Навън е джунгла! Злобни личности са навсякъде и те следят вас. Е, вероятно не вие лично, а по-скоро вашите данни. Ние вече не само вируси, от които трябва да се защитаваме, а всякакви атаки, които могат да оставят вашата мрежа - и вашата организация - в тежко положение. Поради разпространението на различни системи за защита като антивирусни програми, защитни стени и системи за откриване на проникване, мрежовите администратори са наводнени с информация, която трябва да свържат, опитвайки се да я осмисли. Това е мястото, където системите за информация за сигурността и управление на събития (SIEM) са полезни. Те се справят с по-голямата част от ужасната работа по справянето с твърде много информация. За да улесним вашата работа по избора на SIEM, ние ви представяме най-добрите инструменти за информация за сигурност и управление на събития (SIEM).
Днес започваме нашия анализ с обсъждане намодерна сцена на заплаха. Както казахме, вече не са само вируси. След това ще се опитаме да обясним по-добре какво точно представлява SIEM и да поговорим за различните компоненти, които правят система SIEM. Някои от тях може да са по-важни от други, но относителното им значение може да е различно за различните хора. И накрая, ще представим нашия избор на шестте най-добри средства за информация за сигурност и управление на събития (SIEM) и накратко ще прегледаме всеки от тях.
Съвременната сцена на заплаха
Компютърната сигурност е била само за вирусзащита. Но през последните години бяха разкрити няколко различни вида атаки. Те могат да бъдат под формата на атаки за отказ на услуга (DoS), кражба на данни и много други. И те вече не идват само отвън. Много атаки произхождат от мрежа. Така че, за максимална защита са измислени различни видове системи за защита. В допълнение към традиционните антивирусни и защитни стени, сега имаме например системи за предотвратяване на проникване и загуба на данни (IDS и DLP).
Разбира се, колкото повече добавяте системи, толкова повечеработа, която ги управлявате. Всяка система следи някои специфични параметри за аномалии и ще ги регистрира и / или задейства сигнали, когато бъдат открити. Не би ли било хубаво, ако мониторингът на всички тези системи може да бъде автоматизиран? Освен това някои видове атаки могат да бъдат открити от няколко системи, докато преминават през различни етапи. Не би ли било много по-добре, ако можете да реагирате на всички свързани събития като едно? Е, точно за това е SIEM.
Какво е SIEM, точно?
Името казва всичко. Информация за сигурност и управление на събития е процесът на управление на информацията и събитията за сигурност. Конкретно, системата SIEM не осигурява никаква защита. Основната му цел е да улесни живота на администраторите на мрежи и сигурност. Това, което типичната система SIEM наистина прави, е да събира информация от различни системи за защита и откриване, да съпоставя цялата тази информация, сглобяваща свързани събития, и да реагира на значими събития по различни начини. Често SIEM системите ще включват и някаква форма на отчитане и табла за управление.
Основните компоненти на система SIEM
Предстои да проучим по-подробно всекиосновен компонент на система SIEM. Не всички системи SIEM включват всички тези компоненти и дори когато го правят, те биха могли да имат различни функции. Те обаче са най-основните компоненти, които човек обикновено може да намери, под една или друга форма, във всяка система SIEM.
Събиране и управление на трупи
Събирането и управлението на трупи е основнотокомпонент на всички системи SIEM. Без него няма SIEM. Системата SIEM трябва да получава данни от лога от най-различни източници. Той може да го дърпа или различни системи за откриване и защита могат да го натиснат към SIEM. Тъй като всяка система има свой собствен начин за категоризиране и запис на данни, SIEM е да нормализира данните и да ги направи унифицирани, независимо какъв е източникът им.
След нормализиране често ще бъдат регистрирани даннив сравнение с известни модели на атака в опит да се разпознае злонамерено поведение възможно най-рано. Данните също често ще бъдат сравнявани с по-рано събрани данни, за да спомогнат за изграждането на базова линия, която допълнително ще подобри откриването на необичайна активност.
Отговор на събитието
След като бъде открито събитие, трябва да се направи нещоза това. За това се отнася модулът за реакция на събитията за системата SIEM. Реакцията на събитието може да бъде под различни форми. В най-основната си реализация ще се генерира предупредително съобщение на конзолата на системата. Често могат да се генерират и имейл или SMS сигнали.
Но най-добрите SIEM системи отиват крачка напред ичесто ще започне някакъв корекционен процес. Отново това е нещо, което може да приеме много форми. Най-добрите системи разполагат с цялостна система за работен процес за реакция при инциденти, която може да бъде персонализирана, за да предостави точно желания от вас отговор. И както може да се очаква, реакцията на инцидентите не трябва да е еднаква и различните събития могат да предизвикат различни процеси. Най-добрите системи ще ви дадат пълен контрол върху работния процес на реакция на инцидент.
