SolarWinds Log & Event Manager vs Splunk - En jämförande recension

En av de viktigaste - om inte DE viktigaste - tillgångarna för många av dagens organisationer är deras data. Det är så viktigt och värdefullt att många dåligt avsedda individer eller organisationer kommer att göra mycket för att stjäla den värdefulla informationen. De gör det så att man använder en mängd olika tekniker och tekniker för att få obehörig åtkomst till nätverk och system. Antalet sådana försök verkar växa exponentiellt hela tiden. För att förhindra det distribueras system som kallas Intrusion Prevention Systems eller IPS av företag som vill skydda sina datatillgångar. De SolarWinds Log & Event Manager såväl som Splunkär två okonventionella produkter på den arenan. Idag jämför vi de två.

Vi börjar utforskningen genom att titta på förebyggande av intrång i allmänhet. Det hjälper till att sätta tabellen för vad som kommer. Vi försöker hålla det så tekniskt som möjligt. Vår idé är inte att göra er experter på intrångsförebyggande, utan snarare att se till att vi alla är på samma sida eftersom vi vidare utforskar båda produkterna. Prata om att utforska produkterna, det här är vad vi har nästa gång. Vi kommer först att beskriva huvudfunktionerna i SolarWinds Log & Event Manager. Vi följer med att titta på produktens styrka och svagheter och dess fördelar och nackdelar, som rapporterats av användare av plattformen och vi avslutar vår översikt över produkten genom att titta på dess prissättning och licensiering strukturera. Vi granskar sedan Splunk med ett identiskt format med produktens funktioner, dess styrkor och svagheter, dess fördelar och nackdelar och prissättningstruktur. Slutligen avslutar vi med vad användare har att säga om de två produkterna.

Förebyggande av intrång - Vad handlar det här om?

För år sedan var virus ganska mycket de enda problem som systemadministratörer. Virus kom till en punkt där de var så vanliga att industrin reagerade genom att utveckla virusskyddsverktyg. Idag skulle ingen seriös användare i sitt rätta sinne tänka på att köra en dator utan virusskydd. Även om vi inte hör mycket av virus längre, är intrång - eller obehörig åtkomst till dina data av skadliga användare - ett nytt hot. Eftersom data ofta är en organisations viktigaste tillgång har företagsnätverk blivit målet för hackare som inte är avsiktliga, vilket kommer att göra mycket för att få tillgång till data. Precis som virusskyddsprogram var svaret på spridning av virus, är intrångsförhindringssystem svaret på intrångsattacker.

System för förebyggande av intrång gör i huvudsak två saker. Först upptäcker de intrångsförsök och när de upptäcker misstänkta aktiviteter använder de olika metoder för att stoppa eller blockera det. Det finns två olika sätt att intrångsförsök kan upptäckas. Signaturbaserad detektion fungerar genom att analysera nätverkstrafik och data och leta efter specifika mönster associerade med intrångsförsök. Detta liknar traditionella virusskyddssystem som förlitar sig på virusdefinitioner. Signaturbaserad intrångsdetektion förlitar sig på intrångsignaturer eller -mönster. Den största nackdelen med denna detekteringsmetod är att den behöver rätt signaturer för att laddas in i programvaran. Och när en ny attackmetod finns det vanligtvis en fördröjning innan attackunderskrifter uppdateras. Vissa leverantörer är mycket snabba på att tillhandahålla uppdaterade attackunderskrifter medan andra är mycket långsammare. Hur ofta och hur snabba signaturer uppdateras är en viktig faktor att tänka på när du väljer en leverantör.

Anomali-baserad upptäckt erbjuder bättre skydd mot nolldagarsattacker, de som händer innan detektionsunderskrifter har haft en chans att uppdateras. Processen letar efter avvikelser istället för att försöka känna igen kända intrångsmönster. Till exempel skulle det utlöses om någon försökte komma åt ett system med fel lösenord flera gånger i rad, ett vanligt tecken på en attack för brute force. Detta är bara ett exempel och det finns vanligtvis hundratals olika misstänkta aktiviteter som kan utlösa dessa system. Båda detektionsmetoderna har fördelar och nackdelar. De bästa verktygen är de som använder en kombination av signatur och beteendeanalys för bästa skydd.

