واحدة من أهم - إن لم يكن الأكثرمهم - أصول العديد من مؤسسات اليوم هي بياناتهم. من المهم والقيمة أن يبذل الكثير من الأفراد أو المنظمات ذات النوايا الطيبة جهودًا كبيرة لسرقة تلك البيانات الثمينة. يفعلون ذلك باستخدام مجموعة واسعة من التقنيات والتقنيات للحصول على وصول غير مصرح به إلى الشبكات والأنظمة. يبدو أن عدد هذه المحاولات يتزايد باطراد في كل وقت. لمنع ذلك ، يتم نشر أنظمة تسمى Intrusion Prevention Systems أو IPS بواسطة الشركات التي ترغب في حماية أصول البيانات الخاصة بها. ال SolarWinds سجل & مدير الأحداث طالما Splunk نوعان من المنتجات غير التقليدية في تلك الساحة. اليوم ، نحن نقارن الاثنين.
سنبدأ استكشافنا من خلال إلقاء نظرة علىمنع الاختراق بشكل عام. سوف يساعد في تحديد الجدول لما سيأتي. سنحاول الاحتفاظ بها على أنها غير تقنية قدر الإمكان. فكرتنا ليست أن تجعلك خبراء في منع الاختراق بل نضمن أننا جميعًا في نفس الصفحة مع استكشافنا لكلا المنتجين. نتحدث عن استكشاف المنتجات ، وهذا ما لدينا بعد ذلك. سنقوم أولاً بوصف الميزات الرئيسية لبرنامج SolarWinds Log & Event Manager ، وسنتابع من خلال إلقاء نظرة على قوة المنتج ونقاط ضعفه وإيجابياته وسلبياته ، كما ورد في تقرير مستخدمي النظام الأساسي وسنختتم نظرتنا العامة للمنتج من خلال إلقاء نظرة على هيكل التسعير والترخيص. سنقوم بعد ذلك بمراجعة Splunk باستخدام تنسيق مماثل مع ميزات المنتجات ونقاط القوة والضعف فيها ، إيجابيات وسلبيات وهيكل التسعير. أخيرًا ، سنختتم ما يقوله المستخدمون حول المنتجين.
منع الاختراق - ما هذا كله؟
منذ سنوات ، كانت الفيروسات هي الوحيدة إلى حد كبيرمخاوف من مسؤولي النظام. وصلت الفيروسات إلى درجة كانت شائعة فيها لدرجة أن الصناعة تفاعلت من خلال تطوير أدوات الحماية من الفيروسات. اليوم ، لن يفكر أي مستخدم جاد في ذهنه الصحيح في تشغيل جهاز كمبيوتر بدون حماية من الفيروسات. على الرغم من أننا لم نسمع الكثير من الفيروسات بعد الآن ، فإن التسلل - أو الوصول غير المصرح به إلى بياناتك من قبل المستخدمين الضارين - يعد تهديدًا جديدًا. نظرًا لأن البيانات غالبًا ما تكون أهم أصول المؤسسة ، فقد أصبحت شبكات الشركات هدفًا للمتسللين الذين لا يبدون نية النية والتي ستبذل قصارى جهدها للوصول إلى البيانات. تمامًا مثلما كان برنامج الحماية من الفيروسات هو الحل لانتشار الفيروسات ، فإن أنظمة منع التطفل هي الرد على هجمات المتطفلين.
نظم منع التسلل تفعل أساسا اثنينالأشياء. أولاً ، يكتشفون محاولات الاقتحام وعندما يكتشفون أي أنشطة مشبوهة ، يستخدمون أساليب مختلفة لإيقافها أو حظرها. هناك طريقتان مختلفتان يمكن اكتشاف محاولات التسلل. يعمل الكشف المستند إلى التوقيع من خلال تحليل حركة مرور البيانات وبياناتها والبحث عن أنماط محددة مرتبطة بمحاولات الاقتحام. هذا مشابه لأنظمة الحماية من الفيروسات التقليدية التي تعتمد على تعريفات الفيروسات. يعتمد كشف التسلل المستند إلى التوقيع على تواقيع أو أنماط التسلل. العيب الرئيسي في طريقة الكشف هذه هو أنه يحتاج إلى التوقيعات المناسبة ليتم تحميلها في البرنامج. وعندما تكون هناك طريقة هجوم جديدة ، عادة ما يكون هناك تأخير قبل تحديث تواقيع الهجوم. يسير بعض البائعين بسرعة كبيرة في توفير تواقيع الهجوم المحدّثة بينما يكون الآخرون أبطأ بكثير. يعد عدد المرات التي يتم فيها تحديث التواقيع ومدى السرعة عاملًا مهمًا يجب مراعاته عند اختيار البائع.
