6 najlepších bezpečnostných informácií a nástrojov na správu udalostí (SIEM), ktoré sa oplatí vyskúšať v roku 2020

Je tam džungľa! Neplánovaní jednotlivci sú všade a sú za vami. Pravdepodobne nie vy osobne, ale skôr vaše údaje. Nie sú to len vírusy, proti ktorým musíme chrániť, ale všetky druhy útokov, ktoré môžu opustiť vašu sieť - a vašu organizáciu - v nepriaznivej situácii. Kvôli množeniu rôznych ochranných systémov, ako sú antivírusy, brány firewall a detekcia narušenia systémy, správcovia sietí sú teraz zaplavení informáciami, ktoré musia korelovať a snažia sa dať zmysel z toho. Tu sa hodia systémy informačného zabezpečenia a správy udalostí (SIEM). Zvládajú väčšinu príšernej práce s príliš veľkým množstvom informácií. Aby sme vám uľahčili prácu pri výbere SIEM, predstavujeme vám tie najlepšie nástroje pre správu informácií a udalostí (SIEM).

Dnes začneme s analýzou diskusie o modernej scéne hrozieb. Ako sme už povedali, už to nie sú len vírusy. Potom sa pokúsime lepšie vysvetliť, čo je to SIEM, a hovoriť o rôznych komponentoch, ktoré tvoria systém SIEM. Niektoré z nich môžu byť dôležitejšie ako iné, ale ich relatívny význam sa môže líšiť pre rôznych ľudí. Nakoniec predstavíme výber šiestich najlepších nástrojov pre správu informácií a udalostí (SIEM) a každý z nich krátko preskúmame.

Moderná hrozebná scéna

Počítačová bezpečnosť bola len o ochrane pred vírusmi. Ale v posledných rokoch bolo odhalených niekoľko rôznych druhov útokov. Môžu mať formu útokov odmietnutia služby (DoS), krádeže údajov a mnoho ďalších. A už viac nepochádzajú zvonka. Mnoho útokov pochádza zo siete. Na účely konečnej ochrany boli vyvinuté rôzne typy ochranných systémov. Okrem tradičných antivírusových programov a brán firewall teraz máme napríklad systémy na detekciu narušenia a ochranu údajov (IDS a DLP).

Čím viac samozrejme pridávate systémy, tým viac práce máte na ich spravovaní. Každý systém monitoruje niektoré špecifické parametre abnormalít a zaznamená ich a / alebo spustí výstrahy, keď sa objavia. Nebolo by pekné, keby bolo možné monitorovať všetky tieto systémy? Niektoré systémy mohli navyše zistiť rôzne typy útokov, keď prechádzajú rôznymi fázami. Nebolo by oveľa lepšie, keby ste potom mohli reagovať na všetky súvisiace udalosti ako jednu? To je presne o čom je SIEM.

Čo je to presne SIEM?

Názov hovorí za všetko. Správa bezpečnostných informácií a udalostí je proces správy bezpečnostných informácií a udalostí. Konkrétne, systém SIEM neposkytuje žiadnu ochranu. Jeho primárnym účelom je uľahčiť život správcom sietí a bezpečnosti. Typický systém SIEM skutočne zbiera informácie z rôznych druhov ochrany a detekcie systémy, korelovať všetky tieto informácie zhromažďujúce súvisiace udalosti a reaguje na zmysluplné udalosti v systéme Windows XP rôznymi spôsobmi. Systémy SIEM často obsahujú aj určitú formu podávania správ a dashboardy.

Základné komponenty systému SIEM

Chystáme sa hlbšie preskúmať každú hlavnú súčasť systému SIEM. Nie všetky systémy SIEM obsahujú všetky tieto komponenty a aj keď áno, môžu mať odlišné funkcie. Sú však najzákladnejšími zložkami, ktoré by človek bežne našiel v akejkoľvek forme v akomkoľvek systéme SIEM.

Zber a správa protokolov

Zhromažďovanie a správa protokolov je hlavnou súčasťou všetkých systémov SIEM. Bez nej neexistuje SIEM. Systém SIEM musí získavať údaje denníka z rôznych zdrojov. Môže ho buď vytiahnuť, alebo ho môžu rôzne detekčné a ochranné systémy posunúť do systému SIEM. Pretože každý systém má svoj vlastný spôsob kategorizácie a zaznamenávania údajov, je na SIEM, aby normalizoval údaje a urobil ich jednotnými bez ohľadu na to, aký je ich zdroj.

