„SolarWinds Log & Event Manager vs Splunk“ - palyginamoji apžvalga

Vienas iš svarbiausių - jei ne pats svarbiausias - daugelio šių dienų organizacijų turtas yra jų duomenys. Tai labai svarbu ir vertinga, kad daugelis netinkamo ketinimų turinčių asmenų ar organizacijų pavogs tuos brangius duomenis. Jie tai daro naudodamiesi daugybe metodų ir technologijų, kad gautų neteisėtą prieigą prie tinklų ir sistemų. Panašu, kad tokių bandymų skaičius nuolat auga. Norėdami to išvengti, įmonės, norinčios apsaugoti savo duomenų išteklius, diegia įsibrovimų prevencijos sistemas arba IPS. „SolarWinds“ žurnalų ir renginių tvarkyklė taip pat kaip Splunkyra du netradiciniai produktai toje arenoje. Šiandien mes lyginame abu.

Savo tyrinėjimą pradėsime nuo įsilaužimo prevencijos apskritai. Tai padės nustatyti lentelę tam, kas ateis. Stengsimės, kad tai būtų kuo mažiau techninė. Mūsų idėja yra ne paversti jus įsibrovimų prevencijos ekspertais, o užtikrinti, kad visi būtume tame pačiame puslapyje, toliau tyrinėdami abu produktus. Kalbant apie produktų tyrinėjimą, štai ką mes turime toliau. Pirmiausia aprašysime pagrindines „SolarWinds“ žurnalų ir įvykių tvarkymo priemonės savybes. Peržiūrėsime produkto pranašumus ir trūkumus bei jos privalumus ir trūkumus, apie kuriuos pranešė platformos vartotojai, ir mes užbaigsime produkto apžvalgą, pasižiūrėdami į jo kainas ir licencijavimą struktūra. Tada mes apžvelgsime „Splunk“ naudodami identišką formatą su produktų ypatybėmis, stipriosiomis ir silpnosiomis pusėmis, privalumais ir trūkumais bei kainų struktūra. Galiausiai užbaigsime tai, ką vartotojai turi pasakyti apie du produktus.

Įsibrovimų prevencija - kas tai yra?

Prieš daugelį metų virusai buvo beveik vieninteliai sistemos administratorių rūpesčiai. Virusai buvo tokie paplitę, kad pramonė sureagavo kurdama apsaugos nuo virusų priemones. Šiandien joks rimtas vartotojas, galvodamas apie savo kompiuterį, negalvotų paleisti kompiuterį be apsaugos nuo virusų. Nors daugiau nebegirdime virusų, įsilaužimas arba neteisėtas vartotojų prieiga prie jūsų duomenų yra nauja grėsmė. Kadangi duomenys dažnai yra svarbiausias organizacijos turtas, korporaciniai tinklai tapo netinkamų ketinimų įsilaužėlių taikiniu. Jie gaus daug galimybių gauti prieigą prie duomenų. Kaip apsaugos nuo virusų programinė įranga buvo atsakas į virusų plitimą, taip ir įsibrovėlių prevencijos sistemos yra atsakymas į įsibrovėlių išpuolius.

Įsibrovimų prevencijos sistemos iš esmės daro du dalykus. Pirmiausia jie aptinka įsibrovimų bandymus ir, aptikę įtartiną veiklą, naudoja įvairius metodus, kad sustabdytų ar užblokuotų. Yra du skirtingi būdai, kaip galima aptikti įsibrovimus. Parašais pagrįstas aptikimas veikia analizuojant tinklo srautą ir duomenis ir ieškant konkrečių modelių, susijusių su įsibrovimų bandymais. Tai panašu į tradicines apsaugos nuo virusų sistemas, kurios remiasi virusų apibrėžimais. Įsilaužimų aptikimas parašais pagrįstas įsibrovimo parašais ar raštais. Pagrindinis šio aptikimo metodo trūkumas yra tas, kad jam reikia tinkamų parašų, kuriuos reikia įkelti į programinę įrangą. Kai naudojamas naujas išpuolių metodas, prieš atakų parašų atnaujinimą paprastai reikia atidėti. Kai kurie pardavėjai labai greitai teikia atnaujintus išpuolių parašus, kiti - daug lėčiau. Tai, kaip dažnai ir kaip greitai atnaujinami parašai, yra svarbus faktorius, į kurį reikia atsižvelgti renkantis pardavėją.

