Технически съвети, които да ви направят по-умни - Мрежов администратор - SolarWinds Log & Event Manager vs Splunk - сравнителен преглед

SolarWinds Log & Event Manager vs Splunk - сравнителен преглед

Един от най-важните - ако не ТОЙ най-многоважно - активите на много от днешните организации са техните данни. Толкова е важно и ценно, че много злонамерени личности или организации ще се стараят да откраднат тези ценни данни. Те правят така, че използвайки огромен набор от техники и технологии, за да получат неоторизиран достъп до мрежи и системи. Изглежда броят на тези опити непрекъснато нараства експоненциално. За да се предотврати това, системите, наречени Intrusion Prevention Systems или IPS, се внедряват от предприятия, които искат да защитят своите активи на данни. Най- SolarWinds Log & Event Manager както и Splunk са два нетрадиционни продукта на тази сцена. Днес сравняваме двете.

Ще започнем проучването си, като разгледамепредотвратяване на проникване като цяло. Той ще помогне да настроите таблицата за това, което идва. Ще се опитаме да го поддържаме възможно най-нетехнически. Нашата идея не е да ви направим експерти по превенция от проникване, а по-скоро да гарантираме, че всички сме на една и съща страница, докато допълнително изследваме и двата продукта. Говорейки за проучване на продуктите, това е, което имаме след това. Първо ще опишем основните характеристики на SolarWinds Log & Event Manager; Ще следваме, като разгледаме силата и слабостите на продукта и неговите плюсове и минуси, както са докладвани от потребителите на платформата и ще завършим нашия преглед на продукта, като разгледате неговата структура на ценообразуване и лицензиране. След това ще прегледаме Splunk, използвайки идентичен формат с характеристиките на продуктите, неговите силни и слаби страни, плюсовете и минусите и ценовата структура. Накрая ще завършим с това, което потребителите трябва да кажат за двата продукта.

Предотвратяване на проникване - за какво става въпрос?

Преди години вирусите бяха почти единственитепритеснения на системните администратори. Вирусите стигнаха до точка, в която бяха толкова разпространени, че индустрията реагира чрез разработване на инструменти за защита от вируси. Днес никой сериозен потребител с правилния си ум не би помислил да работи с компютър без защита от вируси. Въпреки че вече не чуваме много вируси, проникването - или неоторизиран достъп до вашите данни от злонамерени потребители - е нова заплаха. Тъй като данните често са най-важният актив на организацията, корпоративните мрежи се превърнаха в мишена на злонамерени хакери, които ще достигнат до голяма степен, за да получат достъп до данни. Точно както софтуерът за защита от вируси беше отговорът на разпространението на вируси, и Intrusion Prevention Systems е отговорът на атаките срещу натрапници.

Системите за предотвратяване на проникване по същество правят двенеща. Първо, те откриват опити за нахлуване и когато открият всякакви подозрителни дейности, използват различни методи, за да го спрат или блокират. Има два различни начина, по които могат да бъдат открити опити за проникване. Откриването на базата на подпис работи, като анализира мрежовия трафик и данни и търси конкретни модели, свързани с опити за проникване. Това е подобно на традиционните системи за защита от вируси, които разчитат на дефиниции срещу вируси. Откриването на проникване въз основа на подпис разчита на подписи или модели на проникване. Основният недостатък на този метод за откриване е, че той се нуждае от подходящи подписи, за да бъде зареден в софтуера. И когато се използва нов метод за атака, обикновено има забавяне, преди да се актуализират подписите за атака. Някои доставчици много бързо предоставят актуализирани подписи за атака, докато други са много по-бавни. Колко често и колко бързо се актуализират подписите е важен фактор, който трябва да вземете предвид при избора на доставчик.

Откриването на базата на аномалия предлага по-добра защитасрещу атаки с нулев ден тези, които се случват преди подписите за откриване, имаха шанс да бъдат актуализирани. Процесът търси аномалии, вместо да се опитва да разпознае известни модели на проникване. Например, би се задействало, ако някой се опита да осъществи достъп до система с грешна парола няколко пъти подред, често срещан знак за груба атака. Това е само пример и обикновено има стотици различни подозрителни дейности, които могат да задействат тези системи. И двата метода на откриване имат предимства и недостатъци. Най-добрите инструменти са тези, които използват комбинация от подпис и анализ на поведението за най-добра защита.

