انها غابة هناك! الأفراد ذوو النية في كل مكان وهم يتبعونك. حسنًا ، ربما لا تكون أنت شخصيًا بل بياناتك. لم تعد الفيروسات التي يتعين علينا حمايتها فقط ، بل جميع أنواع الهجمات التي يمكن أن تترك شبكتك - ومنظمتك - في وضع خطير. نظرًا لتكاثر أنظمة الحماية المختلفة مثل برامج مكافحة الفيروسات والجدران النارية وأنظمة كشف التسلل ، فإن مسؤولي الشبكات تغمرهم الآن المعلومات التي يتعين عليهم الارتباط بها ، في محاولة لفهمها. هذا هو المكان الذي تأتي فيه أنظمة إدارة المعلومات الأمنية والأحداث (SIEM) في متناول يدي. انهم يتعاملون مع معظم العمل الشنيع للتعامل مع الكثير من المعلومات. لتسهيل مهمتك في اختيار SIEM ، نقدم لك أفضل أدوات إدارة المعلومات الأمنية والأحداث (SIEM).
اليوم ، نبدأ تحليلنا من خلال مناقشةمشهد التهديد الحديث. كما قلنا ، لم تعد الفيروسات فقط. بعد ذلك ، سنحاول شرح ماهية SIEM بالضبط والتحدث عن المكونات المختلفة التي تصنع نظام SIEM. قد يكون بعضها أكثر أهمية من غيرها ولكن قد تختلف أهميتها النسبية لأشخاص مختلفين. وأخيرًا ، سنقدم مجموعة من أفضل ستة أدوات لإدارة المعلومات الأمنية والأحداث (SIEM) ونراجع كل واحدة منها بإيجاز.
مشهد التهديد الحديث
أمن الكمبيوتر تستخدم ليكون مجرد فيروسالحماية. ولكن في السنوات الأخيرة ، تم الكشف عن عدة أنواع مختلفة من الهجمات. يمكن أن تتخذ شكل هجمات رفض الخدمة (DoS) ، وسرقة البيانات ، وغيرها الكثير. ولم تعد تأتي للتو من الخارج. العديد من الهجمات تنشأ من داخل الشبكة. لذلك ، من أجل الحماية القصوى ، تم اختراع أنواع مختلفة من أنظمة الحماية. بالإضافة إلى برامج الحماية من الفيروسات وجدار الحماية التقليدي ، لدينا الآن أنظمة للكشف عن التسلل والوقاية من فقدان البيانات (IDS و DLP) ، على سبيل المثال.
بالطبع ، كلما قمت بإضافة أنظمة ، وأكثرالعمل لديك إدارة لهم. يراقب كل نظام بعض المعلمات المحددة للتشوهات وسيقوم بتسجيلها و / أو تشغيل التنبيهات عند اكتشافها. ألن يكون لطيفًا لو أمكن مراقبة كل هذه الأنظمة تلقائيًا؟ علاوة على ذلك ، يمكن اكتشاف بعض أنواع الهجمات من قبل العديد من الأنظمة أثناء مرورها بمراحل مختلفة. ألن يكون من الأفضل لو استطعت الرد على جميع الأحداث ذات الصلة كواحد؟ حسنًا ، هذا هو بالضبط ما يدور حول SIEM.
ما هو SIEM ، بالضبط؟
اسم يقول كل شيء. معلومات الأمن وإدارة الأحداث هي عملية إدارة معلومات وأحداث الأمان. بشكل ملموس ، لا يوفر نظام SIEM أي حماية. الغرض الأساسي منه هو جعل حياة مسئولي الشبكات والأمن أسهل. ما يقوم به نظام SIEM النموذجي حقًا هو جمع المعلومات من مختلف أنظمة الحماية والكشف ، وربط كل هذه المعلومات بتجميع الأحداث ذات الصلة ، ويتفاعل مع أحداث ذات معنى بطرق مختلفة. غالبًا ما تتضمن أنظمة SIEM شكلاً من أشكال التقارير ولوحات المعلومات.