Anomalija paremtas aptikimas siūlo geresnę apsaugą nuo nulinės dienos atakų, t. Y. Tų, kurie vyksta prieš aptikimo parašus turėjo galimybę būti atnaujinti. Procesas ieško anomalijų, užuot bandęs atpažinti žinomus įsibrovimo modelius. Pvz., Ji suveiktų, jei kas nors kelis kartus iš eilės bandytų prieiti prie sistemos su neteisingu slaptažodžiu, tai yra bendras brutalios jėgos išpuolio ženklas. Tai tik pavyzdys ir paprastai yra šimtai įvairių įtartinų veiklų, kurios gali suaktyvinti šias sistemas. Abu aptikimo metodai turi privalumų ir trūkumų. Geriausios priemonės yra tos, kurios geriausios apsaugos tikslams naudoja parašo ir elgesio analizės derinį.

Įsilaužimo bandymo aptikimas yra pirmoji jų prevencijos dalis. Aptiktos įsilaužimo prevencijos sistemos aktyviai dirba sustabdydamos aptiktą veiklą. Šios sistemos gali imtis kelių skirtingų taisomųjų veiksmų. Jie, pavyzdžiui, gali sustabdyti ar kitaip išjungti vartotojo abonementus. Kitas tipinis veiksmas yra užpuolimo šaltinio IP adreso blokavimas arba ugniasienės taisyklių modifikavimas. Jei kenkėjiška veikla atsiranda dėl konkretaus proceso, prevencijos sistema gali sunaikinti procesą. Apsaugos proceso pradžia yra dar viena įprasta reakcija, o blogiausiu atveju, norint apriboti galimą žalą, galima išjungti visas sistemas. Kita svarbi įsibrovimų prevencijos sistemų užduotis yra įspėti administratorius, užfiksuoti įvykį ir pranešti apie įtartiną veiklą.

Pasyvios įsilaužimo prevencijos priemonės

Įsibrovimų prevencijos sistemos gali apsaugoti jus nuo daugybės išpuolių, tačiau tai nėra gerai, pasenusios pasyvios įsilaužimo prevencijos priemonės. Pavyzdžiui, griežtų slaptažodžių įvedimas yra puikus būdas apsisaugoti nuo daugybės įsibrovimų. Kita lengva apsaugos priemonė yra numatytųjų įrenginių slaptažodžių keitimas. Nors verslo tinkluose tai rečiau, nors tai nėra negirdėta, aš per dažnai mačiau interneto šliuzus, kurie vis dar turėjo numatytąjį administratoriaus slaptažodį. Kalbant apie slaptažodžius, slaptažodžių senėjimas yra dar vienas konkretus žingsnis, kurį galima padaryti siekiant sumažinti įsibrovimų bandymus. Bet kuris slaptažodis, net geriausias, galų gale gali būti nulaužtas, suteikiant pakankamai laiko. Slaptažodžio senėjimas užtikrina, kad slaptažodžiai bus pakeisti prieš juos nulaužant.

„Saulės vėjai“ yra gerai žinomas tinklo administravimo vardas. Jis turi gerą reputaciją, nes daro geriausius tinklo ir sistemos administravimo įrankius. Jos pavyzdinis produktas yra Tinklo našumo monitorius nuosekliai vertina aukščiausius galimus tinklo pralaidumo stebėjimo įrankius. „SolarWinds“ taip pat garsėja daugybe nemokamų įrankių, kurių kiekvienas patenkina specifinį tinklo administratorių poreikį. „Kiwi Syslog“ serveris arba „SolarWinds“ TFTP Serveris yra du puikūs šių nemokamų įrankių pavyzdžiai.

Neleisk „SolarWinds“ žurnalų ir renginių tvarkyklėVardas jus kvailys. Tai yra daug daugiau, nei akis sutinka. Kai kurios patobulintos šio produkto savybės jį apibūdina kaip įsibrovimo aptikimo ir prevencijos sistemą, o kitos jį įtraukia į saugos informacijos ir įvykių valdymo (SIEM) asortimentą. Pvz., Įrankis apibūdina įvykių realiojo laiko koreliaciją ir taisymą realiuoju laiku.