الكشف القائم على الشذوذ يوفر حماية أفضلضد هجمات اليوم صفر ، تلك التي تحدث قبل توقيعات الكشف قد أتيحت لها الفرصة ليتم تحديثها. تبحث العملية عن الحالات الشاذة بدلاً من محاولة التعرف على أنماط الاختراق المعروفة. على سبيل المثال ، سيتم تشغيله إذا حاول شخص ما الوصول إلى نظام بكلمة مرور خاطئة عدة مرات متتالية ، وهي علامة شائعة على هجوم القوة الوحشية. هذا مجرد مثال ، وهناك عادة مئات من الأنشطة المشبوهة المختلفة التي يمكن أن تؤدي إلى هذه الأنظمة. كل من أساليب الكشف لها مزايا وعيوب. أفضل الأدوات هي تلك التي تستخدم مزيجًا من تحليل التوقيع والسلوك للحصول على أفضل حماية.
اكتشاف محاولة التسلل هو واحد الجزء الأولمنعهم. بمجرد اكتشافها ، تعمل أنظمة منع التطفل بنشاط على إيقاف الأنشطة المكتشفة. يمكن اتخاذ العديد من الإجراءات العلاجية المختلفة بواسطة هذه الأنظمة. يمكنهم ، على سبيل المثال ، تعليق أو إلغاء تنشيط حسابات المستخدمين. هناك إجراء نموذجي آخر يتمثل في حظر عنوان IP المصدر للهجوم أو تعديل قواعد جدار الحماية. إذا كان النشاط الضار يأتي من عملية محددة ، فإن نظام الوقاية يمكن أن يقتل هذه العملية. يعد بدء بعض عمليات الحماية من ردود الفعل الشائعة الأخرى ، وفي أسوأ الحالات ، يمكن إيقاف تشغيل أنظمة كاملة للحد من الأضرار المحتملة. من المهام المهمة الأخرى لأنظمة Intrusion Prevention Systems تنبيه المسؤولين وتسجيل الحدث والإبلاغ عن الأنشطة المشبوهة.
تدابير منع التسلل السلبي
في حين أن أنظمة منع الاختراق يمكن أن تحميأنت ضد أنواع عديدة من الهجمات ، لا شيء يتفوق على إجراءات منع التسلل السلبية الجيدة القديمة. على سبيل المثال ، يعد استخدام كلمات مرور قوية طريقة ممتازة للحماية من العديد من عمليات الاقتحام. هناك إجراء حماية آخر سهل يتمثل في تغيير كلمات المرور الافتراضية للمعدات. في حين أنه أقل تواتراً في شبكات الشركة - رغم أنه لم يسمع به - إلا أنني رأيت في كثير من الأحيان بوابات الإنترنت التي لا تزال تحتوي على كلمة مرور المسؤول الافتراضية الخاصة بها. بينما يتعلق موضوع كلمات المرور ، يعد تقادم كلمة المرور خطوة ملموسة أخرى يمكن وضعها للحد من محاولات الاختراق. أي كلمة مرور ، حتى أفضل كلمة مرور ، يمكن تصدعها في نهاية المطاف ، مع إعطاء وقت كافي. يضمن تقادم كلمة المرور تغيير كلمات المرور قبل كسرها.
سجل الأحداث ومدير SolarWinds (نسخة تجريبية مجانية متوفرة)
سولارويندز اسم معروف في إدارة الشبكة. يتمتع بسمعة قوية لصنع بعض من أفضل أدوات إدارة الشبكات والنظام. المنتج الرئيسي ، و مراقبة أداء الشبكة يسجل باستمرار بين أفضل أدوات مراقبة النطاق الترددي للشبكة المتاحة. تشتهر SolarWinds أيضًا بأدواتها المجانية العديدة ، حيث تلبي كل منها حاجة معينة لمسؤولي الشبكات. ال خادم كيوي سيسلوغ أو ال SolarWinds TFTP سerver مثالان ممتازان لهذه الأدوات المجانية.
