Protokol SolarWinds Log & Event Manager vs Splunk - porovnávací prehľad

Jedným z najdôležitejších - ak nie najdôležitejších - aktív mnohých dnešných organizácií sú ich údaje. Je také dôležité a cenné, že veľa jednotlivcov alebo organizácií, ktorí sa nezamýšľajú úmyselne, vynaloží veľké úsilie, aby ukradli tieto cenné údaje. Robia to tak, že využívajú obrovské množstvo techník a technológií na získanie neoprávneného prístupu k sieťam a systémom. Zdá sa, že počet takýchto pokusov neustále narastá. Aby sa tomu zabránilo, podniky, ktoré chcú chrániť svoje dátové prostriedky, zavádzajú systémy nazývané systémy prevencie pred narušením alebo IPS. Správca protokolov a udalostí SolarWinds ako aj Splunksú dva nekonvenčné výrobky v tejto aréne. Dnes ich porovnávame.

Naše skúmanie začneme tým, že sa pozrieme na prevenciu vniknutia všeobecne. Pomôže to pripraviť tabuľku toho, čo príde. Pokúsime sa to udržať čo netechnické. Našou myšlienkou nie je prinútiť vás, aby ste sa stali odborníkmi na prevenciu vniknutia, ale aby sme sa ubezpečili, že sme všetci na tej istej stránke, keď ďalej skúmame oba produkty. Keď už hovoríme o skúmaní výrobkov, máme to ďalej. Najprv opíšeme hlavné vlastnosti aplikácie SolarWinds Log & Event Manager. Ďalej sa pozrieme na silné a slabé stránky produktu a jeho klady a zápory, ako nahlásili používatelia platformy, a my dokončíme náš prehľad o produkte tým, že sa pozrieme na jeho ceny a licencie štruktúra. Potom preskúmame Splunk pomocou identického formátu s funkciami produktu, jeho silnými a slabými stránkami, jeho výhodami a nevýhodami a štruktúrou tvorby cien. Nakoniec sa dostaneme k záveru, čo používatelia hovoria o týchto dvoch produktoch.

Prevencia prieniku - o čo ide?

Pred rokmi boli vírusy takmer jediným problémom správcov systému. Vírusy sa dostali do bodu, keď boli také bežné, že priemysel reagoval vývojom nástrojov na ochranu pred vírusmi. Dnes by žiadny vážny používateľ v jeho správnej mysli nenapadlo spustiť počítač bez antivírusovej ochrany. Aj keď už nepočujeme veľa vírusov, narušenie - alebo neoprávnený prístup k vašim údajom škodlivými používateľmi - je novou hrozbou. Keďže údaje sú často najdôležitejšou devízou organizácie, podnikové siete sa stali terčom neplánovaných hackerov, ktorých prístup k údajom sa zvýši. Rovnako ako antivírusový softvér bol odpoveďou na šírenie vírusov, aj systémy prevencie pred narušením sú odpoveďou na útoky votrelcov.

Systémy prevencie prieniku v zásade robia dve veci. Najskôr zistia pokusy o prienik a keď zistia podozrivé aktivity, zastavia alebo zablokujú pomocou rôznych metód. Pokusy o prienik môžu byť zistené dvoma rôznymi spôsobmi. Detekcia založená na podpise analyzuje sieťovú prevádzku a údaje a hľadá konkrétne vzory spojené s pokusmi o prienik. Je to podobné tradičným systémom ochrany vírusov, ktoré sa spoliehajú na definície vírusov. Detekcia narušenia založená na podpise sa spolieha na podpisy alebo vzory narušenia. Hlavnou nevýhodou tejto metódy detekcie je, že do softvéru sa musia načítať správne podpisy. A pri novej metóde útoku zvyčajne dôjde k oneskoreniu pred aktualizáciou podpisov útoku. Niektorí dodávatelia poskytujú veľmi rýchlo aktualizované podpisy útokov, zatiaľ čo iní sú oveľa pomalšie. Ako často a ako rýchlo sa aktualizujú podpisy, je dôležitým faktorom pri výbere dodávateľa.