Откриването на опит за проникване е първата частна предотвратяването им. Веднъж открити, системите за предотвратяване на проникване работят активно при спиране на откритите дейности. Тези системи могат да предприемат няколко различни коригиращи действия. Те биха могли например да преустановят или по друг начин да деактивират потребителски акаунти. Друго типично действие е блокирането на изходния IP адрес на атаката или промяна на правилата на защитната стена. Ако злонамерената дейност идва от конкретен процес, системата за предотвратяване може да убие процеса. Стартирането на някакъв процес на защита е друга често срещана реакция и в най-лошите случаи може да се изключат цели системи, за да се ограничат потенциалните щети. Друга важна задача на системите за предотвратяване на проникване е да предупреждава администраторите, да записва събитието и да съобщава за съмнителни дейности.

Мерки за пасивно предотвратяване на проникване

Докато системите за предотвратяване на проникване могат да защитятВие срещу много видове атаки, нищо не бива добро, старомодни пасивни мерки за предотвратяване на проникване. Например задаването на силни пароли е отличен начин за защита от много посегателства. Друга лесна мярка за защита е смяната на паролите по подразбиране на оборудването. Въпреки че е по-рядко срещан в корпоративните мрежи, макар и да не е нечувано - виждам само твърде често интернет портали, които все още имат стандартната си администраторска парола. Докато става въпрос за пароли, застаряването на паролата е друга конкретна стъпка, която може да бъде направена за намаляване на опитите за проникване. Всяка парола, дори и най-добрата, в крайна сметка може да бъде пропукана, като се даде достатъчно време. Стареенето на паролите гарантира, че паролите ще бъдат променени, преди да са били напукани.

Журнал и мениджър на събития на SolarWinds (БЕЗПЛАТНА пробна версия на разположение)

SolarWinds е добре известно име в мрежовата администрация. Той се радва на солидна репутация за създаването на някои от най-добрите инструменти за мрежова и системна администрация. Нейният водещ продукт, the Монитор на ефективността на мрежата последователно оценява сред най-добрите налични инструменти за мониторинг на честотната лента. SolarWinds е известен и с многото си безплатни инструменти, всеки от които адресира специфична нужда от мрежови администратори. Най- Киви Syslog сървър или SolarWinds TFTP Сане са два отлични примера за тези безплатни инструменти.

Не позволявайте SolarWinds Log & Event ManagerИмето ти глупак. Има много повече от това, отколкото среща окото. Някои от усъвършенстваните функции на този продукт го определят като система за откриване и предотвратяване на проникване, докато други го поставят в обхвата на информацията за сигурност и управление на събития (SIEM). Инструментът, например, включва корелация на събития в реално време и корекция в реално време.

БЕЗПЛАТЕН ПРОБЕН ПЕРИОД: SolarWinds Log & Event Manager
Линк за изтегляне: https://www.solarwinds.com/log-event-manager-software/registration

Най- SolarWinds Log & Event Manager може да се похвали с мигновено откриване на подозрителниактивност (функционалност за откриване на проникване) и автоматизирани отговори (функционалност за предотвратяване на проникване). Този инструмент може да се използва и за извършване на разследване на събития за сигурност и криминалистика. Може да се използва за смекчаване и спазване на изискванията. Инструментът разполага с доказано от одита отчитане, което може да се използва и за демонстриране на съответствие с различни регулаторни рамки като HIPAA, PCI-DSS и SOX. Инструментът също има мониторинг на целостта на файловете и наблюдение на USB устройството. Всички усъвършенствани функции на софтуера го превръщат повече в интегрирана платформа за сигурност, а не само в системата за управление на журнали и събития, за което името му ще ви накара да повярвате.

Функциите за предотвратяване на проникване на SolarWinds Log & Event Manager работи чрез прилагане на действия, наречени активноОтговори, когато бъдат открити заплахи. Различните отговори могат да бъдат свързани с конкретни сигнали. Например системата може да записва в таблици на защитната стена, за да блокира достъпа до мрежата на изходен IP адрес, който е идентифициран като изпълняващ подозрителни дейности. Инструментът може също да спре потребителски акаунти, да спре или стартира процеси и да изключи системите. Ще си припомните как точно това са действията за отстраняване, които идентифицирахме преди.

