums visiškai valdyti reagavimo į įvykius darbo eigą.

Ataskaitų teikimas

Kai įdiegsite žurnalų rinkimą ir tvarkymą bei atsakymo sistemas, kitas jums reikalingas elementas yra ataskaita. Gal dar nežinote, bet jums reikės ataskaitų. Aukštesniajai vadovybei reikės, kad jie patys įsitikintų, jog jų investicijos į SIEM sistemą atsiperka. Jums taip pat gali prireikti ataskaitų atitikties tikslais. Atitiktis tokiems standartams kaip PCI DSS, HIPAA ar SOX gali būti lengviau, kai jūsų SIEM sistema gali generuoti atitikties ataskaitas.

Ataskaitos gali būti ne SIEM sistemos pagrindas, tačiau vis tiek tai yra vienas esminių komponentų. Ir dažnai ataskaitų teikimas bus pagrindinis skiriantis veiksnys tarp konkuruojančių sistemų. Ataskaitos yra tarsi saldainiai, niekada negali būti per daug. Ir, žinoma, geriausios sistemos leis jums kurti pasirinktines ataskaitas.

Prietaisų skydelis (-iai)

Paskutinis, bet ne mažiau svarbus dalykas - prietaisų skydelis bus jūsų langas į jūsų SIEM sistemos būseną. Net gali būti keletas prietaisų skydelių. Kadangi skirtingi žmonės turi skirtingus prioritetus ir interesus, puikus tinklo administratoriaus prietaisų skydas skirsis nuo saugos administratoriaus. Taip pat vadovui reikės visiškai kitokio.

Nors mes negalime įvertinti SIEM sistemos pagal prietaisų skydelių skaičių, turite pasirinkti tokią, kurioje yra visas reikiamas prietaisų skydelis. Tai tikrai yra kažkas, ko norėsite atsiminti vertindami pardavėjus. Kaip ir ataskaitos, geriausios sistemos leis jums sukurti pritaikytus prietaisų skydus pagal savo skonį.

Mūsų populiariausi 6 SIEM įrankiai

Yra daugybė SIEM sistemų. Tiesą sakant, jų per daug, kad galėčiau čia visus peržiūrėti. Taigi, mes atlikome paiešką rinkoje, palyginome sistemas ir sudarėme sąrašą, kas mums pasirodė kaip šeši geriausi saugumo informacijos ir valdymo (SIEM) įrankiai. Mes išvardijame juos pirmenybės tvarka ir trumpai apžvelgsime kiekvieną iš jų. Nepaisant jų užsakymo, visos šešios yra puikios sistemos, kurias galime tik rekomenduoti išbandyti patys.

Štai kokie yra 6 populiariausi SIEM įrankiai

1. „SolarWinds“ žurnalų ir renginių tvarkyklė
2. „Splunk“ įmonių sauga
3. „RSA NetWitness“
4. „ArcSight Enterprise“ saugos vadovas
5. „McAfee Enterprise“ saugos vadovas
6. „IBM QRadar SIEM“

„SolarWinds“ yra įprastas vardas tinklo stebėjimo pasaulyje. Jų pavyzdinis produktas „Network Performance Monitor“ yra vienas iš geriausių SNMP stebėjimo įrankių. Bendrovė taip pat žinoma dėl daugybės nemokamų įrankių, tokių kaip jų potinklio skaičiuoklė ar SFTP serveris.

„SolarWinds“ SIEM įrankis, Žurnalų ir įvykių tvarkytojas (LEM) geriausiai apibūdinama kaip pradinio lygio SIEM sistema. Bet tai galbūt viena iš konkurencingiausių pradinio lygio sistemų rinkoje. „SolarWinds LEM“ turi viską, ko galite tikėtis iš SIEM sistemos. Jis turi puikias ilgo valdymo ir koreliacijos savybes bei įspūdingą ataskaitų teikimo variklį.

Kalbant apie įrankio reagavimo į įvykius ypatybes, jos nieko nelaukia. Išsami realaus laiko reagavimo sistema aktyviai reaguos į kiekvieną grėsmę. Ir kadangi tai paremta elgesiu, o ne parašu, esate apsaugoti nuo nežinomų ar būsimų grėsmių.