Detekcia založená na anomáliách ponúka lepšiu ochranu pred útokmi v nultý deň, ktoré sa vyskytujú predtým, ako mali detekčné podpisy šancu na aktualizáciu. Tento proces hľadá anomálie namiesto toho, aby sa pokúsil rozoznať známe vzory vniknutia. Napríklad by sa spustilo, ak by sa niekto pokúsil o prístup k systému s nesprávnym heslom niekoľkokrát za sebou, čo je spoločná známka útoku hrubou silou. Toto je len príklad a zvyčajne existujú stovky rôznych podozrivých aktivít, ktoré môžu tieto systémy spustiť. Obe detekčné metódy majú výhody a nevýhody. Najlepšie nástroje sú tie, ktoré používajú najlepšiu ochranu kombináciou analýzy podpisov a správania.

Detekcia pokusu o narušenie je prvou časťou, ktorá im zabráni. Po zistení systémy prevencie narušenia aktívne pracujú na zastavení zistených aktivít. Tieto systémy môžu vykonať niekoľko rôznych nápravných opatrení. Mohli by napríklad pozastaviť alebo inak deaktivovať používateľské účty. Ďalšou typickou akciou je blokovanie zdrojovej adresy IP útoku alebo zmena pravidiel brány firewall. Ak škodlivá činnosť pochádza z konkrétneho procesu, preventívny systém by mohol tento proces zabiť. Začatie procesu ochrany je ďalšou bežnou reakciou av najhorších prípadoch je možné vypnúť celé systémy, aby sa obmedzilo potenciálne poškodenie. Ďalšou dôležitou úlohou systémov Intrusion Prevention Systems je varovanie správcov, zaznamenanie udalosti a hlásenie podozrivých aktivít.

Opatrenia na prevenciu pasívneho vniknutia

Aj keď systémy prevencie pred neoprávneným prienikom vás môžu ochrániť pred mnohými typmi útokov, nič nebráni dobrým staromódnym opatreniam na prevenciu vniknutia. Napríklad zadanie silných hesiel je vynikajúci spôsob ochrany pred mnohými prienikmi. Ďalším jednoduchým ochranným opatrením je zmena predvolených hesiel zariadenia. Aj keď je to menej časté v podnikových sieťach - aj keď to nie je neslýchané -, videl som len príliš často internetové brány, ktoré mali stále predvolené heslo správcu. Pokiaľ ide o heslá, starnutie hesla je ďalším konkrétnym krokom, ktorý možno uplatniť na zníženie pokusov o prienik. Akékoľvek heslo, dokonca aj to najlepšie, môže byť prelomené, ak bude mať dostatok času. Starnutie hesla zaisťuje, že heslá sa zmenia skôr, ako budú rozbité.

SolarWinds je známy názov v správe siete. Má dobrú povesť pri výrobe niektorých najlepších nástrojov na správu siete a systému. Jej hlavným produktom je Monitor výkonu siete neustále sa radí medzi najlepšie dostupné nástroje na monitorovanie šírky pásma siete. SolarWinds je tiež známy svojimi mnohými bezplatnými nástrojmi, z ktorých každý rieši špecifickú potrebu správcov siete. Server kiwi Syslog alebo SolarWinds TFTP Server sú dva vynikajúce príklady týchto bezplatných nástrojov.

Nedovoľte, aby Správca protokolov a udalostí SolarWindsMeno ťa zmiasť. Je toho oveľa viac, ako sa stretáva s okom. Niektoré pokročilé funkcie tohto produktu ho označujú ako systém na detekciu a prevenciu neoprávneného vniknutia, zatiaľ čo iné ho zaradili do rozsahu bezpečnostných informácií a správy udalostí (SIEM). Nástroj napríklad obsahuje koreláciu udalostí v reálnom čase a nápravu v reálnom čase.

