- - SolarWinds Log & Event Manager vs Splunk - srovnávací přehled

Protokol SolarWinds Log & Event Manager vs Splunk - srovnávací přehled

Jeden z nejdůležitějších - ne-li nejvícedůležité - aktiva mnoha dnešních organizací jsou jejich data. Je tak důležité a cenné, že mnoho špatně zamýšlených jednotlivců nebo organizací půjde do velké míry, aby ukradli tato vzácná data. Dělají to tak, že k získání neoprávněného přístupu k sítím a systémům používají širokou škálu technik a technologií. Zdá se, že počet takových pokusů neustále roste. Aby se tomu zabránilo, zavádějí systémy, které chtějí chránit svá data, systémy zvané systémy prevence narušení nebo IPS. Správce protokolů a událostí SolarWinds jakož i Splunk jsou dva nekonvenční produkty v této aréně. Dnes tyto dva porovnáváme.

Začneme zkoumáním pohledemprevence narušení obecně. Pomůže to nastavit stůl pro to, co přichází. Pokusíme se to udržet co netechnické. Naším cílem není, aby vás přiměli odborníky v oblasti prevence narušení, ale spíše zajistili, abychom byli všichni na stejné stránce, protože oba produkty dále prozkoumáváme. Když už mluvíme o prozkoumání produktů, máme další. Nejprve si popíšeme hlavní rysy Správce logů a událostí SolarWinds. Následně se podíváme na sílu a slabiny produktu a jeho klady a zápory, jak hlásí uživatelé platformy, a uzavíráme náš přehled produktu a podívat se na jeho cenovou a licenční strukturu. Poté přezkoumáme Splunk pomocí stejného formátu s vlastnostmi produktů, jeho silnými a slabými stránkami, jeho klady a zápory a strukturou cen. Nakonec se podíváme na to, co uživatelé o těchto dvou produktech říkají.

Prevence narušení - o co jde?

Před lety byly viry skoro jedinéobavy správců systému. Viry se dostali do bodu, kdy byly tak běžné, že průmysl reagoval vývojem nástrojů na ochranu proti virům. Dnes by žádný vážný uživatel v jeho pravé mysli nenapadlo spustit počítač bez antivirové ochrany. I když už neslyšíme mnoho virů, narušení - nebo neoprávněný přístup k vašim datům škodlivými uživateli - je novou hrozbou. Vzhledem k tomu, že data jsou často nejdůležitějším aktivem organizace, staly se firemní sítě terčem hackerů, kteří neměli v úmyslu zamířit a kteří získají přístup k datům do velké míry. Stejně jako antivirový software byl odpovědí na šíření virů, Intrusion Prevention Systems je odpovědí na útoky vetřelců.

Systémy prevence narušení v zásadě dělají dvavěci. Nejprve odhalí pokusy o narušení a když zjistí jakékoli podezřelé činnosti, zastaví nebo zablokují pomocí různých metod. Pokusy o narušení lze detekovat dvěma různými způsoby. Detekce založená na podpisu analyzuje síťový provoz a data a hledá specifické vzory spojené s pokusy o narušení. Je to podobné tradičním systémům antivirové ochrany, které se spoléhají na definice virů. Detekce narušení založená na podpisech závisí na podpisech nebo vzorcích narušení. Hlavní nevýhoda této metody detekce spočívá v tom, že je třeba do softwaru načíst správné podpisy. A když nová metoda útoku, obvykle existuje zpoždění před aktualizací podpisů útoku. Někteří prodejci poskytují velmi rychle aktualizované podpisy útoků, zatímco jiní jsou mnohem pomalejší. Jak často a jak rychle se aktualizují podpisy, je důležitým faktorem při výběru dodavatele.

Detekce založená na anomáliích nabízí lepší ochranuproti útokům s nulovým dnem měly ty, k nimž dochází před detekcí podpisů, šanci aktualizovat. Proces hledá anomálie namísto pokusu rozpoznat známé vzory vniknutí. Například by se spustilo, kdyby se někdo pokusil o přístup k systému se špatným heslem několikrát za sebou, což je společné znamení útoku brutální síly. Toto je pouze příklad a obvykle existují stovky různých podezřelých činností, které mohou tyto systémy spustit. Obě metody detekce mají výhody a nevýhody. Nejlepší nástroje jsou ty, které pro nejlepší ochranu používají kombinaci analýzy podpisů a chování.

Zjištění pokusu o narušení je první částzabránit jim. Jakmile jsou detekční systémy detekovány, aktivně pracují na zastavení detekovaných aktivit. Těmito systémy lze provést několik různých nápravných opatření. Mohly by například pozastavit nebo jinak deaktivovat uživatelské účty. Další typickou akcí je blokování zdrojové adresy IP útoku nebo úprava pravidel brány firewall. Pokud škodlivá činnost pochází z konkrétního procesu, preventivní systém by mohl tento proces zabít. Zahájení některého ochranného procesu je další běžnou reakcí av nejhorších případech lze celé systémy odstavit, aby se omezilo možné poškození. Dalším důležitým úkolem Intrusion Prevention Systems je varovat správce, zaznamenávat událost a hlásit podezřelé aktivity.