Докладване
След като разполагате със събирането и управлението на дневникаи съществуващите системи за реагиране, следващият изграждащ блок, от който се нуждаете, е отчитане. Може би още не го знаете, но ще ви трябват доклади. Горното ръководство ще се нуждае от тях, за да се убедят сами, че инвестицията им в система SIEM се изплаща. Може да се нуждаете и от отчети за целите на съответствието. Спазването на стандарти като PCI DSS, HIPAA или SOX може да бъде облекчено, когато вашата система SIEM може да генерира отчети за съответствие.
Докладите може да не са в основата на система SIEMно все пак, това е един съществен компонент. И често отчитането ще бъде основен диференциращ фактор между конкурентните системи. Докладите са като бонбони, никога не можете да имате твърде много. И разбира се, най-добрите системи ще ви позволят да създавате персонализирани отчети.
Таблото (и)
Не на последно място, таблото за управление ще бъде вашепрозорец в състоянието на вашата система SIEM. И дори може да има множество табла за управление. Тъй като различните хора имат различни приоритети и интереси, перфектното табло за мрежов администратор ще бъде различно от това на администратора на сигурността. И изпълнителната власт също ще се нуждае от съвсем различен.
Въпреки че не можем да оценим SIEM система отброй на таблата, които има, трябва да изберете едно, което разполага с всички табла за управление, от които се нуждаете. Това определено ще искате да имате предвид, докато оценявате доставчиците. И точно както при отчетите, най-добрите системи ще ви позволят да изградите персонализирани табла по ваш вкус.
Нашите топ 6 инструменти SIEM
Има много системи SIEM там. Всъщност твърде много, за да мога да ги прегледам тук. Така че ние търсихме пазара, сравнихме системите и съставихме списък на това, което намерихме за шестте най-добри инструменти за информация и управление на сигурността (SIEM). Ние ги изброяваме по реда на предпочитанията и накратко ще ги прегледаме. Но въпреки тяхната поръчка, и шестте са отлични системи, които можем да ви препоръчаме само да опитате за себе си.
Ето какви са нашите топ 6 инструменти SIEM
- SolarWinds Log & Event Manager
- Splunk Enterprise Security
- RSA NetWitness
- ArcSight Enterprise Security Manager
- McAfee Enterprise Security Manager
- IBM QRadar SIEM
1. SolarWinds Log & Event Manager (БЕЗПЛАТНО ИЗПИТВАНЕ 30 дни)
SolarWinds е често срещано име в мрежатамониторинг на света. Техният водещ продукт, Network Performance Monitor е един от най-добрите налични инструменти за мониторинг на SNMP. Компанията е известна и с многобройните си безплатни инструменти като техния подмрежен калкулатор или техния SFTP сървър.
Инструментът SIEM на SolarWinds, Мениджърът за журнали и събития(LEM) е най-добре описана като система SIEM за входно ниво. Но това е може би една от най-конкурентните системи за начално ниво на пазара. SolarWinds LEM разполага с всичко, което можете да очаквате от система SIEM. Той има отлични функции за дългосрочно управление и корелация и впечатляващ двигател за отчитане.
Що се отнася до функциите за реагиране на събития на инструмента, те тене оставяйте нищо за желание. Подробната система за реагиране в реално време ще реагира активно на всяка заплаха. И тъй като се основава на поведение, а не на подпис, вие сте защитени от неизвестни или бъдещи заплахи.
Но таблото за инструменти е вероятно най-добротоактив. С опростен дизайн няма да имате проблеми бързо да идентифицирате аномалиите. Започвайки от около $ 4 500, инструментът е повече от достъпен. И ако искате да го опитате първо, за изтегляне е достъпна безплатна напълно функционална 30-дневна пробна версия.
2. Splunk Enterprise Security
Вероятно една от най-популярните системи SIEM,Splunk Enterprise Security - или Splunk ES, както често се нарича - е особено известен със своите аналитични възможности. Splunk ES следи данните в системата ви в реално време, търсейки уязвимости и признаци на необичайна активност.
Отговорът за сигурност е друг от силните Splunk ESкостюми. Системата използва това, което Splunk нарича Adaptive Response Framework (ARF), което се интегрира с оборудване на повече от 55 доставчици на сигурност. ARF изпълнява автоматизиран отговор, ускорявайки ръчните задачи. Това ще ви позволи бързо да спечелите горната си ръка. Добавете към това прост и незабравен потребителски интерфейс и имате печелившо решение. Други интересни функции включват функцията Notables, която показва персонализирани от потребителя сигнали, и Asset Investigator за маркиране на злонамерени дейности и предотвратяване на допълнителни проблеми.
Splunk ES е наистина бизнес класи се предлага с ценови размери за предприятия. Не можете дори да получите информация за цените от уебсайта на Splunk. Трябва да се свържете с отдела по продажбите, за да получите цена. Въпреки цената си, това е страхотен продукт и може да искате да се свържете със Splunk и да се възползвате от безплатна пробна версия.
3. RSA NetWitness
От 20016 г. NetWitness се фокусира върху продуктитеподкрепа на „дълбоката осведоменост за ситуацията в мрежата в реално време и гъвкавия мрежов отговор“. След като бе придобит от EMC, която тогава се сля с Dell, бизнесът Newitness вече е част от клона на RSA на корпорацията. И това е добра новина RSA е известно име в сигурността.