• SKÚŠKA ZADARMO: Správca protokolov a udalostí SolarWinds
• Odkaz na stiahnutie: https://www.solarwinds.com/log-event-manager-software/registration

Správca protokolov a udalostí SolarWinds sa môže pochváliť okamžitou detekciou podozrivej činnosti (funkcia detekcie narušenia) a automatickými odpoveďami (funkcia prevencie narušenia). Tento nástroj sa dá použiť aj na vyšetrovanie a forenznú analýzu bezpečnostných udalostí. Môže sa použiť na účely zmierňovania a dodržiavania predpisov. Nástroj obsahuje auditom overené správy, ktoré možno použiť aj na preukázanie súladu s rôznymi regulačnými rámcami, ako sú HIPAA, PCI-DSS a SOX. Tento nástroj má tiež monitorovanie integrity súborov a monitorovanie zariadení USB. Vďaka všetkým pokrokovým funkciám softvéru je integrovaná bezpečnostná platforma viac ako len systém spravovania protokolov a udalostí, o ktorom by vás jeho názov mohol presvedčiť.

Funkcie prevencie pred prienikom do internetu Správca protokolov a udalostí SolarWinds Funguje tak, že pri zistení hrozby vykonáva akcie s názvom Aktívne odpovede. S konkrétnymi upozorneniami môžu súvisieť rôzne reakcie. Napríklad systém môže zapisovať do tabuliek brány firewall na blokovanie sieťového prístupu k zdrojovej IP adrese, ktorá bola identifikovaná ako vykonávajúca podozrivé činnosti. Tento nástroj môže tiež pozastaviť používateľské účty, zastaviť alebo spustiť procesy a vypnúť systémy. Spomeniete si, ako sa presne jedná o nápravné opatrenia, ktoré sme predtým identifikovali.

Silné a slabé stránky

Podľa Gartnera SolarWinds Správca protokolov a udalostí „Ponúka dobre integrované riešenie, ktoré je zvlášť vhodné pre malé a stredné podniky, a to vďaka svojej jednoduchej architektúre, ľahkej licencii a robustnému obsahu a funkciám, ktoré nie sú v balení“. Nástroj obsahuje viac zdrojov udalostí a ponúka určité funkcie na zabránenie hrozbám a kontrolu karantény, ktoré bežne nie sú dostupné v konkurenčných produktoch.

Výskumná spoločnosť však tiež poznamenáva, že tento produkt je uzavretým ekosystémom, a preto je náročné integrovať sa s bezpečnostnými riešeniami tretích strán, ako sú pokročilá detekcia hrozieb, informačné kanály o hrozbách a UEBA Nástroje. Ako firma napísala: „Integrácia s nástrojmi technickej podpory je tiež obmedzená na jednosmerné pripojenie prostredníctvom e-mailu a SNMP“.

Produkt ďalej nepodporuje monitorovanie prostredí SaaS a monitorovanie IaaS je obmedzené. Zákazníci, ktorí chcú rozšíriť svoje monitorovanie na siete a aplikácie, si musia kúpiť ďalšie produkty SolarWinds.

• SKÚŠKA ZADARMO: Správca protokolov a udalostí SolarWinds
• Odkaz na stiahnutie: https://www.solarwinds.com/log-event-manager-software/registration

Klady a zápory

Zhromaždili sme najvýznamnejšie výhody a nevýhody, ktoré uviedli používatelia správcov protokolov a udalostí SolarWinds. Tu je to, čo musia povedať.

Pros

• Nastavenie produktu je neuveriteľne ľahké. Bola nasadená a mala na ňu naznačené zdroje denníka a počas jedného dňa vykonávala základné korelácie.
• Automatické odpovede, ktoré sú k dispozícii po nasadení agenta, vám poskytujú neuveriteľnú kontrolu nad reakciou na udalosti vo vašej sieti.
• Rozhranie nástroja je ľahko použiteľné. Niektoré konkurenčné produkty môžu byť skľučujúce, ak sa chcú naučiť používať a aklimatizovať, ale Správca protokolov a udalostí SolarWinds má intuitívne rozloženie a je veľmi ľahké ho vyzdvihnúť a používať.

