6 beste verktøy for sikkerhetsinformasjon og hendelsesstyring (SIEM) som er verdt å sjekke ut i 2020

Det er en jungel der ute! Personer med dårlig intensjon er overalt, og de er etter deg. Vel, sannsynligvis ikke deg personlig, men heller dataene dine. Det er ikke lenger bare virus vi må beskytte mot, men alle slags angrep som kan forlate nettverket ditt - og din organisasjon - i en alvorlig situasjon. På grunn av spredning av forskjellige beskyttelsessystemer som antivirus, brannmurer og inntrengingsdeteksjon systemer, nettverksadministratorer er nå oversvømmet av informasjon som de må korrelere for å prøve å være fornuftig av det. Det er her SIEM-systemer (Security Information and Event Management) er nyttige. De takler det meste av det grusomme arbeidet med å håndtere for mye informasjon. For å gjøre jobben din med å velge en SIEM enklere, presenterer vi de beste verktøyene for sikkerhetsinformasjon og hendelsesstyring (SIEM).

I dag begynner vi analysen med å diskutere den moderne trusselscenen. Som vi sa, det er ikke lenger bare virus lenger. Deretter vil vi prøve å forklare hva SIEM er nøyaktig og snakke om de forskjellige komponentene som lager et SIEM-system. Noen av dem kan være viktigere enn andre, men deres relative betydning kan være forskjellig for forskjellige mennesker. Og til slutt presenterer vi vårt utvalg av de seks beste SIEM-verktøyene (Sikkerhetsinformasjon og begivenhetsadministrasjon) og går gjennom hvert kort.

Den moderne trusselscenen

Datasikkerhet pleide å være omtrent virusbeskyttelse. Men de siste årene har flere forskjellige typer angrep blitt avdekket. De kan ta form av angrep på avslag på tjenester, datatyveri og mange flere. Og de kommer ikke lenger bare utenfra. Mange angrep stammer fra et nettverk. Så for den ultimate beskyttelsen er det blitt oppfunnet forskjellige typer beskyttelsessystemer. I tillegg til det tradisjonelle antivirus- og brannmuren har vi nå for eksempel systemer for inntrenging av deteksjon og datatap (IDS og DLP).

Selvfølgelig, jo mer du legger til systemer, jo mer arbeid har du med å administrere dem. Hvert system overvåker noen spesifikke parametere for abnormiteter og vil logge dem og / eller utløse varsler når de blir oppdaget. Ville det ikke være fint hvis overvåkingen av alle disse systemene kunne automatiseres? Videre kan noen typer angrep oppdages av flere systemer når de går gjennom forskjellige stadier. Ville det ikke være mye bedre hvis du da kunne svare på alle relaterte hendelser som en? Dette er akkurat hva SIEM handler om.

Hva er SIEM, nøyaktig?

Navnet sier alt. Sikkerhetsinformasjon og hendelsesstyring er prosessen med å håndtere sikkerhetsinformasjon og hendelser. Konkret gir ikke et SIEM-system noen beskyttelse. Dets primære formål er å gjøre livet til nettverks- og sikkerhetsadministratorer enklere. Hva et typisk SIEM-system virkelig gjør er å samle informasjon fra ulike beskyttelse og deteksjoner systemer, korrelere all denne informasjonen som samler relaterte hendelser, og reagerer på meningsfylte hendelser i ulike måter. Ofte vil SIEM-systemer også inkludere en form for rapportering og dashbord.

De essensielle komponentene i et SIEM-system

Vi er i ferd med å utforske hver større komponent i et SIEM-system i dypere detaljer. Ikke alle SIEM-system inkluderer alle disse komponentene, og selv når de gjør det, kan de ha forskjellige funksjoner. Imidlertid er de de mest grunnleggende komponentene som man vanligvis vil finne, i en eller annen form, i ethvert SIEM-system.