RSA NetWitness е идеален за организации, които търсятцялостно решение за мрежова анализа. Инструментът включва информация за вашия бизнес, която помага да се даде приоритет на сигналите. Според RSA системата „събира данни в повече точки на заснемане, компютърни платформи и източници на разузнавателна информация за заплахи от други SIEM решения“. Има и разширено откриване на заплаха, което комбинира поведенчески анализ, техники за научни данни и информация за заплахата. И накрая, усъвършенстваната система за реакция може да се похвали с възможности за оркестрация и автоматизация, за да ви помогне да се избавите от премахването на заплахите, преди да повлияят на бизнеса ви.
Един от основните недостатъци на RSA NetWitness ече не е най-лесното за използване и конфигуриране Съществува обаче всеобхватна документация, която може да ви помогне при настройката и използването на продукта. Това е друг продукт за фирмен клас и ще трябва да се свържете с продажбите, за да получите информация за цените.
4. ArcSight Enterprise Security Manager
ArcSight Enterprise Security Manager помагаидентифициране и приоритизиране на заплахите за сигурността, организиране и проследяване на действия за реагиране на инциденти и опростяване на дейностите по одит и спазване. Бивша продадена под марката HP, сега се е сляла с Micro Focus, друго дъщерно дружество на HP.
От около петнайсет години насам,ArcSight е друг изключително популярен инструмент SIEM. Той компилира данни от лога от различни източници и извършва обширен анализ на данни, търсейки признаци на злонамерена активност. За да улесните бързо идентифицирането на заплахите, можете да видите резултатите от анализа на real0tme.
Ето една от основните характеристики на продуктите. Той разполага с мощна разпределена корелация на данни в реално време, автоматизация на работния процес, оркестрация за сигурност и съдържание, защитено от общността. Enterprise Security Manager също се интегрира с други продукти на ArcSight, като платформата за данни ArcSight и Event Broker или ArcSight Investigate. Това е друг продукт за корпоративен клас - като почти всички качествени инструменти SIEM - за който ще се наложи да се свържете с екипа за продажби на ArcSight, за да получите информация за цените.
5. McAfee Enterprise Security Manager
McAfee със сигурност е друго име на домакинството виндустрия за сигурност. Въпреки това, той е по-известен със своите продукти за защита от вируси. Мениджърът за сигурност на Enterprise не е само софтуер. Всъщност е уред. Можете да го получите във виртуална или физическа форма.
По отношение на възможностите си за анализиране,McAfee Enterprise Security Manager се счита за един от най-добрите инструменти на SIEM. Системата събира дневници в широк спектър от устройства. Що се отнася до неговите възможности за нормализиране, той също е на първо място. Корелационният механизъм лесно компилира различни източници на данни, което улеснява откриването на събития в сигурността, тъй като те се случват
За да бъде вярно, има още нещо за решението на McAfeeотколкото само неговият Enterprise Security Manager. За да получите цялостно решение за SIEM, вие също се нуждаете от Enterprise Log Manager и получател на събития. За щастие, всички продукти могат да бъдат опаковани в един уред. За тези от вас, които може да искат да изпробват продукта, преди да го закупите, е налична безплатна пробна версия.
6. IBM QRadar
IBM, вероятно най-известното име в ИТиндустрията успя да установи своето решение SIEM, IBM QRadar е един от най-добрите продукти на пазара. Инструментът дава възможност на анализаторите за сигурност да откриват аномалии, да разкриват напреднали заплахи и да премахват фалшиви позитиви в реално време.
IBM QRadar може да се похвали с набор от управление на данни, даннифункции за събиране, анализиране и откриване на проникване. Заедно те спомагат за поддържането и функционирането на мрежовата ви инфраструктура. Съществува също аналитика за моделиране на риска, която може да симулира потенциални атаки.
Някои от основните функции на QRadar включват способносттаза внедряване на решението на място или в облачна среда. Това е модулно решение и човек може бързо и евтино да добави повече съхранение на процесорна мощност. Системата използва разузнавателни познания от IBM X-Force и се интегрира безпроблемно със стотици IBM и не-IBM продукти.
Ако IBM е IBM, можете да очаквате да платите премия за тяхното решение SIEM. Но ако имате нужда от един от най-добрите инструменти на SIEM на пазара, QRadar може би много си струва инвестицията.
В заключение
Единственият проблем, който рискувате да имате, когато пазаруватеза най-добрия инструмент за информация за сигурността и мониторинг на събития (SIEM) е изобилието от отлични възможности. Току-що представихме най-добрите шестица. Всички те са отличен избор. Този, който ще изберете, до голяма степен ще зависи от вашите точни нужди, от бюджета ви и от времето, което сте готови да вложите в него. Уви, първоначалната конфигурация винаги е най-трудната част и тук нещата могат да се объркат, ако инструментът SIEM не е правилно конфигуриран, той няма да може да върши работата си както трябва.
Текст 50 - 2300
Коментари