• NEMOKAMAS BANDYMAS: „SolarWinds“ žurnalų ir renginių tvarkyklė
• Atsisiuntimo nuoroda: https://www.solarwinds.com/log-event-manager-software/registration

„SolarWinds“ žurnalų ir renginių tvarkyklė gali pasigirti akimirksniu įtartinos veiklos aptikimu (įsibrovimų aptikimo funkcija) ir automatizuotomis reakcijomis (įsibrovimų prevencijos funkcija). Ši priemonė taip pat gali būti naudojama saugumo įvykių tyrimams ir kriminalistikai. Jis gali būti naudojamas švelninimo ir atitikties tikslams. Įrankis apima auditu patikrintą ataskaitų teikimą, kuris taip pat gali būti naudojamas įrodyti, kad laikomasi įvairių reguliavimo sistemų, tokių kaip HIPAA, PCI-DSS ir SOX. Įrankis taip pat turi failų vientisumo stebėjimą ir USB įrenginių stebėjimą. Dėl visų patobulintų programinės įrangos funkcijų ji tampa labiau integruota saugos platforma, o ne tik žurnalų ir įvykių valdymo sistema, kuria jos pavadinimas privers patikėti.

Įsibrovimų prevencijos ypatybės „SolarWinds“ žurnalų ir renginių tvarkyklė veikia įgyvendinant veiksmus, vadinamus aktyviosiomis reakcijomis, kai tik nustatomos grėsmės. Skirtingi atsakymai gali būti susieti su konkrečiais perspėjimais. Pvz., Sistema gali rašyti į ugniasienės lenteles, kad užblokuotų šaltinio IP adreso, kuris buvo identifikuotas kaip įtartinos veiklos, prieigą prie tinklo. Įrankis taip pat gali sustabdyti vartotojo abonementus, sustabdyti ar pradėti procesus ir išjungti sistemas. Prisiminsite, kaip būtent tai buvo pirmiau nustatyti ištaisymo veiksmai.

Stiprybės ir silpnybės

Pasak Gartner, „Saulės vėjai“ Prisijungti ir renginių tvarkyklė „Siūlo gerai integruotą sprendimą, kuris ypač tinka mažoms ir vidutinėms įmonėms dėl paprastos architektūros, lengvo licencijavimo ir tvirto turinio bei funkcijų, neįtrauktų į rinkinį“. Įrankis yra keli įvykių šaltiniai ir siūlo tam tikras grėsmės ribojimo ir karantino kontrolės funkcijas, kurios dažniausiai nėra pasiekiamos iš konkuruojančių produktų.

Tačiau tyrimų įmonė taip pat pažymi, kad šis produktas yra uždara ekosistema, todėl jai kyla iššūkių integruoti su trečiųjų šalių saugumo sprendimais, tokiais kaip pažangus grėsmės aptikimas, grėsmės žvalgybos kanalai ir UEBA įrankiai. Kaip rašė firma: „Integracija su aptarnavimo stalo įrankiais taip pat apsiriboja vienpusiu ryšiu el. Paštu ir SNMP“.

Be to, produktas nepalaiko „SaaS“ aplinkos stebėjimo, o IaaS stebėjimas yra ribotas. Klientai, norintys išplėsti savo stebėjimą tinkluose ir programose, turi įsigyti kitų „SolarWinds“ produktų.

• NEMOKAMAS BANDYMAS: „SolarWinds“ žurnalų ir renginių tvarkyklė
• Atsisiuntimo nuoroda: https://www.solarwinds.com/log-event-manager-software/registration

Už ir prieš

Surinkome svarbiausius privalumus ir trūkumus, apie kuriuos pranešė „SolarWinds“ žurnalų ir įvykių valdytojai. Štai ką jie turi pasakyti.