Po normalizácii sa zaznamenané údaje často porovnávajú so známymi vzormi útokov v snahe čo najskôr rozpoznať škodlivé správanie. Údaje sa tiež často porovnávajú s predtým zozbieranými údajmi, aby sa pomohlo vybudovať základnú líniu, ktorá ďalej zlepší detekciu abnormálnej aktivity.

Reakcia na udalosť

Po zistení udalosti je potrebné s tým niečo urobiť. O tom je modul reakcie na udalosti pre systém SIEM. Reakcia na udalosť môže mať rôzne formy. Pri najzákladnejšej implementácii sa na konzole systému vygeneruje varovná správa. Často sa môžu generovať aj e-mailové alebo SMS upozornenia.

Najlepšie systémy SIEM však idú o krok ďalej a často začnú proces nápravy. Toto je opäť niečo, čo môže mať mnoho podôb. Najlepšie systémy majú kompletný systém workflow reakcií na incidenty, ktorý je možné prispôsobiť tak, aby poskytoval presne požadovanú odpoveď. Ako by sa dalo očakávať, reakcia na incidenty nemusí byť jednotná a rôzne udalosti môžu spustiť rôzne procesy. Najlepšie systémy vám poskytnú úplnú kontrolu nad pracovným tokom reakcie na incidenty.

hlásenie

Akonáhle budete mať zhromažďovanie a správu protokolov a systémy odpovedí, ďalším stavebným blokom, ktorý potrebujete, je podávanie správ. Možno to ešte nepoznáte, ale budete potrebovať správy. Vrcholový manažment ich bude musieť presvedčiť, že ich investície do systému SIEM sa vyplácajú. Možno budete potrebovať aj správy na účely zhody. Dodržiavanie noriem, ako sú PCI DSS, HIPAA alebo SOX, sa dá uľahčiť, keď váš systém SIEM dokáže generovať správy o zhode.

Správy nemusia byť jadrom systému SIEM, ale stále sú jednou z podstatných zložiek. Podávanie správ bude často hlavným rozlišujúcim faktorom medzi konkurenčnými systémami. Správy sú ako cukríky, nikdy ich nemáte príliš veľa. Najlepšie systémy vám samozrejme umožnia vytvárať vlastné prehľady.

Informačný panel

V neposlednom rade bude dashboard vaším oknom do stavu vášho systému SIEM. A mohlo by tam byť aj viac dashboardov. Pretože rôzni ľudia majú rôzne priority a záujmy, perfektný informačný panel pre správcu siete sa bude líšiť od správcu zabezpečenia. A výkonný pracovník bude potrebovať aj úplne iný.

Aj keď nemôžeme vyhodnotiť systém SIEM podľa počtu dashboardov, ktoré má, musíte si vybrať ten, ktorý obsahuje všetky dashboardy, ktoré potrebujete. Toto je určite niečo, na čo by ste mali pamätať pri hodnotení dodávateľov. A rovnako ako v prípade prehľadov, aj tie najlepšie systémy vám umožnia zostaviť prispôsobené dashboardy podľa vašich predstáv.

Naše top 6 nástrojov SIEM

Existuje veľa systémov SIEM. Príliš veľa, aby ich bolo možné všetky skontrolovať tu. Preskúmali sme teda trh, porovnali systémy a zostavili zoznam toho, čo sme zistili ako šesť najlepších nástrojov na správu a správu informácií o bezpečnosti (SIEM). Zoznamy uvádzame v poradí podľa preferencie a každú z nich krátko preskúmame. Ale napriek ich poradiu je všetkých šesť vynikajúcich systémov, ktoré môžeme iba odporučiť a vyskúšať sami.

Tu je to, čo je našich 6 najlepších nástrojov SIEM

1. Správca protokolov a udalostí SolarWinds
2. Splunk Enterprise Security
3. RSA NetWitness
4. ArcSight Enterprise Security Manager
5. McAfee Enterprise Security Manager
6. IBM QRadar SIEM

SolarWinds je bežný názov vo svete monitorovania sietí. Sieťový monitor výkonu je ich vlajkovým produktom, jedným z najlepších dostupných monitorovacích nástrojov SNMP. Spoločnosť je známa aj mnohými bezplatnými nástrojmi, ako sú kalkulačka podsiete alebo ich server SFTP.

Nástroj SIEM spoločnosti SolarWinds Správca protokolov a udalostí (LEM) je najlepšie opísaný ako vstupný systém SIEM. Je to však pravdepodobne jeden z najkonkurencieschopnejších systémov základnej úrovne na trhu. SolarWinds LEM má všetko, čo môžete od systému SIEM očakávať. Má vynikajúce funkcie pre správu a koreláciu a pôsobivý mechanizmus podávania správ.