Сили и слабости

Според Gartner, the SolarWinds Log & Event Manager „Предлага добре интегрирано решение, което е aособено подходящ за малки и средни предприятия, благодарение на простата си архитектура, лесното лицензиране и стабилното съдържание и функции, които се предлагат извън кутията “. Инструментът има множество източници на събития и предлага известна функция за ограничаване на заплахите и карантина за контрол, която не се предлага от конкурентните продукти.

Изследователската фирма обаче отбелязва, че товапродуктът е затворена екосистема, което го прави предизвикателство да се интегрира с решения за сигурност на трети страни като разширено откриване на заплахи, емисии за интелигентни заплахи и инструменти на UEBA. Както фирмата пише: „Интеграциите с инструментите за сервизно обслужване също са ограничени до еднопосочно свързване чрез имейл и SNMP“.

Освен това, мониторинг на SaaS средине се поддържа от продукта и мониторингът на IaaS е ограничен. Клиентите, които искат да разширят мониторинга си до мрежи и приложения, трябва да закупят други продукти на SolarWinds.

БЕЗПЛАТЕН ПРОБЕН ПЕРИОД: SolarWinds Log & Event Manager
Линк за изтегляне: https://www.solarwinds.com/log-event-manager-software/registration

Предимства и недостатъци

Събрахме най-важните плюсове и минуси, за които потребителите на SolarWinds Log & Event Manager са отчели. Ето какво имат да кажат.

Професионалисти

Продуктът е невероятно лесен за настройка. Той беше разгърнат и към него бяха насочени източници на журнали и изпълняваше основни корелации в рамките на един ден.
Автоматизираните отговори, които са достъпни след разгръщането на агента, ви дават невероятен контрол за реакция на събития във вашата мрежа.
Интерфейсът на инструмента е лесен за използване. Някои конкурентни продукти могат да бъдат плашещи, за да научите как да използвате и да се привикнете към тях, но това SolarWinds Log & Event Manager има интуитивно оформление и е много лесно да се вземе и използва.

Против

Продуктът няма персонализиран анализатор. Неминуемо във вашата мрежа ще има продукт, който The SolarWinds Log & Event Manager няма да знаем как да разберем По тази причина някои конкурентни решения използват персонализирани парсери. Този продукт няма поддръжка за създаване на персонализирани анализатори, така че неизвестните формати на лога остават неразделени.
Инструментът понякога може да бъде твърде основен. Той е отлично средство за осъществяване на основни корелации в среда с малък до среден размер. Ако обаче се опитате да се усъвършенствате с корелациите, които се опитвате да извършите, може да се разочаровате от липсата на функционалност на инструмента, която се дължи главно на начина, по който анализира данните.

Цени и лицензиране

Цени за мениджъра за събития на журнали и събития на SolarWindsварира в зависимост от броя на наблюдаваните възли. Цените започват от $ 4,585 за до 30 наблюдавани възли, а лицензи за до 2500 възли могат да бъдат закупени с няколко лицензионни нива между тях, което прави продукта силно мащабируем. Ако искате да вземете продукта за тест и да се уверите сами дали той е подходящ за вас, е налична безплатна пълнофункционална 30-дневна пробна версия.

Splunk

Splunk вероятно е една от най-популярните системи за предотвратяване на проникване. Предлага се в няколко различни издания със спортни различни функции. Splunk Enterprise Security-или Splunk ES, както често се нарича - е това, което ви трябва за истинатапредотвратяване на проникване. И това е, което разглеждаме днес. Софтуерът следи данните в системата ви в реално време, търсейки уязвимости и признаци на необичайна активност. Въпреки че целта му за предотвратяване на нахлувания е подобна на тази SolarWindsНачинът, по който го постига е различен.