Zápory

• Produkt nemá vlastný syntaktický analyzátor. Vo vašej sieti bude nevyhnutne existovať produkt, ktorý Správca protokolov a udalostí SolarWinds nebude vedieť analyzovať. Niektoré konkurenčné riešenia preto využívajú vlastné analyzátory. Tento produkt nemá podporu na vytváranie vlastných analyzátorov, takže neznáme formáty protokolov zostávajú neupravené.
• Nástroj môže byť niekedy príliš jednoduchý. Je to vynikajúci nástroj na vykonávanie základných korelácií v prostredí malých a stredných rozmerov. Ak sa však pokúsite priblížiť sa k koreláciám, ktoré sa pokúšate vykonať, môžete byť frustrovaní nedostatkom funkčnosti nástroja, ktorý je spôsobený hlavne tým, ako analyzuje údaje.

Ceny a licencovanie

Ceny za Správcu protokolov a udalostí SolarWinds sa líšia v závislosti od počtu monitorovaných uzlov. Ceny začínajú na 4 585 dolároch až pre 30 monitorovaných uzlov a licencie až pre 2500 uzlov je možné kúpiť s niekoľkými licenčnými úrovňami medzi nimi, čo robí produkt vysoko škálovateľným. Ak chcete produkt vziať na skúšobnú prevádzku a presvedčte sa sami, či je to pre vás to pravé, je k dispozícii bezplatná plne funkčná 30-dňová skúšobná verzia.

Splunk je pravdepodobne jedným z najpopulárnejších systémov prevencie pred prienikmi. Je k dispozícii v niekoľkých rôznych vydaniach so rôznymi súbormi funkcií. Splunk Enterprise Security-alebo Splunk ES, ako sa často nazýva - je to, čo potrebujete na skutočnú prevenciu vniknutia. A to je to, na čo sa dnes pozrieme. Softvér monitoruje údaje vášho systému v reálnom čase a hľadá zraniteľné miesta a príznaky neobvyklej činnosti. Aj keď je jeho cieľ zabrániť vniknutiu podobný SolarWinds“, Spôsob, akým dosahuje, je iný.

Bezpečnostná reakcia je jednou z možností SplunkSilné obleky a vďaka tomu je systémom prevencie pred prienikmi a alternatívou k internetu SolarWinds práve skontrolovaný produkt. Používa to, čo predajca volá Rámec adaptívnej reakcie (ARF). Tento nástroj sa dá integrovať do vybavenia od viac ako 55 dodávateľov zabezpečenia a môže vykonávať automatickú reakciu, zrýchľovať manuálne úlohy a poskytovať rýchlejšiu reakciu. Kombinácia automatickej nápravy a manuálneho zásahu vám dáva najlepšie šance na rýchle získanie hornej ruky. Tento nástroj má jednoduché a prehľadné užívateľské rozhranie, ktoré vytvára víťazné riešenie. Medzi ďalšie zaujímavé ochranné prvky patrí „honorácie“, Ktorá zobrazuje výstrahy prispôsobiteľné používateľom a„Vyšetrovateľ aktív“Za označovanie škodlivých aktivít a predchádzanie ďalším problémom.

Silné a slabé stránky

SplunkVeľký partnerský ekosystém poskytuje integráciu a Splunk- špecifický obsah prostredníctvom internetu Splunkbase obchod s aplikaciami. Kompletná sada riešení dodávateľa tiež uľahčuje používateľom postupné rozširovanie sa na platformu a pokročilé analytické funkcie sú dostupné rôznymi spôsobmi v celom Splunk ekosystém.

Na druhú stranu, Splunk nenabízí verziu riešenia zariadenia a klienti spoločnosti Gartner vyjadrili obavy týkajúce sa licenčného modelu a nákladov na implementáciu - v reakcii na to, Splunk zaviedla nové prístupy k udeľovaniu licencií vrátane dohody o podnikovom adopcii (EAA).