المكونات الأساسية لنظام SIEM
نحن على وشك الاستكشاف بتفاصيل أعمق لكل منهماالمكون الرئيسي لنظام SIEM. ليس كل نظام SIEM يشمل جميع هذه المكونات ، وحتى عندما يفعلون ، يمكن أن يكون لهم وظائف مختلفة. ومع ذلك ، فهي المكونات الأساسية التي يجدها المرء عادة ، بشكل أو بآخر ، في أي نظام SIEM.
جمع السجل والإدارة
جمع السجل وإدارة هو المفتاحمكون من جميع أنظمة SIEM. بدونها ، لا يوجد SIEM. يجب على نظام SIEM الحصول على بيانات السجل من مجموعة متنوعة من المصادر المختلفة. يمكن أن تسحبه أو أن أنظمة الكشف والحماية المختلفة يمكن أن تدفعه إلى SIEM. نظرًا لأن لكل نظام طريقته الخاصة لتصنيف البيانات وتسجيلها ، فإن الأمر متروك لـ SIEM لتطبيع البيانات وجعلها موحدة ، بغض النظر عن مصدرها.
بعد التطبيع ، غالبا ما تكون البيانات المسجلةمقارنة بأنماط الهجوم المعروفة في محاولة للتعرف على السلوك الضار في أقرب وقت ممكن. ستتم مقارنة البيانات غالبًا بالبيانات التي تم جمعها مسبقًا للمساعدة في إنشاء خط أساس من شأنه أن يعزز اكتشاف الأنشطة غير الطبيعية.
استجابة الحدث
بمجرد اكتشاف الحدث ، يجب القيام بشيء ماحوله. هذا هو ما تدور حوله وحدة استجابة الحدث لنظام SIEM. يمكن أن تتخذ استجابة الحدث أشكالًا مختلفة. في أبسط عمليات التنفيذ ، سيتم إنشاء رسالة تنبيه على وحدة تحكم النظام. في كثير من الأحيان يمكن أيضًا إنشاء تنبيهات عبر البريد الإلكتروني أو الرسائل النصية القصيرة.
ولكن أفضل أنظمة SIEM تذهب خطوة إلى الأمام وسوف تبدأ في كثير من الأحيان بعض العملية العلاجية. مرة أخرى ، هذا شيء يمكن أن يأخذ أشكالًا متعددة. تحتوي أفضل الأنظمة على نظام سير عمل استجابة كامل للحادث يمكن تخصيصه لتوفير الاستجابة التي تريدها بالضبط. وكما يتوقع المرء ، لا يجب أن تكون الاستجابة للحوادث موحدة ويمكن أن تؤدي الأحداث المختلفة إلى عمليات مختلفة. أفضل الأنظمة ستمنحك تحكمًا كاملاً في سير عمل الاستجابة للحوادث.
التقارير
بمجرد الانتهاء من جمع السجلات وإدارتهاوأنظمة الاستجابة المعمول بها ، العنصر الأساسي التالي الذي تحتاجه هو الإبلاغ. قد لا تعرف ذلك بعد ، ولكنك ستحتاج إلى تقارير. ستحتاج الإدارة العليا لهم أن يروا بأنفسهم أن استثماراتهم في نظام SIEM تؤتي ثمارها. قد تحتاج أيضًا إلى تقارير لأغراض المطابقة. يمكن تسهيل الامتثال للمعايير مثل PCI DSS أو HIPAA أو SOX عندما يتمكن نظام SIEM من إنشاء تقارير مطابقة.
قد لا تكون التقارير في لب نظام SIEMولكن لا يزال ، هو عنصر أساسي واحد. وفي كثير من الأحيان ، سيكون إعداد التقارير عاملاً مميزًا بين النظم المتنافسة. التقارير تشبه الحلوى ، ولا يمكنك الحصول على الكثير منها أبدًا. وبالطبع ، فإن أفضل الأنظمة تتيح لك إنشاء تقارير مخصصة.