Bet turbūt geriausias jo įrankis yra prietaisų skydelis. Naudodami paprastą dizainą neturėsite problemų greitai nustatyti anomalijas. Pradedant maždaug 4 500 USD, įrankis yra daugiau nei įperkamas. Ir jei norite pirmiausia tai išbandyti, nemokamas 30 dienų bandymas versiją galima atsisiųsti.

2. „Splunk“ įmonių sauga

Galbūt viena iš populiariausių SIEM sistemų, „Splunk“ įmonių saugaAr „Splunk ES“, kaip ji dažnai vadinama, ypač garsėja savo analizės galimybėmis. „Splunk ES“ stebi jūsų sistemos duomenis realiu laiku, ieškodama pažeidžiamumų ir nenormalios veiklos požymių.

Atsakas į saugą yra dar vienas stiprių „Splunk ES“ kostiumų. Sistema naudoja tai, ką „Splunk“ vadina Adaptive Response Framework (ARF), kuri integruota su daugiau nei 55 saugos tiekėjų įranga. ARF vykdo automatinį atsakymą, pagreitindamas rankinius veiksmus. Tai leis greitai įgyti aukštesnįjį pelną. Pridėkite prie šios paprastos ir neužtikrintos vartotojo sąsajos ir turėsite laimėtą sprendimą. Prie kitų įdomių funkcijų priskiriama „Notables“ funkcija, rodanti vartotojui pritaikomus įspėjimus, ir Turto tyrėjas, kad būtų galima pažymėti kenkėjišką veiklą ir užkirsti kelią tolesnėms problemoms.

„Splunk ES“ yra tikrai įmonėms tinkamas produktas ir tiekiamas su įmonės dydžio etiketėmis. Net negalite gauti informacijos apie kainodarą iš „Splunk“ tinklalapio. Norėdami gauti kainą, turite susisiekti su pardavimo skyriumi. Nepaisant kainos, tai puikus produktas, todėl galbūt norėsite susisiekti su „Splunk“ ir pasinaudoti nemokamu bandomuoju variantu.

3. „RSA NetWitness“

Nuo 2001 m .6 „NetWitness“ daugiausia dėmesio skyrė produktams, palaikantiems „gilų realaus laiko tinklo situacijos supratimą ir judrų tinklo atsaką“. Po „EMC“ įsigijimo, kuris vėliau susijungė su „Dell“, „Newitness“ verslas dabar priklauso korporacijos RSA filialui. Ir tai yra gera žinia. „RSA“ yra garsus saugumo vardas.

„RSA NetWitness“ idealiai tinka organizacijoms, ieškančioms išsamaus tinklo analizės sprendimo. Įrankis apima informaciją apie jūsų verslą, kuris padeda nustatyti perspėjimų prioritetus. Anot RSA, sistema „renka duomenis daugiau gaudymo taškų, skaičiavimo platformų ir grėsmės žvalgybos šaltinių nei kiti SIEM sprendimai“. Taip pat yra patobulintas grėsmių aptikimas, apjungiantis elgesio analizę, duomenų mokslo metodus ir žvalgybos informaciją. Galiausiai, pažangi reagavimo sistema gali pasigirti orkestravimo ir automatizavimo galimybėmis, leidžiančiomis atsikratyti grėsmių, prieš pašalinant jas į jūsų verslą.

Vienas iš pagrindinių „RSA NetWitness“ trūkumų yra tas, kad jį naudoti ir konfigūruoti nėra lengviausia. Tačiau yra išsami dokumentacija, kuri gali padėti nustatyti ir naudoti gaminį. Tai dar vienas įmonės lygio produktas, ir jums reikės susisiekti su pardavėjais, kad gautumėte informacijos apie kainodarą.

4. „ArcSight Enterprise“ saugos vadovas

„ArcSight Enterprise“ saugos vadovas padeda nustatyti ir nustatyti prioritetus saugumo grėsmėms, organizuoti ir sekti reagavimo į incidentus veiksmus ir supaprastinti audito bei atitikties veiklą. Anksčiau parduotas su HP prekės ženklu, dabar jis susijungė su kita „Microsoft“ dukterine įmone „Micro Focus“.

Jau daugiau nei penkiolika metų veikiantis „ArcSight“ yra dar vienas nepaprastai populiarus SIEM įrankis. Jis kaupia žurnalo duomenis iš įvairių šaltinių ir atlieka išsamią duomenų analizę, ieškodamas kenksmingos veiklos požymių. Kad būtų lengva greitai nustatyti grėsmes, galite peržiūrėti „real0tme“ analizės rezultatus.