Čo sa týka funkcií reakcie nástroja na udalosti, nenechávajú nič, čo by bolo potrebné. Podrobný systém reakcie v reálnom čase bude aktívne reagovať na každú hrozbu. A keďže je založená skôr na správaní ako na podpise, ste chránení pred neznámymi alebo budúcimi hrozbami.

Ale hlavný panel nástroja je pravdepodobne jeho najlepším prínosom. Vďaka jednoduchému dizajnu nebudete mať žiadne problémy s rýchlou identifikáciou anomálií. Od približne 4 500 dolárov je tento nástroj viac ako cenovo dostupný. A ak to chcete skúsiť ako prvé, bezplatná plne funkčná 30-dňová skúšobná verzia verzia je k dispozícii na stiahnutie.

2. Splunk Enterprise Security

Možno jeden z najpopulárnejších systémov SIEM, Splunk Enterprise Security- alebo Splunk ES, ako sa často nazýva - je obzvlášť známy svojimi analytickými schopnosťami. Splunk ES monitoruje údaje vášho systému v reálnom čase a hľadá zraniteľné miesta a príznaky abnormálnej aktivity.

Reakcia na bezpečnosť je ďalším zo silných oblekov spoločnosti Splunk ES. Systém používa to, čo Splunk nazýva Adaptive Response Framework (ARF), ktorý sa integruje so zariadeniami od viac ako 55 dodávateľov zabezpečenia. ARF vykonáva automatickú reakciu a zrýchľuje ručné úlohy. To vám umožní rýchlo získať navrch. Pridajte k tomu jednoduché a prehľadné užívateľské rozhranie a máte víťazné riešenie. Medzi ďalšie zaujímavé funkcie patrí funkcia Notables, ktorá zobrazuje varovania prispôsobiteľné používateľom a Asset Investigator na označovanie škodlivých aktivít a predchádzanie ďalším problémom.

Splunk ES je skutočne produkt podnikovej triedy a je dodávaný s cenovkou pre podniky. Na webovej stránke spoločnosti Splunk nemôžete získať ani informácie o cenách. Ak chcete získať cenu, musíte sa obrátiť na obchodné oddelenie. Napriek svojej cene je to skvelý produkt a možno budete chcieť kontaktovať spoločnosť Splunk a využiť bezplatnú skúšobnú verziu.

3. RSA NetWitness

Od roku 20016 sa spoločnosť NetWitness zameriava na produkty podporujúce „hlbokú situačnú informovanosť o sieťach v reálnom čase a agilnú reakciu na sieť“. Po získaní spoločnosťou EMC, ktorá sa potom zlúčila so spoločnosťou Dell, je podnik Newitness súčasťou pobočky RSA spoločnosti. A to je dobrá správa RSA je známe meno v oblasti bezpečnosti.

RSA NetWitness je ideálny pre organizácie hľadajúce kompletné riešenie sieťovej analýzy. Tento nástroj obsahuje informácie o vašej firme, ktoré pomáhajú pri prioritách upozornení. Podľa RSA systém „zbiera údaje na viacerých miestach snímania, počítačových platformách a zdrojoch informácií o hrozbách ako iné riešenia SIEM“. K dispozícii je tiež pokročilá detekcia hrozieb, ktorá kombinuje analýzu správania, techniky vedy o údajoch a spravodajstvo o hrozbách. A nakoniec, pokročilý systém odpovedí sa môže pochváliť funkciami orchestrácie a automatizácie, ktoré vám pomôžu zbaviť sa eradikovaných hrozieb skôr, ako ovplyvnia vaše podnikanie.

Jednou z hlavných nevýhod technológie RSA NetWitness je, že nie je najjednoduchšie ju používať a konfigurovať. K dispozícii je však komplexná dokumentácia, ktorá vám môže pomôcť s nastavením a používaním produktu. Toto je ďalší produkt podnikovej triedy. Ak chcete získať informácie o cenách, musíte sa obrátiť na predaj.

4. ArcSight Enterprise Security Manager

ArcSight Enterprise Security Manager pomáha pri identifikácii a určovaní priorít bezpečnostných hrozieb, organizovaní a sledovaní činností v oblasti reakcie na incidenty a pri zjednodušovaní auditu a činností súvisiacich s dodržiavaním predpisov. Pôvodne sa predávala pod značkou HP a teraz sa zlúčila s Micro Focus, ďalšou dcérskou spoločnosťou HP.