Opatření k prevenci pasivního vniknutí

Zatímco systémy prevence narušení mohou chránitproti mnoha typům útoků, nic nepřekonává dobré, staromódní preventivní opatření proti vniknutí. Například pověření silnými hesly je vynikajícím způsobem ochrany proti mnoha průnikům. Dalším snadným ochranným opatřením je změna výchozích hesel zařízení. I když je to méně časté v podnikových sítích - ačkoli to není neslýchané -, viděl jsem jen příliš často internetové brány, které stále měly své výchozí heslo správce. V oblasti hesel je stárnutí hesla dalším konkrétním krokem, který lze použít ke snížení pokusů o narušení. Jakékoli heslo, i to nejlepší, může být nakonec crackováno, pokud bude dost času. Stárnutí hesla zajišťuje, že hesla budou změněna před jejich prasknutím.

Správce protokolů a událostí SolarWinds (K dispozici zkušební verze ZDARMA)

SolarWinds je známé jméno v administraci sítě. Má vynikající pověst pro výrobu některých nejlepších nástrojů pro správu sítě a systému. Jeho stěžejní produkt, Sledování výkonu sítě důsledně skóre mezi nejlepšími dostupnými nástroji pro monitorování šířky pásma sítě. SolarWinds je také známý svými mnoha bezplatnými nástroji, z nichž každý řeší specifickou potřebu správců sítě. Server Kiwi Syslog nebo SolarWinds TFTP Server jsou dva vynikající příklady těchto bezplatných nástrojů.

Nenechte to Správce protokolů a událostí SolarWindsJméno vás zmást. Je toho mnohem víc, než se setká s okem. Některé pokročilé funkce tohoto produktu jej považují za systém detekce a prevence narušení, zatímco jiné jej zařazují do řady bezpečnostních informací a správy událostí (SIEM). Nástroj například obsahuje korelaci událostí v reálném čase a nápravu v reálném čase.

SolarWinds LEM - řídicí panel

  • ZKUŠEBNÍ VERZE ZDARMA: Správce protokolů a událostí SolarWinds
  • Odkaz ke stažení: https://www.solarwinds.com/log-event-manager-software/registration

The Správce protokolů a událostí SolarWinds se může pochlubit okamžitou detekcí podezřelýchaktivita (funkce detekce narušení) a automatické odpovědi (funkce prevence narušení). Tento nástroj lze také použít k provedení vyšetřování a forenzní analýzy bezpečnostních událostí. Může být použit pro účely zmírňování a dodržování předpisů. Nástroj obsahuje auditem ověřené zprávy, které lze také použít k prokázání souladu s různými regulačními rámci, jako jsou HIPAA, PCI-DSS a SOX. Tento nástroj má také monitorování integrity souborů a sledování zařízení USB. Všechny pokročilé funkce softwaru z něj dělají více integrované bezpečnostní platformy než jen systém pro správu protokolů a událostí, jehož název by vás vedl k tomu, abyste věřili.

Funkce prevence narušení systému Správce protokolů a událostí SolarWinds funguje implementací akcí s názvem AktivníReakce, kdykoli jsou detekovány hrozby. Různé reakce mohou být spojeny se specifickými upozorněními. Systém může například zapisovat do tabulek brány firewall, aby blokoval přístup k síti zdrojové adresy IP, která byla identifikována jako vykonávající podezřelé činnosti. Nástroj může také pozastavit uživatelské účty, zastavit nebo spustit procesy a vypnout systémy. Vzpomenete si, jak se přesně jedná o nápravná opatření, která jsme identifikovali dříve.

Silné a slabé stránky

Podle Gartnera SolarWinds Správce protokolů a událostí „Nabízí dobře integrované řešení, které jeobzvláště vhodné pro malé a střední podniky, a to díky své jednoduché architektuře, snadnému udělování licencí a robustnímu obsahu a funkcím, které nejsou k dispozici “. Nástroj obsahuje více zdrojů událostí a nabízí některé funkce kontroly hrozeb a karantény, které běžně nejsou dostupné u konkurenčních produktů.

Výzkumná společnost to však také poznamenáváprodukt je uzavřený ekosystém, což z něj činí náročnou integraci s bezpečnostními řešeními třetích stran, jako je pokročilá detekce hrozeb, zdroje zpravodajských informací o hrozbách a nástroje UEBA. Jak firma napsala: „Integrace s nástroji service desk jsou také omezeny na jednosměrnou konektivitu prostřednictvím e-mailu a SNMP“.