لا تدع SolarWinds سجل & مدير الأحداثاسم يخدعك. هناك ما هو أكثر بكثير مما تراه العين. بعض الميزات المتقدمة لهذا المنتج تعتبره نظامًا للكشف عن الاختراق والوقاية منه بينما يضعه آخرون في نطاق إدارة المعلومات الأمنية وإدارة الأحداث (SIEM). تتميز الأداة ، على سبيل المثال ، بربط الحدث في الوقت الفعلي ومعالجة الوقت الفعلي.
- تجربة مجانية: SolarWinds سجل & مدير الأحداث
- رابط التحميل: https://www.solarwinds.com/log-event-manager-software/registration
ال SolarWinds سجل & مدير الأحداث تفتخر الكشف الفوري من المشبوهةالنشاط (وظيفة كشف التسلل) والاستجابات الآلية (وظيفة منع التسلل). يمكن أيضًا استخدام هذه الأداة لإجراء التحقيق في الأحداث الأمنية والطب الشرعي. يمكن استخدامه لأغراض التخفيف والامتثال. تتميز الأداة بإعداد تقارير أثبتت فعاليتها في المراجعة والتي يمكن استخدامها أيضًا لإثبات الامتثال للأطر التنظيمية المختلفة مثل HIPAA و PCI-DSS و SOX. تحتوي الأداة أيضًا على مراقبة سلامة الملفات ومراقبة جهاز USB. جميع ميزات البرنامج المتقدمة تجعله نظامًا أمنيًا متكاملًا أكثر من نظام إدارة الأحداث والسجلات الذي سيدعوك إلى تصديقه.
منع الاختراق ميزات SolarWinds سجل & مدير الأحداث يعمل عن طريق تنفيذ إجراءات تسمى نشطالردود كلما تم الكشف عن التهديدات. يمكن ربط الاستجابات المختلفة بتنبيهات محددة. على سبيل المثال ، يمكن للنظام الكتابة إلى جداول جدار الحماية لمنع وصول الشبكة لعنوان IP المصدر الذي تم تحديده على أنه يؤدي أنشطة مشبوهة. يمكن للأداة أيضًا تعليق حسابات المستخدمين وإيقاف العمليات أو بدء تشغيلها وإغلاق الأنظمة. ستذكر كيف كانت هذه بالضبط إجراءات الإصلاح التي حددناها من قبل.
نقاط القوة والضعف
وفقا لجارتنر ، و سولارويندز سجل & مدير الأحداث "يقدم حلاً متكاملًا جيدًاملائم بشكل خاص للشركات الصغيرة والمتوسطة ، وذلك بفضل بنيتها البسيطة ، والترخيص السهل ، والمحتوى القوي والميزات الخارجية ". أداة مصادر الحدث متعددة ، ويوفر بعض وظيفة الاحتواء التهديد والسيطرة على الحجر الصحي التي لا تتوفر عادة من المنتجات المنافسة.
ومع ذلك ، تلاحظ شركة الأبحاث أيضا أن هذاالمنتج هو نظام بيئي مغلق ، مما يجعل من الصعب الاندماج مع حلول الأمان التابعة لجهات خارجية مثل الكشف المتقدم عن التهديدات وخلاصات معلومات التهديدات وأدوات UEBA. كما كتبت الشركة: "التكامل مع أدوات مكتب الخدمة يقتصر أيضًا على الاتصال أحادي الاتجاه عبر البريد الإلكتروني و SNMP".
علاوة على ذلك ، رصد ادارة العلاقات مع البيئاتغير مدعوم من قبل المنتج ومراقبة IaaS محدودة. يجب على العملاء الذين يرغبون في توسيع نطاق المراقبة على الشبكات والتطبيقات شراء منتجات SolarWinds الأخرى.
- تجربة مجانية: SolarWinds سجل & مدير الأحداث
- رابط التحميل: https://www.solarwinds.com/log-event-manager-software/registration
إيجابيات وسلبيات
لقد قمنا بتجميع أهم إيجابيات وسلبيات أبلغ عنها مستخدمو مدراء أحداث ومقدمي SolarWinds. إليكم ما يقولون.
الايجابيات
- المنتج سهل الإعداد بشكل لا يصدق. تم نشره وقد أشارت إليه مصادر السجل وكانت تؤدي الارتباطات الأساسية خلال يوم واحد.
- تمنحك الاستجابات التلقائية المتوفرة بعد نشر الوكيل تحكمًا لا يصدق للاستجابة للأحداث على شبكتك.
