Je tam džungle! Nemocní jedinci jsou všude a jsou za vámi. Pravděpodobně ne vy osobně, ale spíše vaše data. Není to už jen viry, proti kterým musíme chránit, ale nejrůznější útoky, které mohou vaši síť - a vaši organizaci - opustit v kruté situaci. Vzhledem k šíření různých ochranných systémů, jako jsou antivirové programy, brány firewall a systémy detekce narušení, jsou nyní správci sítě zaplaveni informacemi, které musí korelovat, a snaží se to pochopit. Zde se hodí systémy zabezpečení informací a událostí (SIEM). Zvládají většinu příšerné práce s příliš velkým množstvím informací. Abychom vám usnadnili výběr SIEM, představujeme vám ty nejlepší nástroje pro správu informací a událostí (SIEM).
Dnes začínáme naší analýzou diskutovánímmoderní hrozba scéna. Jak jsme řekli, už to nejsou jen viry. Poté se pokusíme lépe vysvětlit, co je přesně SIEM, a mluvit o různých komponentách, které tvoří systém SIEM. Některé z nich mohou být důležitější než jiné, ale jejich relativní význam se může pro různé lidi lišit. Nakonec představíme výběr ze šesti nejlepších nástrojů pro správu informací a událostí (SIEM) a každý z nich krátce zkontrolujeme.
Moderní hrozebná scéna
Počítačové zabezpečení bývalo jen o viruochrana. V posledních letech však bylo odhaleno několik různých druhů útoků. Mohou mít podobu útoků typu Denial of Service (DoS), krádeže dat a mnoha dalších. A už nepocházejí z venku. Mnoho útoků pochází ze sítě. Pro maximální ochranu byly vyvinuty různé typy ochranných systémů. Kromě tradičního antiviru a brány firewall nyní máme například systémy detekce narušení a prevence ztráty dat (IDS a DLP).
Samozřejmě čím více přidáváte systémy, tím vícepráci, kterou máte spravovat. Každý systém monitoruje některé specifické parametry abnormalit a při jejich zjištění je zaznamená a / nebo spustí výstrahy. Nebylo by hezké, kdyby mohlo být monitorování všech těchto systémů automatizováno? Kromě toho některé typy útoků mohly být detekovány několika systémy, když procházejí různými fázemi. Nebylo by daleko lepší, kdybyste potom mohli reagovat na všechny související události jako jednu? To je přesně to, o čem je SIEM.
Co je přesně SIEM?
Název říká vše. Bezpečnostní informace a správa událostí je proces správy bezpečnostních informací a událostí. Konkrétně, systém SIEM neposkytuje žádnou ochranu. Jeho primárním účelem je usnadnit život správcům sítí a zabezpečení. Typický systém SIEM skutečně shromažďuje informace z různých ochranných a detekčních systémů, koreluje všechny tyto informace spojující související události a různými způsoby reaguje na smysluplné události. Systémy SIEM často také zahrnují nějakou formu reportingu a dashboardy.
Základní komponenty systému SIEM
Každý se chystáme prozkoumat podrobnějihlavní součást systému SIEM. Ne všechny systémy SIEM obsahují všechny tyto komponenty a i když ano, mohou mít různé funkce. Jsou však nejzákladnějšími součástmi, které by člověk obvykle našel v jakékoli formě v jakémkoli systému SIEM.
Sběr a správa protokolů
Sběr a správa protokolů je hlavnísoučást všech systémů SIEM. Bez něj neexistuje SIEM. Systém SIEM musí získávat logovací data z různých zdrojů. Může to buď vytáhnout, nebo různé detekční a ochranné systémy mohou tlačit do SIEM. Protože každý systém má svůj vlastní způsob třídění a zaznamenávání dat, je na SIEM, aby normalizoval data a učinil je jednotnými, bez ohledu na to, jaký je jejich zdroj.
Po normalizaci budou často zaznamenaná datave srovnání se známými vzorci útoků ve snaze rozpoznat škodlivé chování co nejdříve. Data budou také často porovnávána s dříve shromážděnými daty, aby pomohla vytvořit základní linii, která dále posílí detekci abnormální aktivity.