Loggsamling og styring

Loggsamling og styring er hovedkomponenten i alle SIEM-systemer. Uten det er det ingen SIEM. SIEM-systemet må skaffe loggdata fra en rekke forskjellige kilder. Den kan enten trekke den, eller forskjellige deteksjons- og beskyttelsessystemer kan skyve den til SIEM. Siden hvert system har sin egen måte å kategorisere og registrere data, er det opp til SIEM å normalisere data og gjøre dem enhetlige, uansett hva kilden er.

Etter normalisering vil loggede data ofte sammenlignes med kjente angrepsmønstre i et forsøk på å gjenkjenne ondsinnet oppførsel så tidlig som mulig. Data vil også ofte bli sammenlignet med tidligere innsamlede data for å bidra til å bygge en baseline som vil forbedre unormal aktivitetsdeteksjon ytterligere.

Hendelsesrespons

Når en hendelse er oppdaget, må det gjøres noe med det. Dette er hva begivenhetsresponsmodulen for SIEM-systemet handler om. Arrangementsvaret kan ha forskjellige former. I sin mest grunnleggende implementering vil det bli generert en varselmelding på systemets konsoll. Ofte kan det også genereres e-post- eller SMS-varsler.

Men de beste SIEM-systemene går et skritt videre og vil ofte sette i gang en eller annen utbedringsprosess. Igjen, dette er noe som kan ta mange former. De beste systemene har et komplett arbeidsflyt-system for hendelsesrespons som kan tilpasses for å gi nøyaktig svaret du ønsker. Og som man kunne forvente, trenger ikke hendelsesrespons være ensartet og forskjellige hendelser kan utløse forskjellige prosesser. De beste systemene vil gi deg full kontroll over arbeidsflyten for hendelsesrespons.

rapportering

Når du har loggsamlingen og styringen og responssystemene på plass, rapporterer den neste byggesteinen du trenger. Du vet kanskje ikke det ennå, men du trenger rapporter. Den øverste ledelsen vil trenge dem for å se selv at investeringene deres i et SIEM-system lønner seg. Du kan også trenge rapporter for samsvar. Å overholde standarder som PCI DSS, HIPAA eller SOX kan lindres når SIEM-systemet ditt kan generere samsvarsrapporter.

Rapporter er kanskje ikke kjernen i et SIEM-system, men likevel er det en viktig komponent. Og ofte vil rapportering være en vesentlig skille faktor mellom konkurrerende systemer. Rapporter er som godteri, du kan aldri ha for mange. Og selvfølgelig vil de beste systemene la deg lage tilpassede rapporter.

Dashbord (er)

Sist, men ikke minst, vil dashbordet være vinduet ditt til statusen til SIEM-systemet. Og det kan til og med være flere dashboards. Fordi forskjellige personer har forskjellige prioriteringer og interesser, vil det perfekte dashbordet for en nettverksadministrator være forskjellig fra det som en sikkerhetsadministrator. Og en leder vil trenge en helt annen også.

Selv om vi ikke kan evaluere et SIEM-system ut fra antall dashbord det har, må du velge et som har alle dashbordene du trenger. Dette er definitivt noe du vil huske når du vurderer leverandører. Og akkurat som med rapporter, vil de beste systemene la deg bygge tilpassede dashboards til din smak.

Våre topp 6 SIEM-verktøy

Det er mange SIEM-systemer der ute. Altfor mange for å kunne gjennomgå dem alle her. Så vi har søkt på markedet, sammenlignet systemer og bygget en liste over det vi fant å være de seks beste sikkerhetsinformasjons- og administrasjonsverktøyene (SIEM). Vi viser dem i rekkefølgen og vi vil gjennomgå en kort beskrivelse av dem. Men til tross for deres bestilling, er alle seks utmerkede systemer som vi bare kan anbefale deg å prøve selv.

Dette er hva våre topp 6 SIEM-verktøy er

1. SolarWinds Log & Event Manager
2. Splunk Enterprise Security
3. RSA NetWitness
4. ArcSight Enterprise Security Manager
5. McAfee Enterprise Security Manager
6. IBM QRadar SIEM

SolarWinds er et vanlig navn i nettverksovervåkingsverdenen. Flaggskipets produkt, Network Performance Monitor, er et av de beste SNMP-overvåkingsverktøyene som er tilgjengelige. Selskapet er også kjent for sine mange gratis verktøy som Subnet Calculator eller deres SFTP-server.