Argumentai už

• Produktą yra nepaprastai lengva nustatyti. Jis buvo dislokuotas, o rąstiniai šaltiniai į tai atkreipė dėmesį ir per dieną atliko pagrindines koreliacijas.
• Automatiniai atsakymai, kurie yra pasiekiami įdiegus agentą, suteikia neįtikėtiną valdymą, kaip reaguoti į įvykius jūsų tinkle.
• Įrankio sąsaja yra patogi vartotojui. Kai kurie konkuruojantys produktai gali bijoti išmokti naudoti ir priprasti prie, tačiau „SolarWinds“ žurnalų ir renginių tvarkyklė turi intuityvų išdėstymą ir yra labai lengvas pasiimti ir naudoti.

Minusai

• Produkte nėra pasirinktinio analizatoriaus. Jūsų tinkle neišvengiamai bus produktas, kurį „SolarWinds“ žurnalų ir renginių tvarkyklė nežinosiu, kaip parsiduoti. Dėl šios priežasties kai kurie konkuruojantys sprendimai pasitelkia pasirinktinius analizatorius. Šis produktas nepalaiko tinkintų analizatorių kūrimo, todėl nežinomi žurnalo formatai nepakeičiami.
• Įrankis kartais gali būti per daug paprastas. Tai puikus įrankis atlikti pagrindines koreliacijas mažo ir vidutinio dydžio aplinkoje. Tačiau jei bandysite per daug pažengti dėl koreliacijų, kurias bandote atlikti, galite nusivilti, kad įrankis nefunkcionuoja, daugiausia dėl to, kaip jis analizuoja duomenis.

Kainų nustatymas ir licencijavimas

„SolarWinds Log & Event Manager“ kainos skiriasi priklausomai nuo stebimų mazgų skaičiaus. Kainos prasideda nuo 4585 USD iki 30 stebimų mazgų, o licencijas iki 2500 mazgų galima įsigyti su keliomis licencijavimo pakopomis, todėl produktas yra labai keičiamas. Jei norite paimti produktą bandomam važiavimui ir įsitikinkite patys, jei jums tai tinka, galite nemokamai naudotis visaverčiu 30 dienų bandomuoju periodu.

Splunk yra galbūt viena populiariausių įsibrovimų prevencijos sistemų. Tai galima įsigyti keliais skirtingais leidimais, sportuojančiais skirtingais funkcijų rinkiniais. „Splunk“ įmonių saugaArba Splunk ES, kaip ji dažnai vadinama, yra tai, ko jums reikia tikrajai įsibrovimų prevencijai. Į tai mes žiūrime šiandien. Programinė įranga stebi jūsų sistemos duomenis realiu laiku, ieškodama pažeidžiamumų ir nenormalios veiklos požymių. Nors jos tikslas užkirsti kelią įsibrovimams yra panašus į „Saulės vėjai“, Skiriasi tai, kaip tai pasiekiama.

Atsakas į saugumą yra vienas iš SplunkStiprūs kostiumai ir būtent tai daro ją įsilaužimo prevencijos sistema ir alternatyva „Saulės vėjai“ produktas ką tik peržiūrėtas. Jis naudoja tai, ką pardavėjas vadina Adaptyvioji reagavimo sistema (ARF). Įrankis integruotas su daugiau nei 55 saugos tiekėjų įranga ir gali atlikti automatinį atsakymą, pagreitindamas rankinius veiksmus ir užtikrindamas greitesnę reakciją. Automatizuoto ištaisymo ir rankinio įsikišimo derinys suteikia geriausias galimybes greitai įgyti aukštesnįjį pelną. Įrankis turi paprastą ir neužtikrintą vartotojo sąsają, todėl sprendimas bus naudingas. Kitos įdomios apsaugos funkcijos yra „PažymėtinaFunkcija, rodanti vartotojo pritaikomus įspėjimus ir „Turto tyrėjas“Už žalingos veiklos žymėjimą ir tolesnių problemų prevenciją.

Stiprybės ir silpnybės

SplunkDidžioji partnerio ekosistema suteikia integraciją ir Splunk- specifinis turinys per „Splunkbase“ programėlių parduotuvė. Pilnas pardavėjo sprendimų rinkinys taip pat leidžia vartotojams ilgainiui peraugti į platformą, o išplėstinės analizės galimybės įvairiais būdais pasiekiamos Splunk ekosistema.

