SolarWinds Log & Event Manager vs Splunk - En sammenlignende anmeldelse

En av de viktigste - om ikke DE viktigste - eiendelene til mange av dagens organisasjoner er dataene deres. Det er så viktig og verdifullt at mange personer eller organisasjoner som ikke har til hensikt å gjøre det veldig for å stjele dyrebare data. De gjør det slik at de bruker en lang rekke teknikker og teknologier for å få uautorisert tilgang til nettverk og systemer. Antallet slike forsøk ser ut til å vokse eksponentielt hele tiden. For å forhindre det blir systemer som kalles Intrusion Prevention Systems, eller IPS, distribuert av bedrifter som ønsker å beskytte dataene sine. De SolarWinds Log & Event Manager i tillegg til Splunker to ukonvensjonelle produkter på den arenaen. I dag sammenligner vi de to.

Vi begynner undersøkelsen vår med å se på forebygging av inntrenging generelt. Det vil bidra til å sette bordet for hva som kommer. Vi vil prøve å holde det så teknisk som mulig. Ideen vår er ikke å gjøre deg til eksperter for forebygging av inntrenging, men snarere å sikre at vi alle er på samme side da vi utforsker begge produktene videre. Snakker om å utforske produktene, det er dette vi har neste gang. Vi skal først beskrive hovedfunksjonene i SolarWinds Log & Event Manager, vi følger etter ved å se på produktets styrke og svakheter og fordeler og ulemper, som rapportert av brukere av plattformen, og vi vil avslutte vår oversikt over produktet ved å se på prisene og lisensen struktur. Vi vil deretter gjennomgå Splunk ved å bruke et identisk format med produktfunksjonene, dens styrker og svakheter, dens fordeler og ulemper og prisstruktur. Til slutt vil vi avslutte med hva brukere har å si om de to produktene.

Forebygging av inntrenging - Hva handler dette om?

For mange år siden var virus stort sett de eneste bekymringene til systemadministratorer. Virus kom til et punkt hvor de var så vanlige at industrien reagerte med å utvikle virusbeskyttelsesverktøy. I dag ville ingen seriøs bruker i hans rette sinn tenke på å kjøre en datamaskin uten virusbeskyttelse. Selv om vi ikke hører mye av virus lenger, er inntrenging - eller uautorisert tilgang til dataene dine fra ondsinnede brukere - en ny trussel. Med data som ofte er organisasjonens viktigste ressurs, har bedriftsnettverk blitt målet for hackere som ikke har til hensikt å legge til rette for å få tilgang til data. Akkurat som virusbeskyttelsesprogramvare var svaret på spredning av virus, er Intrusion Prevention Systems svaret på inntrengerangrep.

Innbruddsforebyggende systemer gjør egentlig to ting. Først oppdager de innbruddsforsøk, og når de oppdager mistenkelige aktiviteter, bruker de forskjellige metoder for å stoppe eller blokkere det. Det er to forskjellige måter inntrengningsforsøk kan oppdages. Signaturbasert deteksjon fungerer ved å analysere nettverkstrafikk og data og lete etter spesifikke mønstre assosiert med inntrengningsforsøk. Dette ligner på tradisjonelle virusbeskyttelsessystemer som er avhengige av virusdefinisjoner. Signaturbasert intrusjonsdeteksjon er avhengig av intrusjonssignaturer eller -mønstre. Den største ulempen med denne oppdagelsesmetoden er at den trenger de riktige signaturene som skal lastes inn i programvaren. Og når en ny angrepsmetode, er det vanligvis en forsinkelse før angrepsunderskrifter blir oppdatert. Noen leverandører er veldig raske med å gi oppdaterte angrepsunderskrifter, mens andre er mye tregere. Hvor ofte og hvor raskt signaturer blir oppdatert er en viktig faktor du må ta i betraktning når du velger en leverandør.

Anomalibasert deteksjon gir bedre beskyttelse mot angrep på null dager, de som skjer før signaturer for påvisning har hatt en sjanse til å bli oppdatert. Prosessen ser etter anomalier i stedet for å prøve å gjenkjenne kjente innbruddsmønstre. For eksempel ville det blitt utløst hvis noen prøvde å få tilgang til et system med et galt passord flere ganger på rad, et vanlig tegn på et brute force-angrep. Dette er bare et eksempel, og det er vanligvis hundrevis av forskjellige mistenkelige aktiviteter som kan utløse disse systemene. Begge deteksjonsmetodene har fordeler og ulemper. De beste verktøyene er de som bruker en kombinasjon av signatur og atferdsanalyse for den beste beskyttelsen.