SolarWinds 'SIEM-verktøy, the Logg og event manager (LEM) beskrives best som et entry-level SIEM-system. Men det er muligens et av de mest konkurransedyktige etableringssystemene på markedet. SolarWinds LEM har alt du kan forvente av et SIEM-system. Den har utmerkede lange styrings- og korrelasjonsfunksjoner og en imponerende rapporteringsmotor.

Når det gjelder verktøyets hendelsesresponsfunksjoner, overlater de ingenting å være ønsket. Det detaljerte reaksjonssystemet i sanntid vil aktivt reagere på enhver trussel. Og siden det er basert på atferd snarere enn signatur, er du beskyttet mot ukjente eller fremtidige trusler.

Men verktøyets instrumentbord er muligens det beste aktivumet. Med en enkel design har du ingen problemer med å raskt identifisere avvik. Fra rundt 4 500 dollar er verktøyet mer enn rimelig. Og hvis du vil prøve det først, en gratis fullt funksjonell 30-dagers prøveversjon versjonen er tilgjengelig for nedlasting.

2. Splunk Enterprise Security

Muligens et av de mest populære SIEM-systemene, Splunk Enterprise Security–Eller Splunk ES, som det ofte kalles, er spesielt kjent for sine analytiske evner. Splunk ES overvåker systemets data i sanntid og ser etter sårbarheter og tegn på unormal aktivitet.

Sikkerhetsrespons er en annen av Splunk ES 'sterke drakter. Systemet bruker det Splunk kaller Adaptive Response Framework (ARF) som integreres med utstyr fra mer enn 55 sikkerhetsleverandører. ARF utfører automatisert respons og fremskynder manuelle oppgaver. Dette vil la deg raskt få overtaket. Legg til det et enkelt og ryddig brukergrensesnitt, så har du en vinnende løsning. Andre interessante funksjoner inkluderer Notables-funksjonen som viser advarsler som kan tilpasses brukeren og Asset Investigator for å flagge ondsinnede aktiviteter og forhindre ytterligere problemer.

Splunk ES er virkelig et produkt av bedriftskvalitet, og det kommer med en prislapp i størrelse på bedriften. Du kan ikke en gang få prisinformasjon fra Splunk's nettsted. Du må kontakte salgsavdelingen for å få en pris. Til tross for prisen er dette et flott produkt, og det kan være lurt å kontakte Splunk og dra nytte av en gratis prøveperiode.

3. RSA NetWitness

Siden 20016 har NetWitness fokusert på produkter som støtter "dyp, sanntids nettverkssituasjonsbevissthet og smidig nettverksrespons". Etter å ha blitt kjøpt opp av EMC som deretter fusjonerte med Dell, er Newitness-virksomheten nå en del av RSA-filialen til selskapet. Og dette er gode nyheter RSA er et kjent navn i sikkerhet.

RSA NetWitness er ideell for organisasjoner som søker en komplett nettverksanalyseløsning. Verktøyet inneholder informasjon om bedriften din som hjelper deg med å prioritere varsler. I følge RSA "samler systemet inn data på flere fangstpunkter, databehandlingsplattformer og kilder til trusselinformasjon enn andre SIEM-løsninger". Det er også avansert trusselregistrering som kombinerer atferdsanalyse, datavitenskapsteknikker og trusselinformasjon. Og til slutt, det avanserte responssystemet kan skryte av orkestrering og automatisering evner for å bli kvitt utrydding av trusler før de påvirker virksomheten din.

En av de største ulempene med RSA NetWitness er at det ikke er det enkleste å bruke og konfigurere. Det er imidlertid tilgjengelig dokumentasjon som kan hjelpe deg med å sette opp og bruke produktet. Dette er et annet produkt i bedriftsklasse, og du må kontakte salg for å få prisinformasjon.