Neigiama linkme, Splunk nesiūlo įrenginio sprendimo versijos, o „Gartner“ klientai išreiškė susirūpinimą dėl licencijavimo modelio ir diegimo išlaidų - atsakydami, Splunk pristatė naujus licencijavimo metodus, įskaitant Įmonių priėmimo susitarimą (EAA).

Už ir prieš

Kaip ir mes darėme su ankstesniu produktu, čia pateikiame svarbiausių privalumų ir trūkumų sąrašą, apie kuriuos pranešė Splunk.

Argumentai už

• Įrankis labai gerai kaupia žurnalus iš visų tipų mašinų - dauguma alternatyvių produktų to nedaro taip pat.
• Splunk vartotojui suteikia vaizdų, suteikiant jiems galimybę transformuoti žurnalus į vaizdinius elementus, pavyzdžiui, lentelių diagramas, grafikus, lenteles ir kt.
• Jis labai greitai praneša ir įspėja apie anomalijas. Vėluojama mažai.

Minusai

• SplunkPaieškos kalba yra labai gili. Tačiau atliekant sudėtingesnį formatavimą ar statistinę analizę, reikia šiek tiek išmokti kreivę. Splunk mokymai gali būti naudojami ieškant kalbos ir mokant manipuliuoti savo duomenimis, tačiau gali kainuoti nuo 500 USD iki 1 500,00 USD.
• Įrankių prietaisų skydelio galimybės yra gana geros, tačiau įdomesnėms vizualizacijoms atlikti reikia šiek tiek tobulėjimo, naudojant paprastus XML, „Javascript“ ir CSS.
• Pardavėjas labai greitai išleidžia nedidelius pakeitimus, tačiau dėl daugybės klaidų, su kuriomis susidūrėme, turėjome atnaujinti savo aplinką keturis kartus per devynis mėnesius.

Kainų nustatymas ir licencijavimas

„Splunk“ įmonėKainos nustatomos atsižvelgiant į tai, kiek duomenų jums kasdien siunčiate. Jis prasideda nuo 150 USD / mėn., Kai sunaudojama iki 1 GB dienos duomenų. Galimos nuolaidos. Į šią kainą įeina neribotas vartotojų skaičius, neribotos paieškos, paieška realiuoju laiku, analizė ir vizualizacija, stebėjimas ir perspėjimas, standartinis palaikymas ir dar daugiau. Jei norite gauti išsamią kainą, turėsite susisiekti su „Splunk“ pardavėjais. Kaip ir dauguma tokio tipo kainų diapazono produktų, nemokama bandomoji versija yra prieinama tiems, kurie norėtų išbandyti produktą.

Kas buvo pasakyta apie du produktus?

IT centrinės stoties vartotojai duoda „Saulės vėjai“ 9 iš 10 ir Splunk 8 iš 10. Tačiau „Gartner Peer Insights“ vartotojai atvirkščiai nurodo užsakymą Splunk 4,3 iš 5 ir „Saulės vėjai“ 4 iš 5.

Tai rašė „Foxhole Technology“ sistemos inžinierius Jeffrey Robinette „Saulės vėjai“„Neperduodamos ataskaitos ir informacijos suvestinė yra svarbiausias pranašumas, pažymint, kad„ Tai leidžia mums greitai stebėti prieigą ir kibernetines ataskaitas. Nebeieškokite žurnalų kiekviename serveryje. “

Palyginti su Splunk, Tą pasakė Robinette „Saulės vėjai“ jam nereikia daug tinkinti, o jo kainos yra mažesnės, kol jis rašė Splunk kad „jums reikia daktaro dėl ataskaitų tinkinimo “.

Raului Lapazui, vyresniajam IT saugumo tarnybos darbuotojui Ročė, tuo tarpu Splunk nėra pigu, todėl verta naudotis dėl patogumo, mastelio, stabilumo, paieškos variklio greičio ir suderinamumo su įvairiais duomenų šaltiniais.

Tačiau „Lapaz“ atkreipė dėmesį į keletą trūkumų, įskaitant, pavyzdžiui, tai, kad grupių valdymą galima atlikti tik naudojant komandinę eilutę ir kad leidimai nėra labai lankstūs. Jis rašė: „Būtų malonu turėti išsamesnių variantų, tokių kaip dvigubo faktoriaus autentifikavimas“.