Å oppdage inntrengingsforsøk er den første delen av å forhindre dem. Når det er oppdaget, fungerer innbruddsforebyggende systemer aktivt for å stoppe de oppdagede aktivitetene. Flere forskjellige utbedringshandlinger kan utføres av disse systemene. De kan for eksempel suspendere eller på annen måte deaktivere brukerkontoer. En annen typisk handling er å blokkere kildens IP-adresse til angrepet eller endre brannmurregler. Hvis skadelig aktivitet kommer fra en spesifikk prosess, kan forebyggingssystemet drepe prosessen. Å starte en viss beskyttelsesprosess er en annen vanlig reaksjon, og i verste fall kan hele systemer stenges ned for å begrense potensiell skade. En annen viktig oppgave for Intrusion Prevention Systems er å varsle administratorer, spille inn hendelsen og rapportere mistenkelige aktiviteter.

Passive forebygging av inntrengingstiltak

Mens inntrengningsforebyggende systemer kan beskytte deg mot mange typer angrep, slår ingenting gode, gammeldagse passive forebyggingstiltak. For eksempel er det å gi sterke passord en utmerket måte å beskytte mot mange inntrengninger. Et annet enkelt beskyttelsestiltak er å endre standardpassord for utstyr. Selv om det er sjeldnere i bedriftsnettverk - selv om det ikke er uhørt - har jeg bare sett for ofte internettportaler som fortsatt hadde standardadministratorpassord. Mens det er snakk om passord, er aldring av passord et annet konkret skritt som kan settes i verk for å redusere inntrengningsforsøk. Ethvert passord, også det beste, kan etter hvert bli sprukket, gitt nok tid. Aldring av passord sikrer at passord blir endret før de har blitt sprukket.

Solarwinds er et kjent navn innen nettverksadministrasjon. Det har et solid rykte for å lage noen av de beste verktøyene for nettverk og systemadministrasjon. Dets flaggskip produkt, Network Performance Monitor konsekvent score blant de beste verktøyene for overvåkning av båndbredde i nettverket. SolarWinds er også kjent for sine mange gratis verktøy, som hver for seg imøtekommer et spesifikt behov hos nettverksadministratorer. De Kiwi Syslog Server eller SolarWinds TFTP Server er to gode eksempler på disse gratis verktøyene.

Ikke la SolarWinds Log & Event ManagerNavnet lure deg. Det er mye mer enn det som møter øyet. Noen av de avanserte funksjonene i dette produktet kvalifiserer det som et inntrengingsdeteksjons- og forebyggingssystem, mens andre legger det inn i SIEM (Security Information and Event Management) -området. Verktøyet har for eksempel sanntidshendelseskorrelasjon og sanntidsoppretting.

• GRATIS PRØVEPERIODE: SolarWinds Log & Event Manager
• Last ned lenke: https://www.solarwinds.com/log-event-manager-software/registration

De SolarWinds Log & Event Manager har øyeblikkelig deteksjon av mistenkelig aktivitet (en funksjon for inntrengingsdeteksjon) og automatiserte svar (en funksjon for forebygging av inntrenging). Dette verktøyet kan også brukes til å utføre sikkerhetshendelsesundersøkelser og rettsmedisiner. Det kan brukes til avbøtnings- og overholdelsesformål. Verktøyet har revisjonsprøvd rapportering som også kan brukes til å demonstrere samsvar med forskjellige reguleringsrammer som HIPAA, PCI-DSS og SOX. Verktøyet har også overvåking av filintegritet og overvåkning av USB-enheter. Alle de avanserte funksjonene i programvaren gjør det mer til en integrert sikkerhetsplattform enn bare logg- og hendelsesstyringssystemet som navnet vil føre deg til å tro.

Funksjonene for forebygging av inntrenging av SolarWinds Log & Event Manager fungerer ved å implementere handlinger kalt Active Responses når trusler oppdages. Ulike svar kan kobles til spesifikke varsler. For eksempel kan systemet skrive til brannmurstabeller for å blokkere nettverkstilgangen til en kilde-IP-adresse som er identifisert som å utføre mistenkelige aktiviteter. Verktøyet kan også stoppe brukerkontoer, stoppe eller starte prosesser og slå av systemer. Du vil huske hvordan dette nettopp er saneringshandlingene vi identifiserte før.