Отговорът за сигурност е един от SplunkСилните костюми и именно това го прави система за предотвратяване на проникване и алтернатива на тази SolarWinds продукт току-що прегледан. Той използва това, което продавачът нарича Адаптивна рамка за реакция (ARF). Инструментът се интегрира с оборудване на повече от 55 доставчици на сигурност и може да изпълнява автоматизиран отговор, ускорявайки ръчните задачи и осигурявайки по-бърза реакция. Комбинацията от автоматична корекция и ръчна намеса ви дава най-добрите шансове за бързо придобиване на горната ръка. Инструментът има прост и неподправен потребителски интерфейс, което прави печелившо решение. Други интересни функции за защита включват „видни личности”Функция, която показва персонализирани от потребителя сигнали и„Изследвач на активи”За маркиране на злонамерени дейности и предотвратяване на допълнителни проблеми.

Сили и слабости

SplunkГолямата партньорска екосистема осигурява интеграция и Splunk-специфично съдържание чрез Splunkbase магазин за приложения. Пълният набор от решения на доставчика също така улеснява потребителите да навлизат в платформата във времето, а разширените възможности за анализ са достъпни по различни начини в рамките на Splunk екосистема.

Отдолу, Splunk не предлага версия на устройството на решението и клиентите на Gartner са изразили опасения относно лицензионния модел и цената на внедряването - в отговор, Splunk въведе нови подходи за лицензиране, включително Споразумение за приемане на предприятия (EAA).

Предимства и недостатъци

Както направихме с предишния продукт, ето и списък с най-важните плюсове и минуси, отчетени от потребителите на Splunk.

Професионалисти

Инструментът събира много трупи от почти всички типове машини - повечето алтернативни продукти не правят това толкова добре.
Splunk предоставя визуални изображения на потребителя, като им дава възможност да трансформират регистрационни файлове във визуални елементи, като пай диаграми, графики, таблици и др.
Много бързо се съобщава и сигнализира за аномалии. Има малко забавяне.

Против

SplunkЕзикът за търсене отива много дълбоко. Въпреки това, извършването на някои от по-модерното форматиране или статистически анализ включва малко крива на обучение. Splunk обучение е на разположение за изучаване на езика за търсене и манипулиране на вашите данни, но може да струва от $ 500,00 до $ 1 500,00.
Възможностите на инструменталното табло на инструмента са доста прилични, но за да се правят по-вълнуващи визуализации, е необходимо малко развитие с помощта на прости XML, Javascript и CSS.
Продавачът пуска малки ревизии много бързо, но поради големия брой грешки, в които се сблъскваме, трябваше да надстроим средата си четири пъти за девет месеца.

Цени и лицензиране

Splunk EnterpriseЦенообразуването се базира на това колко общи данни иматеизпращайте го всеки ден. Започва от $ 150 / месец до 1 GB ежедневно погълнати данни. Налични са обемни отстъпки. Тази цена включва неограничени потребители, неограничено търсене, търсене в реално време, анализ и визуализация, наблюдение и сигнализиране, стандартна поддръжка и други. Ще трябва да се свържете с продажбите на Splunk, за да получите подробна оферта. Подобно на повечето продукти от този вид ценови диапазон, за тези, които искат да опитат продукта, е налична безплатна пробна версия.

Какво казахте за двата продукта?

Потребителите на ИТ централната гара дават SolarWinds a 9 от 10 и Splunk 8 от 10. Въпреки това, потребителите на Gartner Peer Insights отменят поръчката, давайки Splunk 4.3 от 5 и SolarWinds 4 от 5.

Джефри Робинет, системен инженер от Foxhole Technology, написа това SolarWinds„Отчетите и таблото за нестандартни продукти са ключова сила, като отбелязваме, че„ Той ни позволява да наблюдаваме бързо достъпа и да изтегляме кибер доклади. Няма повече търсене чрез регистрационни файлове на всеки сървър. “

В сравнение с Splunk, Робинет каза това SolarWinds не изисква много персонализиране и цените му са по-ниски, докато той пише за Splunk че „имате нужда от докторска степен. за персонализиране на отчетите. "

За Раул Лапаз, старши операции в областта на информационната сигурност в Roche, докато Splunk не е евтино, лекотата му на използване, мащабируемостта, стабилността, скоростта на търсачката и съвместимостта с голямо разнообразие от източници на данни го заслужават.

Лапаз обаче посочи няколко недостатъка,включително, например, че управлението на клъстери може да се извършва само чрез команден ред и че разрешенията не са много гъвкави. Той пише: „Би било хубаво да има по-подробни опции, като двойно факторно удостоверяване“.