لوحة (ق)
أخيرًا وليس آخرًا ، ستكون لوحة القيادة الخاصة بكنافذة في حالة نظام SIEM الخاص بك. ويمكن أن يكون هناك حتى لوحات القيادة متعددة. نظرًا لأن الأشخاص المختلفين لديهم أولويات واهتمامات مختلفة ، فإن لوحة القيادة المثالية لمسؤول الشبكة ستكون مختلفة عن لوحة الأمان. وسيحتاج المسؤول التنفيذي إلى مدير مختلف تمامًا أيضًا.
بينما لا يمكننا تقييم نظام SIEM بواسطةعدد لوحات المعلومات التي تحتوي عليها ، تحتاج إلى اختيار لوحة تحتوي على كل لوحة (لوحات) المعلومات التي تحتاجها. هذا بالتأكيد شيء تريد أن تضعه في اعتبارك وأنت تقيم البائعين. ومثلما هو الحال مع التقارير ، فإن أفضل الأنظمة ستتيح لك تصميم لوحات معلومات مخصصة حسب رغبتك.
لدينا أعلى 6 أدوات SIEM
هناك الكثير من أنظمة SIEM هناك. كثيرًا جدًا ، في الواقع ، لتكون قادرًا على مراجعتها جميعًا هنا. لذلك ، قمنا بالبحث في السوق ، ومقارنة الأنظمة ، وقمنا بإنشاء قائمة بما اكتشفناه كأفضل ستة أدوات لإدارة المعلومات الأمنية (SIEM). نحن ندرجها حسب التفضيل وسنراجع كل واحدة لفترة وجيزة. ولكن على الرغم من ترتيبها ، إلا أن الأنظمة الستة جميعها أنظمة ممتازة لا يمكننا إلا أن نوصي بتجربتها بنفسك.
إليك أفضل 6 أدوات من أدوات SIEM
- SolarWinds سجل & مدير الأحداث
- أمن المؤسسات
- RSA NetWitness
- ArcSight Enterprise Security Manager
- برنامج McAfee Enterprise Security Manager
- IBM QRadar SIEM
1. SolarWinds سجل & مدير الأحداث (30 يوما تجربة مجانية)
SolarWinds هو اسم شائع في الشبكةمراقبة العالم. منتجهم الرئيسي ، ومراقبة أداء الشبكة هي واحدة من أفضل أداة مراقبة SNMP المتاحة. تعرف الشركة أيضًا بأدواتها المجانية العديدة مثل حاسبة الشبكة الفرعية أو خادم SFTP.
أداة SIEM الخاصة بـ SolarWinds ، مدير السجل والأحداثمن الأفضل وصف (LEM) على أنه نظام SIEM للمبتدئين. لكنه ربما يكون أحد أكثر أنظمة الدخول تنافسية في السوق. يحتوي SolarWinds LEM على كل ما يمكنك توقعه من نظام SIEM. لديها ميزات إدارة طويلة وعلاقة ممتازة ومحرك تقارير مثير للإعجاب.
أما بالنسبة لميزات استجابة الحدث للأداة ، فهيلا تترك شيئًا مطلوبًا. سيكون رد الفعل المفصل في الوقت الحقيقي رد فعل بنشاط على كل تهديد. وبما أنه يعتمد على السلوك بدلاً من التوقيع ، فأنت محمي ضد التهديدات غير المعروفة أو المستقبلية.
لكن لوحة أدوات الأداة ربما تكون الأفضلالأصول. مع التصميم البسيط ، لن تواجه مشكلة في تحديد الحالات الشاذة بسرعة. بدءًا من حوالي 500 دولار ، تكون الأداة أكثر من متناول الجميع. وإذا كنت ترغب في تجربتها أولاً ، يتوفر إصدار تجريبي مجاني كامل الوظائف مدته 30 يومًا للتنزيل.
2. Splunk أمن المشاريع
ربما واحدة من نظام SIEM الأكثر شعبية ،تشتهر Splunk Enterprise Security - أو Splunk ES ، كما يطلق عليها في الغالب - بقدراتها التحليلية. تراقب Splunk ES بيانات نظامك في الوقت الفعلي ، وتبحث عن نقاط الضعف وعلامات النشاط غير الطبيعي.