Styrker og svakheter

I følge Gartner er Solarwinds Logg & Event Manager "Tilbyr en godt integrert løsning som passer spesielt godt for små og mellomstore bedrifter, takket være dens enkle arkitektur, enkle lisenser og robuste innhold og funksjoner utenfor boksen." Verktøyet flere hendelseskilder, og tilbyr noen trusselinneslutning og karantene-kontrollfunksjonalitet som ikke ofte er tilgjengelig fra konkurrerende produkter.

Imidlertid bemerker forskningsfirmaet at dette produktet er et lukket økosystem, noe som gjør det utfordrende å integrere med tredjeparts sikkerhetsløsninger som avansert trusselregistrering, trusselinformasjonsfeeds og UEBA verktøy. Som firmaet skrev: "Integrasjoner med service desk-verktøy er også begrenset til enveis tilkobling via e-post og SNMP".

Videre støttes ikke overvåkningen av SaaS-miljøer av produktet, og overvåkningen av IaaS er begrenset. Kunder som ønsker å utvide overvåkningen til nettverk og applikasjoner, må kjøpe andre SolarWinds-produkter.

• GRATIS PRØVEPERIODE: SolarWinds Log & Event Manager
• Last ned lenke: https://www.solarwinds.com/log-event-manager-software/registration

Fordeler og ulemper

Vi har samlet de viktigste fordeler og ulemper som brukere av SolarWinds Log & Event Managers har rapportert. Dette er hva de har å si.

Pros

• Produktet er utrolig enkelt å sette opp. Den ble distribuert og hadde loggkilder som pekte på den og utførte grunnleggende korrelasjoner i løpet av en dag.
• De automatiserte svarene som er tilgjengelige etter distribusjon av agenten gir deg utrolig kontroll til å svare på hendelser i nettverket ditt.
• Verktøyets grensesnitt er brukervennlig. Noen konkurrerende produkter kan være skremmende å lære å bruke og bli akklimatisert til, men SolarWinds Log & Event Manager har en intuitiv layout og er veldig enkel å plukke opp og bruke.

Ulemper

• Produktet har ingen tilpasset parser. Det vil uunngåelig være et produkt i nettverket ditt som SolarWinds Log & Event Manager vil ikke vite hvordan jeg skal parse. Noen konkurrerende løsninger utnytter tilpassede analysører av denne grunn. Dette produktet har ikke støtte for å lage tilpassede parsers, så ukjente loggformater forblir uparsede.
• Noen ganger kan verktøyet være for grunnleggende. Det er et utmerket verktøy for å utføre grunnleggende korrelasjoner i et lite til mellomstort miljø. Imidlertid, hvis du prøver å bli for avansert med korrelasjonene du prøver å utføre, kan du bli frustrert over verktøyets manglende funksjonalitet, som hovedsakelig skyldes måten den analyserer data.

Pris og lisensiering

Prisene for SolarWinds Log & Event Manager varierer basert på antall overvåkte noder. Prisene starter på $ 4585 for opptil 30 overvåkte noder, og lisenser for opptil 2500 noder kan kjøpes med flere lisensnivåer i mellom, noe som gjør produktet svært skalerbart. Hvis du vil ta produktet for en testkjøring og se selv om det er riktig for deg, en gratis full-featured 30-dagers prøveversjon er tilgjengelig.

Splunk er muligens et av de mest populære inntrengningsforebyggende systemene. Det er tilgjengelig i flere forskjellige utgaver med forskjellige funksjoner. Splunk Enterprise Security-eller Splunk ES, som det ofte kalles - er det du trenger for ekte inntrengningsforebygging. Og det er dette vi ser på i dag. Programvaren overvåker systemets data i sanntid og ser etter sårbarheter og tegn på unormal aktivitet. Selv om målet om å forhindre inntrenging ligner på Solarwinds', Måten det oppnår er forskjellig.