- واجهة الأداة سهلة الاستخدام. بعض المنتجات المنافسة يمكن أن تكون شاقة لمعرفة كيفية استخدام والتأقلم معها ، ولكن SolarWinds سجل & مدير الأحداث لديه تصميم سهل الاستخدام وسهل الاستخدام.
سلبيات
- لا يحتوي المنتج على محلل مخصص. سيكون هناك حتما منتج على شبكتك SolarWinds سجل & مدير الأحداث لن نعرف كيف يتم التحليل تستفيد بعض الحلول المتنافسة من المحلل اللغوي المخصص لهذا السبب. لا يحتوي هذا المنتج على دعم لإنشاء موزعي مخصص ، لذلك تظل تنسيقات السجل غير المعروفة غير محلولة.
- يمكن أن تكون الأداة في بعض الأحيان أساسية للغاية. إنها أداة ممتازة لأداء الارتباطات الأساسية في بيئة صغيرة إلى متوسطة الحجم. ومع ذلك ، إذا حاولت التقدم أكثر مما ينبغي بسبب الارتباطات التي تحاول تنفيذها ، فقد تشعر بالإحباط من قلة وظائف الأداة التي تعزى أساسًا إلى طريقة توزيع البيانات.
التسعير والترخيص
تسعير لـ SolarWinds Log & Event Managerيختلف بناءً على عدد العقد المراقبة. تبدأ الأسعار من 4585 دولارًا لما يصل إلى 30 عقدًا يمكن مراقبتها ، ويمكن شراء تراخيص بحد أقصى 2500 عقد من خلال عدة طبقات ترخيص ، مما يجعل المنتج قابلًا للتوسع بدرجة كبيرة. إذا كنت تريد أن تأخذ المنتج لإجراء اختبار وترى بنفسك ما إذا كان مناسبًا لك ، فستتوفر نسخة تجريبية مجانية مدتها 30 يومًا كاملة المواصفات.
Splunk
Splunk ربما يكون أحد أكثر أنظمة منع الاختراق شيوعًا. وهي متوفرة في العديد من الإصدارات المختلفة الرياضية مجموعات ميزة مختلفة. أمن المؤسسات-أو ES Splunk، كما يطلق عليه في كثير من الأحيان - هو ما تحتاجه صحيحمنع التطفل. وهذا ما ننظر إليه اليوم. يراقب البرنامج بيانات نظامك في الوقت الفعلي ، ويبحث عن نقاط الضعف وعلامات النشاط غير الطبيعي. على الرغم من أن هدفها هو منع الاختراقات سولارويندز'، الطريقة التي يحقق بها الأمر مختلفة.
استجابة الأمن هي واحدة من Splunkبدلات قوية وهذا ما يجعله نظام منع الاختراق وبديلًا لـ سولارويندز المنتج استعرض للتو. ويستخدم ما يسميه البائع إطار الاستجابة التكيفية (ARF). تتكامل الأداة مع معدات من أكثر من 55 بائعًا للأمان ، ويمكنها إجراء استجابة تلقائية وتسريع المهام اليدوية وتوفير رد فعل أسرع. يمنحك مزيج من العلاج الآلي والتدخل اليدوي أفضل الفرص لكسب اليد العليا بسرعة. تحتوي الأداة على واجهة مستخدم بسيطة ومرتبة ، مما يجعل الحل الفائز. تشمل ميزات الحماية الأخرى المثيرة للاهتمام "وجهاء"الوظيفة التي تظهر تنبيهات مخصصة للمستخدم و"محقق الأصول"للإشارة إلى الأنشطة الضارة ومنع المزيد من المشكلات.
نقاط القوة والضعف
Splunkالنظام البيئي للشريك الكبير يوفر التكامل و Splunkمحتوى محدد من خلال Splunkbase متجر التطبيقات. مجموعة الحلول الكاملة للمورد تسهل أيضًا على المستخدمين أن يتحولوا إلى النظام الأساسي بمرور الوقت ، كما تتوفر إمكانات التحليل المتقدمة بعدة طرق عبر Splunk النظام البيئي.
على الجانب السلبي ، Splunk لا يقدم إصدارًا من الأجهزة للحل ، وقد أثار عملاء Gartner مخاوف بشأن نموذج الترخيص وتكلفة التنفيذ - استجابةً لذلك ، Splunk أدخل أساليب جديدة للترخيص ، بما في ذلك اتفاقية اعتماد المؤسسات (EAA).