Reakce na událost
Jakmile je událost detekována, musí se něco udělato tom. O tom je modul pro reakci na události systému SIEM. Reakce na událost může mít různé podoby. Ve své nejzákladnější implementaci bude na konzole systému vygenerována varovná zpráva. Často lze také generovat upozornění e-mailem nebo SMS.
Ale nejlepší systémy SIEM jdou o krok dále ačasto zahájí nějaký proces nápravy. To je opět něco, co může mít mnoho podob. Nejlepší systémy mají kompletní systém workflow reakce na incidenty, který lze přizpůsobit tak, aby poskytoval přesně požadovanou odpověď. Jak se dalo očekávat, reakce na incidenty nemusí být jednotná a různé události mohou vyvolat různé procesy. Nejlepší systémy vám poskytnou úplnou kontrolu nad pracovním postupem reakce na incidenty.
Podávání zpráv
Jakmile budete mít sbírku a správu protokolua zavedené systémy odezvy, další stavební blok, který potřebujete, je hlášení. Možná to ještě nevíte, ale budete potřebovat zprávy. Vrcholové vedení je bude muset přesvědčit, že jejich investice do systému SIEM se vyplácí. Možná budete také potřebovat zprávy pro účely shody. Dodržování standardů, jako je PCI DSS, HIPAA nebo SOX, může být usnadněno, když váš systém SIEM dokáže generovat zprávy o shodě.
Zprávy nemusí být jádrem systému SIEMale přesto je to jedna zásadní součást. A často bude podávání zpráv hlavním rozlišujícím faktorem mezi konkurenčními systémy. Zprávy jsou jako bonbóny, nikdy jich nemáte příliš mnoho. Nejlepší systémy vám samozřejmě umožní vytvářet vlastní sestavy.
Řídicí panel
V neposlední řadě bude přístrojová deska vašeokno do stavu vašeho systému SIEM. A mohlo by tam být i více dashboardů. Protože různí lidé mají různé priority a zájmy, perfektní řídicí panel pro správce sítě se bude lišit od správci zabezpečení. A manažer bude potřebovat úplně jiný.
I když nemůžeme hodnotit systém SIEM pomocípočet dashboardů, které má, musíte si vybrat ten, který má všechny dashboardy, které potřebujete. To je určitě něco, co byste měli mít na paměti při hodnocení dodavatelů. A stejně jako u sestav, nejlepší systémy vám umožní sestavit přizpůsobené řídicí panely podle vašich představ.
Naše 6 nejlepších nástrojů SIEM
Existuje spousta systémů SIEM. Ve skutečnosti je příliš mnoho na to, abychom je mohli všechny zkontrolovat zde. Prohledali jsme tedy trh, porovnali systémy a sestavili seznam toho, co jsme zjistili jako šest nejlepších nástrojů pro správu a správu informací o bezpečnosti (SIEM). Uvádíme je v pořadí podle preferencí a každou z nich krátce zkontrolujeme. Ale i přes jejich pořadí, všech šest je vynikající systémy, které můžeme jen doporučit, vyzkoušejte sami.
Zde jsou naše 6 nejlepších nástrojů SIEM
- Správce protokolů a událostí SolarWinds
- Splunk Enterprise Security
- RSA NetWitness
- ArcSight Enterprise Security Manager
- McAfee Enterprise Security Manager
- IBM QRadar SIEM
1. Správce protokolů a událostí SolarWinds (ZDARMA 30-ti denní zkušební období)
SolarWinds je v síti běžný názevmonitorování světa. Síťový produkt Monitor výkonu sítě je jedním z nejlepších dostupných monitorovacích nástrojů SNMP. Společnost je také známá svými četnými bezplatnými nástroji, jako je kalkulačka podsítě nebo server SFTP.