Att upptäcka intrångsförsök är en av de första delarna av att förhindra dem. När det har upptäckts fungerar intrångsförebyggande system aktivt för att stoppa de upptäckta aktiviteterna. Flera olika korrigerande åtgärder kan genomföras av dessa system. De kan till exempel stänga av eller på annat sätt inaktivera användarkonton. En annan typisk åtgärd är att blockera källens IP-adress för attacken eller ändra brandväggsregler. Om skadlig aktivitet kommer från en specifik process, kan det förebyggande systemet döda processen. Att starta en viss skyddsprocess är ytterligare en vanlig reaktion och i värsta fall kan hela system stängas av för att begränsa möjliga skador. En annan viktig uppgift för Intrusion Prevention Systems är att varna administratörer, spela in händelsen och rapportera misstänkta aktiviteter.

Passiva förebyggande åtgärder

Även om system för förebyggande av intrång kan skydda dig mot många typer av attacker, så slår inget bra, gammaldags passiva förebyggande åtgärder. Till exempel är mandat med starka lösenord ett utmärkt sätt att skydda mot många intrång. En annan enkel skyddsåtgärd är att byta standardlösenord för utrustning. Även om det är mindre ofta i företagsnätverk - även om det inte är okänt - har jag bara sett alltför ofta Internet-gateways som fortfarande hade sitt standardadministratörslösenord. Även när det gäller lösenord är åldrande av lösenord ytterligare ett konkret steg som kan vidtas för att minska intrångsförsök. Alla lösenord, även det bästa, kan så småningom knäckas, ges tillräckligt med tid. Åldrande av lösenord garanterar att lösenord ändras innan de har knäckts.

Solarwinds är ett välkänt namn inom nätverksadministration. Det har ett gott rykte för att göra några av de bästa nätverks- och systemadministrationsverktygen. Dess flaggskeppsprodukt, Network Performance Monitor konsekvent poäng bland de bästa tillgängliga verktygen för övervakning av bandbredd för nätverk. SolarWinds är också känt för sina många gratisverktyg, var och en svarar mot ett specifikt behov av nätverksadministratörer. De Kiwi Syslog Server eller den SolarWinds TFTP Server är två utmärkta exempel på dessa gratis verktyg.

Låt inte SolarWinds Log & Event ManagerNamn lura dig. Det finns mycket mer än det som möter ögat. Några av de avancerade funktionerna i denna produkt kvalificerar den som ett system för detektering och förebyggande av intrång medan andra lägger den in i SIEM-serien Security Information and Event Management (SIEM). Verktyget innehåller till exempel korrelation i realtid och korrigering i realtid.

• GRATIS PRÖVNING: SolarWinds Log & Event Manager
• Nedladdningslänk: https://www.solarwinds.com/log-event-manager-software/registration

De SolarWinds Log & Event Manager kan skryta med omedelbar detektion av misstänkt aktivitet (en funktion för intrångsdetektering) och automatiserade svar (en funktion för att förebygga intrång). Detta verktyg kan också användas för att utföra utredningar av säkerhetshändelser och kriminaltekniker. Det kan användas för att minska och följa efterlevnaden. Verktyget har revisionsprövad rapportering som också kan användas för att visa överensstämmelse med olika regelverk som HIPAA, PCI-DSS och SOX. Verktyget har också övervakning av filintegritet och övervakning av USB-enheter. Alla avancerade funktioner i programvaran gör det mer till en integrerad säkerhetsplattform än bara logg- och eventhanteringssystemet som dess namn skulle få dig att tro.

Funktioner för förebyggande av intrång i SolarWinds Log & Event Manager fungerar genom att implementera åtgärder som kallas aktiva svar närhelst hot upptäcks. Olika svar kan kopplas till specifika varningar. Exempelvis kan systemet skriva till brandväggstabeller för att blockera nätverkets åtkomst till en källa-IP-adress som har identifierats som utför misstänkta aktiviteter. Verktyget kan också stänga av användarkonton, stoppa eller starta processer och stänga av system. Du kommer ihåg hur det här är exakt de saneringsåtgärder vi identifierade tidigare.