الاستجابة الأمنية هي أخرى من حلول Splunk ESبدلة. يستخدم النظام ما يطلق عليه Splunk إطار عمل التكيف التكيفي (ARF) والذي يتكامل مع معدات من أكثر من 55 بائع أمان. ARF أداء استجابة تلقائية ، وتسريع المهام اليدوية. هذا سوف يتيح لك كسب اليد العليا بسرعة. أضف إلى ذلك واجهة مستخدم بسيطة ومرتبة ولديك حل رابح. تشمل الميزات الأخرى المثيرة للاهتمام وظيفة Notables التي تعرض تنبيهات قابلة للتخصيص من قِبل المستخدم ومحقق الأصول لتحديد الأنشطة الضارة ومنع المزيد من المشكلات.
يعد Splunk ES حقًا منتجًا على مستوى المؤسساتويأتي مع سعر المؤسسة الحجم. لا يمكنك حتى الحصول على معلومات التسعير من موقع Splunk على الويب. تحتاج إلى الاتصال بقسم المبيعات للحصول على السعر. على الرغم من سعره ، فهذا منتج رائع وقد ترغب في الاتصال بـ Splunk والاستفادة من إصدار تجريبي مجاني.
3. RSA NetWitness
منذ عام 20016 ، ركزت NetWitness على المنتجاتدعم "الوعي الظرفي العميق لشبكة الوقت الفعلي واستجابة الشبكة المرنة". بعد أن استحوذت عليها شركة EMC التي اندمجت بعد ذلك مع Dell ، أصبحت شركة Newitness الآن جزءًا من فرع RSA للشركة. وهذه أخبار جيدة RSA هو اسم مشهور في مجال الأمن.
RSA NetWitness مثالية للمنظمات التي تسعىحل كامل تحليلات الشبكة. تشتمل الأداة على معلومات حول نشاطك التجاري مما يساعد على إعطاء الأولوية للتنبيهات. وفقًا لـ RSA ، "يقوم النظام" بجمع البيانات عبر المزيد من نقاط الالتقاط ومنصات الحوسبة ومصادر استخبارات التهديد أكثر من حلول SIEM الأخرى ". هناك أيضًا اكتشاف متطور للتهديدات يجمع بين التحليل السلوكي وتقنيات علم البيانات وذكاء التهديد. وأخيرًا ، يتميز نظام الاستجابة المتقدمة بقدرات تزامن وأتمتة للمساعدة في التخلص من التهديدات قبل أن تؤثر على عملك.
واحدة من العيوب الرئيسية في RSA NetWitness هوليس أسهل استخدام وتهيئة. ومع ذلك ، هناك وثائق شاملة متاحة والتي يمكن أن تساعدك في إعداد واستخدام المنتج. هذا منتج آخر على مستوى المؤسسات وستحتاج إلى الاتصال بالمبيعات للحصول على معلومات حول الأسعار.
4. ArcSight Enterprise Security Manager
يساعد ArcSight Enterprise Security Managerتحديد المخاطر الأمنية وتحديد أولوياتها ، وتنظيم أنشطة الاستجابة للحوادث وتتبعها ، وتبسيط أنشطة التدقيق والامتثال. تم بيعها سابقًا تحت علامة HP التجارية ، وقد اندمجت الآن مع Micro Focus ، فرع آخر من HP.
بعد أن كنت في المكان لأكثر من خمسة عشر عامًا ،ArcSight هو أدوات SIEM أخرى شائعة للغاية. يقوم بتجميع بيانات السجل من مصادر مختلفة ويقوم بإجراء تحليل شامل للبيانات ، ويبحث عن علامات النشاط الضار. لتسهيل تحديد التهديدات بسرعة ، يمكنك عرض نتائج تحليل real0tme.