إيجابيات وسلبيات
كما فعلنا مع المنتج السابق ، إليك قائمة بأهم إيجابيات وسلبيات كما أبلغ عنها مستخدمو Splunk.
الايجابيات
- تجمع الأداة سجلات جيدة جدًا من جميع أنواع الماكينات تقريبًا - معظم المنتجات البديلة لا تفعل ذلك أيضًا.
- Splunk يوفر مرئيات للمستخدم ، مما يتيح له القدرة على تحويل السجلات إلى عناصر مرئية مثل المخططات الدائرية ، الرسوم البيانية ، الجداول ، إلخ.
- إنه سريع جدًا في الإبلاغ عن الحالات الشاذة وتنبيهها. هناك القليل من التأخير.
سلبيات
- Splunksearch لغة البحث عميقة جدا. ومع ذلك ، فإن القيام ببعض التحليل أو التنسيق الإحصائي الأكثر تطوراً ينطوي على القليل من منحنى التعلم. Splunk التدريب متاح لتعلم لغة البحث ومعالجة البيانات الخاصة بك ولكن يمكن أن يتكلف في أي مكان من 500.00 دولار إلى 500 دولار.
- تعتبر إمكانات لوحة القيادة الخاصة بالأداة مناسبة إلى حد ما ، ولكن للقيام بمزيد من التصورات المثيرة يتطلب القليل من التطوير باستخدام XML و Javascript و CSS البسيط.
- يقوم البائع بإصدار المراجعات الثانوية بسرعة كبيرة ولكن بسبب العدد الهائل من الأخطاء التي واجهناها ، كان علينا ترقية بيئتنا أربع مرات في تسعة أشهر.
التسعير والترخيص
مؤسسة سبانكيعتمد التسعير على مقدار البيانات الإجمالية لكإرسالها كل يوم. يبدأ السعر من 150 دولارًا شهريًا حتى 1 غيغابايت من البيانات التي يتم تناولها يوميًا. تخفيضات حجم المتاحة. يشمل هذا السعر المستخدمين غير المحدود ، وعمليات البحث غير المحدودة ، والبحث في الوقت الفعلي ، والتحليل والتصور ، والرصد والتنبيه ، والدعم القياسي والمزيد. ستحتاج إلى الاتصال بمبيعات Splunk للحصول على عرض أسعار مفصل. مثل معظم المنتجات في هذا النطاق من النطاق السعري ، تتوفر نسخة تجريبية مجانية لأولئك الذين يرغبون في تجربة المنتج.
ماذا قيل عن المنتجين؟
المستخدمين محطة تكنولوجيا المعلومات المركزية تعطي سولارويندز 9 من 10 و Splunk 8 من أصل 10. ومع ذلك ، يقوم مستخدمو Gartner Peer Insights بعكس الترتيب وإعطاء Splunk 4.3 من 5 و سولارويندز 4 من 5.
كتب جيفري روبينيت ، مهندس النظام في شركة Foxhole Technology ، ذلك سولارويندزتعد التقارير ولوحة المعلومات الخارجة عن الميزان قوة رئيسية ، مع الإشارة إلى أنه "يسمح لنا بمراقبة الوصول وسحب التقارير الإلكترونية بسرعة. لا مزيد من البحث من خلال سجلات على كل خادم. "
بالمقارنة مع Splunkقال ذلك روبينيت سولارويندز لا يتطلب الكثير من التخصيص وأسعاره أقل ، بينما كتب عنها Splunk أن "تحتاج إلى الدكتوراه على تخصيص التقارير. "
بالنسبة إلى راؤول لاباز ، عمليات أمن تقنية المعلومات في روش، في حين Splunk ليست رخيصة ، وسهولة الاستخدام ، والتدرجية ، والاستقرار ، وسرعة محرك البحث ، والتوافق مع مجموعة واسعة من مصادر البيانات تجعله يستحق كل هذا العناء.
لكن لاباز أشار إلى بعض أوجه القصور ،بما في ذلك ، على سبيل المثال ، حقيقة أن إدارة الكتلة لا يمكن تنفيذها إلا عبر سطر الأوامر ، وأن الأذونات ليست مرنة للغاية. لقد كتب: "سيكون من الجيد أن يكون لديك المزيد من الخيارات الدقيقة ، مثل المصادقة المزدوجة عامل".
تعليقات