ArcSight je už viac ako pätnásť rokov a je ďalším nesmierne obľúbeným nástrojom SIEM. Zostavuje údaje denníka z rôznych zdrojov a vykonáva rozsiahlu analýzu údajov a hľadá príznaky škodlivej činnosti. Na uľahčenie rýchlej identifikácie hrozieb si môžete pozrieť výsledky analýzy real0tme.

Tu je prehľad hlavných funkcií produktov. Má výkonnú distribuovanú koreláciu údajov v reálnom čase, automatizáciu pracovných postupov, organizáciu zabezpečenia a obsah zabezpečenia riadený komunitou. Enterprise Security Manager sa tiež integruje s inými produktmi ArcSight, ako je dátová platforma ArcSight a Event Broker alebo ArcSight Investigate. Toto je ďalší produkt podnikovej triedy - ako takmer všetky kvalitné nástroje SIEM -, ktorý bude vyžadovať kontaktovanie obchodného tímu ArcSight, aby ste získali informácie o cenách.

5. McAfee Enterprise Security Manager

McAfee je určite ďalším menom domácnosti v bezpečnostnom priemysle. Je však lepšie známy pre svoje produkty na ochranu pred vírusmi. Manažér podnikovej bezpečnosti nie je iba softvér. V skutočnosti je to spotrebič. Môžete ho získať vo virtuálnej alebo fyzickej podobe.

Čo sa týka analytických schopností, je McAfee Enterprise Security Manager mnohými považovaný za jeden z najlepších nástrojov SIEM. Systém zhromažďuje denníky na širokom spektre zariadení. Pokiaľ ide o jeho normalizačné schopnosti, je to tiež prvotriedny výkon. Korelačný modul ľahko zostavuje rôzne zdroje údajov, čo uľahčuje zisťovanie bezpečnostných udalostí pri ich výskyte

Je pravda, že riešenie McAfee má viac ako len jeho Enterprise Security Manager. Na získanie kompletného riešenia SIEM potrebujete tiež Enterprise Log Manager a Event Receiver. Našťastie môžu byť všetky výrobky balené do jedného zariadenia. Pre tých z vás, ktorí si možno želajú produkt vyskúšať pred jeho zakúpením, je k dispozícii bezplatná skúšobná verzia.

6. IBM QRadar

IBM, pravdepodobne najznámejší názov v IT priemysle, dokázala vytvoriť svoje riešenie SIEM, IBM QRadar je jedným z najlepších produktov na trhu. Tento nástroj umožňuje analytikom v oblasti bezpečnosti zisťovať anomálie, odhaľovať pokročilé hrozby a odstraňovať falošné poplachy v reálnom čase.

IBM QRadar sa môže pochváliť balíkom funkcií správy protokolov, zhromažďovania údajov, analýzy a detekcie narušenia. Spoločne pomáhajú udržiavať sieťovú infraštruktúru v prevádzke. Existuje tiež analytika modelovania rizika, ktorá môže simulovať potenciálne útoky.

Medzi kľúčové vlastnosti QRadaru patrí možnosť nasadenia riešenia v priestoroch alebo v cloudovom prostredí. Je to modulárne riešenie a je možné rýchlo a lacno pridať ďalšie úložné kapacity výpočtovej energie. Systém využíva expertízu inteligencie od IBM X-Force a bez problémov sa integruje so stovkami produktov IBM a non-IBM.

Keďže IBM je IBM, môžete očakávať, že za svoje riešenie SIEM zaplatíte prémiovú cenu. Ale ak potrebujete jeden z najlepších nástrojov SIEM na trhu, QRadar by sa mal veľmi dobre oplatiť investovať.

Na záver

Jediným problémom, ktorý riskujete pri nakupovaní najlepšieho nástroja bezpečnostných informácií a monitorovania udalostí (SIEM), je množstvo vynikajúcich možností. Práve sme predstavili tých najlepších šesť. Všetky z nich sú vynikajúcou voľbou. Ten, ktorý si vyberiete, bude vo veľkej miere závisieť od vašich konkrétnych potrieb, vášho rozpočtu a času, ktorý ste ochotní venovať jeho nastaveniu. Bohužiaľ, počiatočná konfigurácia je vždy najťažšia časť a tu sa môžu veci pokaziť, ak nástroj SIEM nie je správne nakonfigurovaný, nebude schopný správne vykonávať svoju prácu.

Text 50 - 2300