Styrkor och svagheter

Enligt Gartner, Solarwinds Log & Event Manager "Erbjuder en välintegrerad lösning som passar särskilt små och medelstora företag tack vare sin enkla arkitektur, enkla licensiering och robusta out-the-box innehåll och funktioner". Verktyget flera händelsekällor och erbjuder viss hotinneslutning och karantänkontrollfunktion som inte vanligtvis finns tillgängliga från konkurrerande produkter.

Men forskningsföretaget noterar också att den här produkten är ett slutet ekosystem, vilket gör den utmanande integreras med tredjeparts säkerhetslösningar som avancerad hotdetektering, hot intelligens feeds och UEBA verktyg. Som företaget skrev: ”Integrationer med servicebordverktyg är också begränsade till envägsanslutning via e-post och SNMP”.

Dessutom stöds inte övervakningen av SaaS-miljöer av produkten och övervakningen av IaaS är begränsad. Kunder som vill utvidga sin övervakning till nätverk och applikationer måste köpa andra SolarWinds-produkter.

• GRATIS PRÖVNING: SolarWinds Log & Event Manager
• Nedladdningslänk: https://www.solarwinds.com/log-event-manager-software/registration

För-och nackdelar

Vi har samlat de viktigaste fördelarna och nackdelarna som användare av SolarWinds Log & Event Managers har rapporterat. Det här är vad de har att säga.

Fördelar

• Produkten är otroligt enkel att installera. Det distribuerades och loggkällor pekade på det och utförde grundläggande korrelationer inom en dag.
• De automatiserade svar som finns tillgängliga efter att agenten har distribuerats ger dig otrolig kontroll för att svara på händelser i ditt nätverk.
• Verktygets gränssnitt är användarvänligt. Vissa konkurrerande produkter kan vara skrämmande att lära sig använda och få anpassning till, men SolarWinds Log & Event Manager har en intuitiv layout och är mycket lätt att hämta och använda.

Nackdelar

• Produkten har ingen anpassad tolkare. Det kommer oundvikligen att finnas en produkt i ditt nätverk som The SolarWinds Log & Event Manager vet inte hur man ska tolkas. Vissa konkurrerande lösningar utnyttjar anpassade tolkare av detta skäl. Den här produkten har inte stöd för att skapa anpassade parsers, så okända loggformat förblir oparade.
• Verktyget kan ibland vara för grundläggande. Det är ett utmärkt verktyg för att utföra grundläggande korrelationer i en liten till medelstor miljö. Men om du försöker bli för avancerad med de korrelationer du försöker utföra, kan du bli frustrerad över verktygets brist på funktionalitet som främst beror på hur det analyserar data.

Prissättning och licensiering

Prissättningen för SolarWinds Log & Event Manager varierar beroende på antalet övervakade noder. Priserna börjar på 4585 $ för upp till 30 övervakade noder och licenser för upp till 2500 noder kan köpas med flera licensnivåer däremellan, vilket gör produkten mycket skalbar. Om du vill ta produkten för en testkörning och se själv om det är rätt för dig, en kostnadsfri 30-dagars testversion är tillgänglig.

Splunk är kanske ett av de mest populära systemen för förebyggande av intrång. Det finns i flera olika utgåvor med olika funktionsuppsättningar. Splunk Enterprise Security-eller Splunk ES, som det ofta kallas - är vad du behöver för verklig förebyggande av intrång. Och det här är vad vi tittar på idag. Programvaran övervakar systemets data i realtid och letar efter sårbarheter och tecken på onormal aktivitet. Även om dess mål att förebygga intrång liknar Solarwinds', Hur det uppnås är annorlunda.

Säkerhetssvar är ett av SplunkÄr starka kostymer och det är det som gör det till ett system för förebyggande av intrång och ett alternativ till Solarwinds produkt just granskad. Den använder det som säljaren kallar Anpassningsresponsram (ARF). Verktyget integreras med utrustning från mer än 55 säkerhetsleverantörer och kan utföra automatiskt svar, påskynda manuella uppgifter och ge en snabbare reaktion. Kombinationen av automatiserad sanering och manuell intervention ger dig de bästa chanserna att snabbt få överhanden. Verktyget har ett enkelt och oklart användargränssnitt, vilket skapar en vinnande lösning. Andra intressanta skyddsfunktioner inkluderar "Betydande"-Funktion som visar användaranpassningsbara varningar och"Kapitalutredare”För att flagga skadliga aktiviteter och förhindra ytterligare problem.