إليك مجموعة من الميزات الرئيسية للمنتجات. إنه يحتوي على ارتباط قوي للبيانات الموزعة في الوقت الفعلي ، وأتمتة سير العمل ، وتزامن الأمن ، ومحتوى الأمان الذي يحركه المجتمع. يتكامل Enterprise Security Manager أيضًا مع منتجات ArcSight الأخرى مثل ArcSight Data Platform و Event Broker أو ArcSight Investigate. هذا منتج آخر على مستوى المؤسسات - يشبه إلى حد كبير جميع أدوات SIEM عالية الجودة - التي ستتطلب منك الاتصال بفريق مبيعات ArcSight للحصول على معلومات التسعير.
5. McAfee Enterprise Security Manager
مكافي هو بالتأكيد اسم آخر في الأسرةصناعة الأمن. ومع ذلك ، فمن المعروف عن منتجاتها الحماية من الفيروسات. مدير أمان Enterprise ليس مجرد برنامج. إنه في الواقع جهاز. يمكنك الحصول عليه بشكل افتراضي أو مادي.
من حيث القدرات التحليلية ، ويعد McAfee Enterprise Security Manager واحدًا من أفضل أدوات SIEM من قبل الكثيرين. يقوم النظام بجمع السجلات عبر مجموعة واسعة من الأجهزة. أما بالنسبة لقدرات التطبيع ، فهي أيضًا من الدرجة الأولى. يجمع محرك الارتباط بسهولة مصادر بيانات متباينة ، مما يسهل اكتشاف أحداث الأمان فور حدوثها
لكي نكون صادقين ، هناك ما هو أكثر من حل McAfeeمن مجرد مدير أمن المؤسسة. للحصول على حل SIEM كامل ، تحتاج أيضًا إلى Enterprise Log Manager و Receiver Event. لحسن الحظ ، يمكن تغليف جميع المنتجات في جهاز واحد. بالنسبة لأولئك الذين قد يرغبون في تجربة المنتج قبل شرائه ، تتوفر نسخة تجريبية مجانية.
6. IBM QRadar
IBM ، وربما الاسم الأكثر شهرة في تكنولوجيا المعلوماتتمكنت الصناعة من إنشاء حل SIEM الخاص بها ، تعد IBM QRadar واحدة من أفضل المنتجات في السوق. تُمكّن الأداة المحللين الأمنيين من اكتشاف الحالات الشاذة ، والكشف عن التهديدات المتقدمة وإزالة الإيجابيات الخاطئة في الوقت الفعلي.
يفتخر IBM QRadar بمجموعة من إدارة السجلات والبياناتميزات التجميع والتحليلات وكشف التسلل. يساعدون معًا في الحفاظ على البنية التحتية للشبكة وتشغيلها. هناك أيضًا تحليلات لنمذجة المخاطر يمكنها محاكاة الهجمات المحتملة.
بعض الميزات الرئيسية في QRadar تشمل القدرةلنشر الحل الداخلي أو في بيئة سحابية. إنه حل وحدات ويمكن للمرء أن يضيف بسرعة أكبر وغير مكلفة المزيد من سعة المعالجة. يستخدم النظام خبرة استخباراتية من IBM X-Force ويتكامل بسلاسة مع مئات منتجات IBM وغير منتجات IBM.
كونها IBM ، يمكنك أن تتوقع دفع سعر إضافي لحلها SIEM. ولكن إذا كنت بحاجة إلى واحدة من أفضل أدوات SIEM في السوق ، فقد تستحق QRadar الاستثمار.
فى الختام
المشكلة الوحيدة التي تخاطر بها عند التسوقللحصول على أفضل أداة معلومات الأمان ومراقبة الأحداث (SIEM) ، توجد وفرة من الخيارات الممتازة. لقد قدمنا للتو أفضل ستة. كلهم خيارات ممتازة. سيعتمد الشخص الذي ستختاره إلى حد كبير على احتياجاتك بالضبط وميزانيتك والوقت الذي ترغب في وضعه فيه. للأسف ، فإن التكوين الأولي هو دائمًا الجزء الأصعب وهذا هو المكان الذي يمكن أن تسوء فيه الأمور إذا لم يتم تكوين أداة SIEM بشكل صحيح ، فلن تتمكن من أداء وظيفتها بشكل صحيح.
النص 50 - 2300
تعليقات