Čia yra pagrindinės produktų savybės. Jis turi galingą paskirstytą realaus laiko duomenų koreliaciją, darbo eigos automatizavimą, saugumo orkestravimą ir bendruomenės pagrįstą saugos turinį. „Enterprise Security Manager“ taip pat integruojasi su kitais „ArcSight“ produktais, tokiais kaip „ArcSight“ duomenų platforma ir „Event Broker“ ar „ArcSight Investigate“. Tai dar vienas įmonės lygio produktas, kaip ir beveik visi kokybiški SIEM įrankiai, todėl norint susisiekti su „ArcSight“ pardavimo komanda, reikės informacijos apie kainodarą.

5. „McAfee Enterprise“ saugos vadovas

„McAfee“ tikrai yra dar vienas buities vardas saugos pramonėje. Tačiau jis geriau žinomas dėl apsaugos nuo virusų. Įmonių saugos vadybininkas nėra tik programinė įranga. Tai iš tikrųjų yra prietaisas. Galite gauti virtualią ar fizinę formą.

Kalbant apie analitines galimybes, daugelis „McAfee Enterprise Security Manager“ yra laikomi vienu iš geriausių SIEM įrankių. Sistema renka žurnalus įvairiuose įrenginiuose. Kalbant apie jo normalizavimo galimybes, jis taip pat yra aukščiausios klasės. Koreliacijos variklis lengvai kaupia skirtingus duomenų šaltinius, kad būtų lengviau aptikti saugumo įvykius, kai jie įvyksta

Tiesa sakant, „McAfee“ sprendimas yra ne tik jo „Enterprise Security Manager“. Norėdami gauti pilną SIEM sprendimą, jums taip pat reikia „Enterprise Log Manager“ ir įvykių imtuvo. Laimei, visus produktus galima supakuoti į vieną prietaisą. Tiems iš jūsų, kurie gali norėti išbandyti produktą prieš pirkdami jį, yra nemokamas bandomasis laikotarpis.

6. „IBM QRadar“

IBM, galbūt geriausiai žinomu IT pramonės vardu, sugebėjo sukurti savo SIEM sprendimą, „IBM QRadar“ yra vienas iš geriausių produktų rinkoje. Įrankis suteikia saugumo analitikams galimybę nustatyti anomalijas, atskleisti išplėstines grėsmes ir realiu laiku pašalinti klaidingus teiginius.

„IBM QRadar“ gali pasigirti rinkiniu žurnalų tvarkymo, duomenų rinkimo, analizės ir įsilaužimo aptikimo funkcijų. Kartu jie padeda išlaikyti jūsų tinklo infrastruktūrą ir veikti. Taip pat yra rizikos modeliavimo analizė, kuri gali imituoti galimas atakas.

Kai kurios pagrindinės „QRadar“ funkcijos apima galimybę dislokuoti sprendimą įmonėje arba debesies aplinkoje. Tai yra modulinis sprendimas, galintis greitai ir nebrangiai pridėti daugiau duomenų apdorojimo galios. Sistema naudojasi „IBM X-Force“ intelekto žiniomis ir sklandžiai integruojasi su šimtais IBM ir ne IBM produktų.

Jei IBM yra IBM, galite tikėtis sumokėti priemoką už jų SIEM sprendimą. Bet jei jums reikia vieno iš geriausių SIEM įrankių rinkoje, „QRadar“ gali būti verta investuoti.

Apibendrinant

Vienintelė problema, su kuria rizikuojate, pirkdami geriausią saugos informacijos ir įvykių stebėjimo (SIEM) įrankį, yra puikių galimybių gausa. Ką tik pristatėme geriausius šešis. Visi jie yra puikus pasirinkimas. Tai, kurį pasirinksite, labai priklausys nuo tikslių jūsų poreikių, biudžeto ir laiko, kurį ketinate skirti jo nustatymui. Deja, pradinė konfigūracija visada yra pati sunkiausia dalis, ir čia viskas gali nutikti, jei SIEM įrankis nebus tinkamai sukonfigūruotas, jis negalės tinkamai atlikti savo darbo.

50 - 2300 tekstas