Styrkor och svagheter

Splunk'S stora partnerekosystem ger integration och Splunk-specifikt innehåll genom Splunkbase app store. Leverantörens fulla paket med lösningar gör det också lätt för användare att växa till plattformen över tid, och avancerade analysfunktioner finns tillgängliga på olika sätt genom hela Splunk ekosystem.

På den negativa sidan, Splunk erbjuder ingen apparatversion av lösningen, och Gartner-klienter har väckt oro över licensmodellen och kostnaden för implementering - som svar, Splunk har infört nya licensieringsmetoder, inklusive Enterprise Adoption Agreement (EAA).

För-och nackdelar

Som vi gjorde med den föregående produkten, här är en lista över de viktigaste fördelarna och nackdelarna som rapporterats av användare av Splunk.

Fördelar

• Verktyget samlar loggar mycket bra från nästan alla maskintyper - de flesta alternativa produkter gör det inte lika bra.
• Splunk ger grafik till användaren, vilket ger dem möjlighet att förvandla loggar till visuella element såsom cirkeldiagram, grafer, tabeller osv.
• Det är mycket snabbt att rapportera och varna om avvikelser. Det är liten försening.

Nackdelar

• SplunkS sökspråk går mycket djup. Att göra en del av mer avancerad formatering eller statistisk analys innebär dock lite av en inlärningskurva. Splunk utbildning är tillgänglig för att lära sig sökspråket och manipulera dina data men kan kosta allt från $ 500,00 till $ 1 500,00.
• Verktygets instrumentpanelfunktioner är ganska anständiga men för att göra mer spännande visualiseringar krävs lite utveckling med enkla XML, Javascript och CSS.
• Säljaren släpper mindre revisioner mycket snabbt men på grund av det stora antalet buggar vi har stött på måste vi uppgradera vår miljö fyra gånger på nio månader.

Prissättning och licensiering

Splunk EnterprisePriserna baseras på hur mycket total data du skickar till den varje dag. Det börjar på $ 150 / månad på upp till 1 GB dagligen intagna data. Volymrabatter finns tillgängliga. Detta pris inkluderar obegränsade användare, obegränsade sökningar, realtidsökning, analys och visualisering, övervakning och varning, standardstöd och mer. Du måste kontakta Splunks försäljning för att få en detaljerad offert. Liksom de flesta produkter i den typen av prisklasser finns en gratis provversion tillgänglig för dig som vill prova produkten.

Vad sägs om de två produkterna?

IT Central Station användare ger Solarwinds en 9 av 10 och Splunk en 8 av 10. Gartner Peer Insights-användare vänder emellertid ordningen och ger Splunk a 4,3 av 5 och Solarwinds en 4 av 5.

Jeffrey Robinette, systemingenjör på Foxhole Technology, skrev det Solarwinds"Out-the-box-rapporter och instrumentpanelen är en nyckelstyrka och noterar att" Det gör att vi kan övervaka åtkomst och dra cyberrapporter snabbt. Inga fler söker igenom loggar på varje server. ”

Jämfört med Splunk, Robinette sa det Solarwinds kräver inte mycket anpassning och dess prissättning är lägre, medan han skrev om Splunk att "du behöver en doktorand om att anpassa rapporterna. ”

För Raul Lapaz, senior IT-säkerhetsverksamhet på Roche, medan Splunk är inte billig, dess användarvänlighet, skalbarhet, stabilitet, sökmotorns hastighet och kompatibilitet med en mängd olika datakällor gör det värt det.

Lapaz påpekade dock några brister, inklusive till exempel det faktum att klusterhantering bara kan göras via kommandoraden, och att behörigheter inte är särskilt flexibla. Han skrev: "Det vore trevligt att ha fler granulära alternativ, till exempel dubbelfaktorautentisering".