Klady a zápory

Podobne ako v prípade predchádzajúceho produktu, aj tu uvádzame zoznam najdôležitejších výhod a nevýhod, ktoré uviedli používatelia produktu Splunk.

Pros

• Nástroj zhromažďuje protokoly veľmi dobre od takmer všetkých typov strojov - väčšina alternatívnych produktov to tiež celkom nerobí.
• Splunk poskytuje vizuály pre používateľa, čo im umožňuje transformovať protokoly do vizuálnych prvkov, ako sú koláčové grafy, grafy, tabuľky atď.
• Podávanie správ a upozorňovanie na anomálie je veľmi rýchle. Existuje malé oneskorenie.

Zápory

• SplunkVyhľadávací jazyk prechádza veľmi hlboko. Vykonávanie niektorých pokročilejších formátovacích alebo štatistických analýz však vyžaduje trochu učiacu sa krivku. Splunk školenie je k dispozícii na výučbu hľadaného jazyka a manipuláciu s údajmi, ale môže stáť kdekoľvek od 500,00 do 1 500,00 dolárov.
• Funkcie informačného panela tohto nástroja sú celkom slušné, ale na vykonanie viac vzrušujúcich vizualizácií je potrebný trochu vývoja pomocou jednoduchého jazyka XML, Javascript a CSS.
• Predajca vydáva drobné opravy veľmi rýchlo, ale kvôli obrovskému počtu chýb, na ktoré sme narazili, sme museli za deväť mesiacov upgradovať naše prostredie štyrikrát.

Ceny a licencovanie

Splunk EnterpriseStanovenie ceny je založené na tom, koľko celkových údajov doň každý deň posielate. Začína sa na 150 $ mesačne až do 1 GB denne prijímaných údajov. K dispozícii sú množstevné zľavy. Táto cena zahŕňa neobmedzený počet používateľov, neobmedzené vyhľadávanie, vyhľadávanie v reálnom čase, analýzu a vizualizáciu, monitorovanie a varovanie, štandardnú podporu a ďalšie. Ak chcete získať podrobnú ponuku, budete musieť kontaktovať predaj spoločnosti Splunk. Podobne ako väčšina výrobkov v tomto cenovom rozpätí je k dispozícii bezplatná skúšobná verzia pre tých, ktorí by chceli produkt vyskúšať.

Čo sa hovorí o týchto dvoch produktoch?

Užívatelia IT centrálnej stanice dávajú SolarWinds 9 z 10 a Splunk 8 z 10. Používatelia aplikácie Gartner Peer Insights však poradie dávajú zvrátene Splunk 4,3 z 5 a SolarWinds 4 z 5.

Jeffrey Robinette, systémový inžinier spoločnosti Foxhole Technology, to napísal SolarWinds‘Okamžité správy a palubná doska sú kľúčovou silnou stránkou a poznamenávajú, že„ Umožňuje nám to monitorovať prístup a rýchlo získavať počítačové prehľady. Už žiadne prehľadávanie protokolov na každom serveri. “

V porovnaní s Splunk, Robinette to povedala SolarWinds nevyžaduje veľa prispôsobenia a jeho cena je nižšia, zatiaľ čo on písal o Splunk že „potrebujete Ph. D. o prispôsobení prehľadov. “

Raul Lapaz, senior IT security operations v spoločnosti Roche, zatiaľ čo Splunk nie je lacný, jeho jednoduchosť použitia, škálovateľnosť, stabilita, rýchlosť vyhľadávacieho nástroja a kompatibilita so širokou škálou zdrojov údajov ho oplatí.

Lapaz však poukázal na niekoľko nedostatkov, napríklad na skutočnosť, že správu klastrov je možné vykonať iba prostredníctvom príkazového riadku a že povolenia nie sú veľmi flexibilné. Napísal: „Bolo by pekné mať viac podrobných možností, ako je napríklad dvojfaktorová autentifikácia“.