4. ArcSight Enterprise Security Manager

ArcSight Enterprise Security Manager hjelper deg med å identifisere og prioritere sikkerhetstrusler, organisere og spore hendelsesresponsaktiviteter og forenkle revisjons- og etterlevelsesaktiviteter. Tidligere solgt under HP-merket, har det nå fusjonert med Micro Focus, et annet HP-datterselskap.

Etter å ha eksistert i mer enn femten år, er ArcSight et annet utrolig populært SIEM-verktøy. Den samler loggdata fra forskjellige kilder og utfører omfattende dataanalyse, og leter etter tegn på ondsinnet aktivitet. For å gjøre det enkelt å identifisere trusler raskt, kan du se de virkelige analyseresultatene.

Her er en oversikt over produktets hovedfunksjoner. Den har kraftig distribuert sanntids datakorrelasjon, arbeidsflytautomatisering, sikkerhetsorkestrering og samfunnsdrevet sikkerhetsinnhold. Enterprise Security Manager integrerer også med andre ArcSight-produkter som ArcSight Data Platform og Event Broker eller ArcSight Investigate. Dette er et annet enterprise-grade produkt - som stort sett alle kvalitets SIEM-verktøy - som krever at du kontakter ArcSights salgsteam for å få prisinformasjon.

5. McAfee Enterprise Security Manager

McAfee er absolutt et annet husholdningsnavn i sikkerhetsbransjen. Imidlertid er det bedre kjent for sine virusbeskyttelsesprodukter. De Enterprise sikkerhetssjef er ikke bare programvare. Det er faktisk et apparat. Du kan få det i virtuell eller fysisk form.

Når det gjelder analysefunksjonene, er McAfee Enterprise Security Manager ansett som et av de beste SIEM-verktøyene av mange. Systemet samler logger over et bredt spekter av enheter. Når det gjelder normaliseringsfunksjonene, er det også helt topp. Korrelasjonsmotoren kompilerer enkelt forskjellige datakilder, noe som gjør det lettere å oppdage sikkerhetshendelser når de skjer

For å være sant, er det mer med McAfee-løsningen enn bare Enterprise Security Manager. For å få en komplett SIEM-løsning trenger du også Enterprise Log Manager og hendelsesmottaker. Heldigvis kan alle produktene pakkes i et enkelt apparat. For deg som kanskje vil prøve produktet før du kjøper det, er en gratis prøveversjon tilgjengelig.

6. IBM QRadar

IBM, muligens det mest kjente navnet i IT-bransjen, har klart å etablere sin SIEM-løsning, IBM QRadar er et av de beste produktene på markedet. Verktøyet gir sikkerhetsanalytikere mulighet til å oppdage avvik, avdekke avanserte trusler og fjerne falske positiver i sanntid.

IBM QRadar har en serie funksjoner for loggadministrasjon, datainnsamling, analyse og inntrenging. Sammen hjelper de å holde nettverksinfrastrukturen i gang. Det er også risikomodellerende analyser som kan simulere potensielle angrep.

Noen av QRadars viktigste funksjoner inkluderer muligheten til å distribuere løsningen på stedet eller i et skymiljø. Det er en modulløs løsning, og man kan raskt og billig legge til mer lagring av prosessorkraft. Systemet bruker etterretningskompetanse fra IBM X-Force og integreres sømløst med hundrevis av IBM og ikke-IBM-produkter.

IBM er IBM, kan du forvente å betale en premiumpris for SIEM-løsningen deres. Men hvis du trenger et av de beste SIEM-verktøyene på markedet, kan QRadar meget vel være verdt investeringen.

For å konkludere

Det eneste problemet du risikerer når du handler etter det beste SIEM-verktøyet (Security Information and Event Monitoring) er overfloden av utmerkede alternativer. Vi har nettopp introdusert de seks beste. Alle av dem er utmerkede valg. Den du velger vil i stor grad avhenge av dine nøyaktige behov, budsjettet og tiden du er villig til å sette i gang med å sette det opp. Akk, den innledende konfigurasjonen er alltid den vanskeligste delen, og det er her ting kan gå galt for hvis et SIEM-verktøy ikke er riktig konfigurert, vil det ikke kunne gjøre jobben sin ordentlig.

Tekst 50 - 2300