Sikkerhetsrespons er en av SplunkSterke dragter, og det er det som gjør det til et innbruddsforebyggende system og et alternativ til Solarwinds produktet nettopp anmeldt. Den bruker det leverandøren kaller Adaptive Response Framework (ARF). Verktøyet integreres med utstyr fra mer enn 55 sikkerhetsleverandører og kan utføre automatisert respons, fremskynde manuelle oppgaver og gi en raskere reaksjon. Kombinasjonen av automatisert sanering og manuell intervensjon gir deg de beste sjansene for raskt å få overtaket. Verktøyet har et enkelt og uklart brukergrensesnitt, noe som gir en vinnende løsning. Andre interessante beskyttelsesfunksjoner inkluderer “Notables”-Funksjonen som viser brukeren kan tilpasses varsler og“Asset Investigator”For å flagge ondsinnede aktiviteter og forhindre ytterligere problemer.

Styrker og svakheter

Splunk'S store partnerøkosystem gir integrasjon og Splunk-spesifikt innhold gjennom Splunkbase app Store. Leverandørens komplette pakke med løsninger gjør det også enkelt for brukere å vokse inn i plattformen over tid, og avanserte analysefunksjoner er tilgjengelige på en rekke måter gjennom hele Splunk økosystem.

Ulempen med, Splunk tilbyr ikke en enhetsversjon av løsningen, og Gartner-klienter har vakt bekymring for lisensmodellen og kostnadene for implementering - som svar, Splunk har introdusert nye lisenser tilnærminger, inkludert Enterprise Adoption Agreement (EAA).

Fordeler og ulemper

Som vi gjorde med det forrige produktet, her er en liste over de viktigste fordeler og ulemper som rapportert av brukere av Splunk.

Pros

• Verktøyet samler logger veldig bra fra nesten alle maskintyper - de fleste alternative produkter gjør ikke dette like bra.
• Splunk gir grafikk til brukeren, og gir dem muligheten til å transformere logger til visuelle elementer som kakediagrammer, grafer, tabeller osv.
• Det er veldig raskt i rapportering og varsling om avvik. Det er liten forsinkelse.

Ulemper

• SplunkSøkespråket går veldig dypt. Å gjøre noe av den mer avanserte formateringen eller statistiske analysene innebærer imidlertid litt av en læringskurve. Splunk trening er tilgjengelig for å lære søkespråket og manipulere dataene dine, men kan koste alt fra $ 500,00 til $ 1 500,00.
• Verktøyets dashbordfunksjoner er ganske anstendige, men for å gjøre mer spennende visualiseringer krever litt utvikling ved å bruke enkle XML, Javascript og CSS.
• Leverandøren slipper mindre revisjoner veldig raskt, men på grunn av det store antallet feil vi har hatt, må vi oppgradere miljøet fire ganger på ni måneder.

Pris og lisensiering

Splunk EnterprisePrisene er basert på hvor mye data du sender til den hver dag. Det starter på $ 150 / måned på opptil 1 GB daglig inntatt data. Volumrabatter er tilgjengelige. Denne prisen inkluderer ubegrensede brukere, ubegrensede søk, sanntidssøk, analyse og visualisering, overvåking og varsling, standard support og mer. Du må kontakte Splunk's salg for å få et detaljert tilbud. Som de fleste produkter i den slags prisklasse, er en gratis prøveversjon tilgjengelig for de som ønsker å prøve produktet.

Hva er sagt om de to produktene?

Brukere av IT Central Station gir Solarwinds en 9 av 10 og Splunk en 8 av 10. Imidlertid reverserer brukerne av Gartner Peer Insights ordren, gir Splunk en 4,3 av 5 og Solarwinds en 4 av 5.

Jeffrey Robinette, systemingeniør hos Foxhole Technology, skrev det Solarwinds‘Ut-av-boksen rapporter og dashbord er en nøkkelstyrke, og bemerker at“ Det gjør at vi kan overvåke tilgang og trekke cyberrapporter raskt. Ikke flere søk gjennom logger på hver server. "

Sammenlignet med Splunk, Robinette sa det Solarwinds krever ikke mye tilpasning, og prisene er lavere, mens han skrev om Splunk at “du trenger doktorgrad. på å tilpasse rapportene. ”

For Raul Lapaz, senior IT-sikkerhetsdrift på Roche, samtidig som Splunk er ikke billig, brukervennligheten, skalerbarheten, stabiliteten, søkemotorens hastighet og kompatibilitet med en rekke datakilder gjør det verdt det.

Lapaz påpekte imidlertid noen få mangler, inkludert for eksempel det faktum at klyngestyring bare kan gjøres via kommandolinjen, og at tillatelsene ikke er veldig fleksible. Han skrev: "Det ville være fint å ha flere kornformede alternativer, for eksempel dobbelfaktorautentisering".