Nástroj SIEM společnosti SolarWinds, správce protokolů a událostí(LEM) je nejlépe popsán jako základní systém SIEM. Je to však pravděpodobně jeden z nejkonkurenceschopnějších systémů na základní úrovni na trhu. SolarWinds LEM má vše, co můžete od systému SIEM očekávat. Má vynikající dlouhé funkce pro správu a korelaci a působivý nástroj pro podávání zpráv.
Pokud jde o funkce nástroje pro reakci na události, jsounenechte nic být požadovaný. Podrobný systém reakce v reálném čase bude aktivně reagovat na každou hrozbu. A protože je založeno spíše na chování než na podpisu, jste chráněni před neznámými nebo budoucími hrozbami.
Přístrojová deska nástroje je ale možná nejlepšíaktivum. Díky jednoduchému designu nebudete mít žádné potíže s rychlým určováním anomálií. Od přibližně 4 500 $ je tento nástroj více než dostupný. A pokud si to chcete nejdříve vyzkoušet, je k dispozici bezplatná plně funkční 30denní zkušební verze.
2. Splunk Enterprise Security
Možná jeden z nejpopulárnějších systémů SIEM,Splunk Enterprise Security - nebo Splunk ES, jak se často říká - je zvláště známý svými analytickými schopnostmi. Splunk ES monitoruje data vašeho systému v reálném čase a hledá zranitelná místa a známky neobvyklé činnosti.
Reakce na bezpečnost je další ze silných stránek Splunk ESobleky. Systém používá to, co Splunk nazývá Adaptive Response Framework (ARF), který se integruje se zařízením od více než 55 dodavatelů zabezpečení. ARF provádí automatickou odezvu a urychluje ruční úkoly. To vám umožní rychle získat navrch. Přidejte k tomu jednoduché a přehledné uživatelské rozhraní a máte vítězné řešení. Mezi další zajímavé funkce patří funkce Notables, která zobrazuje uživatelsky přizpůsobitelná upozornění a Asset Investigator pro označování škodlivých aktivit a předcházení dalším problémům.
Splunk ES je skutečně produktem podnikové kvalitya přichází s cenovkou pro podniky. Na webové stránce Splunk nemůžete získat ani informace o cenách. Chcete-li získat cenu, musíte kontaktovat obchodní oddělení. Navzdory jeho ceně je to skvělý produkt a možná budete chtít kontaktovat Splunk a využít bezplatnou zkušební verzi.
3. RSA NetWitness
Od roku 20016 se NetWitness zaměřuje na produktypodpora „hlubokého situačního povědomí o síti v reálném čase a agilní reakce na síť“. Poté, co byl získán společností EMC, která se poté sloučila se společností Dell, je nyní podnik Newitness součástí pobočky RSA korporace. A to je dobrá zpráva RSA je slavné jméno v oblasti bezpečnosti.
RSA NetWitness je ideální pro organizace, které hledajíkompletní řešení síťové analýzy. Tento nástroj obsahuje informace o vaší firmě, které pomáhají upřednostňovat upozornění. Podle RSA systém „shromažďuje data napříč více záchytnými body, výpočetními platformami a zdroji zpravodajských informací o hrozbách než jiná řešení SIEM“. K dispozici je také pokročilá detekce hrozeb, která kombinuje analýzu chování, techniky vědecké práce s daty a zpravodajství o hrozbách. A konečně, pokročilý systém odezvy se může pochlubit funkcemi orchestrace a automatizace, které vám pomohou zbavit se eradikovaných hrozeb dříve, než ovlivní vaše podnikání.
Jednou z hlavních nevýhod RSA NetWitness ježe není nejjednodušší používat a konfigurovat. K dispozici je však komplexní dokumentace, která vám může pomoci s nastavením a používáním produktu. Jedná se o další produkt podnikové třídy. Chcete-li získat informace o cenách, musíte kontaktovat prodej.
4. ArcSight Enterprise Security Manager
Nápověda ArcSight Enterprise Security Manageridentifikovat a upřednostňovat bezpečnostní hrozby, organizovat a sledovat činnosti reakce na incidenty a zjednodušit audit a činnosti související s dodržováním předpisů. Dříve prodávaný pod značkou HP se nyní sloučil s Micro Focus, další dceřinou společností HP.
Po dobu více než patnácti let,ArcSight je další nesmírně populární nástroj SIEM. Zkompiluje log data z různých zdrojů a provádí rozsáhlou analýzu dat, hledá známky škodlivé činnosti. Chcete-li snadno identifikovat hrozby, můžete zobrazit výsledky analýzy real0tme.
Zde je přehled hlavních funkcí produktů. Má výkonnou distribuovanou korelaci dat v reálném čase, automatizaci pracovního postupu, orchestraci zabezpečení a obsah zabezpečení řízený komunitou. Enterprise Security Manager se také integruje s dalšími produkty ArcSight, jako je ArcSight Data Platform a Event Broker nebo ArcSight Investigate. Jedná se o další podnikový produkt - jako téměř všechny kvalitní nástroje SIEM -, který bude vyžadovat, abyste kontaktovali obchodní tým ArcSight a získali informace o cenách.
5. McAfee Enterprise Security Manager
McAfee je určitě další název domácnosti v USAbezpečnostní průmysl. Je však známější svými antivirovými přípravky. Enterprise Security Manager není jen software. Je to vlastně zařízení. Můžete jej získat ve virtuální nebo fyzické podobě.
Pokud jde o analytické schopnosti,McAfee Enterprise Security Manager je mnohými považován za jeden z nejlepších nástrojů SIEM. Systém shromažďuje protokoly na široké škále zařízení. Pokud jde o jeho normalizační schopnosti, je to také nejlepší zářez. Korelační modul snadno kompiluje nesourodé zdroje dat, což usnadňuje detekci bezpečnostních událostí v okamžiku jejich vzniku
Je pravda, že řešení McAfee je vícenež jen jeho Enterprise Security Manager. K získání kompletního řešení SIEM potřebujete také Enterprise Log Manager a Event Receiver. Naštěstí mohou být všechny výrobky zabaleny do jednoho spotřebiče. Pro ty z vás, kteří si mohou produkt vyzkoušet před zakoupením, je k dispozici bezplatná zkušební verze.
6. IBM QRadar
IBM, možná nejznámější název v ITprůmyslu se podařilo zavést své řešení SIEM, IBM QRadar je jedním z nejlepších produktů na trhu. Tento nástroj umožňuje analytikům zabezpečení detekovat anomálie, odhalovat pokročilé hrozby a odstraňovat falešné pozitivy v reálném čase.
IBM QRadar se může pochlubit sadou správy protokolů a datfunkce sběru, analýzy a detekce narušení. Společně pomáhají udržovat síťovou infrastrukturu v provozu. K dispozici je také analytika modelování rizik, která může simulovat potenciální útoky.
Mezi hlavní vlastnosti QRadaru patří schopnostk nasazení řešení na místě nebo v cloudovém prostředí. Jedná se o modulární řešení a lze rychle a levně přidat další úložný prostor pro výpočetní výkon. Systém využívá inteligenční expertízu od IBM X-Force a hladce se integruje se stovkami produktů IBM a non-IBM.
Protože IBM je IBM, můžete očekávat, že za své řešení SIEM zaplatíte prémiovou cenu. Pokud však potřebujete jeden z nejlepších nástrojů SIEM na trhu, může se stát, že se QRadar vyplatí.
Na závěr
Jediný problém, který riskujete při nakupovánípro nejlepší nástroj pro zabezpečení informací a sledování událostí (SIEM) je hojnost vynikajících možností. Právě jsme představili těch nejlepších šest. Všechny z nich jsou vynikající volbou. Výběr, který si vyberete, bude do značné míry záviset na vašich konkrétních potřebách, vašem rozpočtu a době, kterou jste ochotni nastavit. Bohužel, počáteční konfigurace je vždy nejtěžší část, a to je místo, kde se mohou věci pokazit, pokud není nástroj SIEM správně nakonfigurován, nebude schopen správně vykonat svou práci.
Text 50 - 2300
Komentáře