Dále monitorování prostředí SaaSprodukt není podporován a monitorování IaaS je omezené. Zákazníci, kteří chtějí rozšířit své monitorování na sítě a aplikace, si musí zakoupit další produkty SolarWinds.

SolarWinds LEM - zprávy o shodě

  • ZKUŠEBNÍ VERZE ZDARMA: Správce protokolů a událostí SolarWinds
  • Odkaz ke stažení: https://www.solarwinds.com/log-event-manager-software/registration

Výhody a nevýhody

Shromáždili jsme nejvýznamnější výhody a nevýhody, které nahlásili uživatelé protokolu událostí a událostí společnosti SolarWinds. Zde je to, co musí říci.

Klady

  • Nastavení produktu je neuvěřitelně snadné. Byl nasazen a měl na něj poukázané zdroje protokolu a během jednoho dne prováděl základní korelace.
  • Automatické odpovědi, které jsou k dispozici po nasazení agenta, vám poskytují neuvěřitelnou kontrolu nad reakcí na události ve vaší síti.
  • Rozhraní nástroje je uživatelsky přívětivé. Některé konkurenční produkty mohou být skličující, aby se naučily, jak používat a jak se aklimatizovat, ale Správce protokolů a událostí SolarWinds má intuitivní rozložení a je velmi snadné vyzvednout a používat.

Nevýhody

  • Produkt nemá žádný vlastní analyzátor. Ve vaší síti bude nevyhnutelně produkt, který The Správce protokolů a událostí SolarWinds nebude vědět, jak analyzovat. Některá konkurenční řešení využívají z tohoto důvodu vlastní analyzátory. Tento produkt nemá podporu pro vytváření vlastních analyzátorů, takže neznámé formáty protokolu zůstávají nezpracované.
  • Nástroj může být někdy příliš jednoduchý. Je to vynikající nástroj pro provádění základních korelací v malém až středním prostředí. Pokud se však pokusíte přiblížit korelaci, kterou se pokoušíte provést, můžete být frustrováni nedostatkem funkčnosti nástroje, který je způsoben hlavně způsobem, jakým analyzuje data.

Ceny a licence

Ceny pro správce logů a událostí SolarWindsliší se podle počtu sledovaných uzlů. Ceny začínají na 4 585 USD až pro 30 sledovaných uzlů a licence až pro 2500 uzlů lze zakoupit s několika licenčními úrovněmi mezi tím, čímž je produkt vysoce škálovatelný. Pokud si přejete produkt vyzkoušet a zjistit, zda je pro vás to pravé, máte k dispozici bezplatnou plnohodnotnou 30denní zkušební verzi.

Splunk

Splunk je pravděpodobně jedním z nejpopulárnějších systémů prevence narušení. Je k dispozici v několika různých edicích se sportovními různými sadami funkcí. Splunk Enterprise Security-nebo Splunk ES, jak se často říká - je to, co potřebujete pro pravduprevence vniknutí. A to je to, na co se dnes díváme. Software monitoruje data vašeho systému v reálném čase a hledá zranitelná místa a známky neobvyklé činnosti. I když je jeho cíl zabránit vniknutí podobný SolarWinds'Způsob, jakým to dosahuje, je jiný.

Splunk - Deep Dive Screenshot

Bezpečnostní reakce je jedním z SplunkSilné obleky a díky tomu je systém prevence narušení a alternativa k systému SolarWinds produkt právě zkontrolován. Používá to, co dodavatel nazývá Rámec adaptivní reakce (ARF). Tento nástroj je integrován do zařízení od více než 55 dodavatelů zabezpečení a může provádět automatickou reakci, zrychlovat manuální úkoly a poskytovat rychlejší reakci. Kombinace automatizované nápravy a ručního zásahu vám dává nejlepší šanci, jak rychle získat horní ruku. Tento nástroj má jednoduché a přehledné uživatelské rozhraní, díky čemuž získává vítězné řešení. Mezi další zajímavé ochranné funkce patří „Notables”, Která zobrazuje uživatelsky přizpůsobitelná upozornění a„Vyšetřovatel aktiv“Za oznámení škodlivých aktivit a předcházení dalším problémům.

Silné a slabé stránky

SplunkVelký partnerský ekosystém zajišťuje integraci a Splunk- specifický obsah prostřednictvím Splunkbase obchod s aplikacemi. Kompletní sada řešení dodavatele také usnadňuje uživatelům růst v průběhu času na platformu a pokročilé analytické funkce jsou dostupné různými způsoby v celé Splunk ekosystém.

Na druhou stranu, Splunk nenabízí verzi řešení zařízení a klienti společnosti Gartner vznesli obavy ohledně licenčního modelu a nákladů na implementaci - v reakci na to, Splunk zavedla nové přístupy k udělování licencí, včetně dohody o adopci podniků (EAA).

Splunk - Health Score Screenshot

Výhody a nevýhody

Stejně jako jsme to udělali u předchozího produktu, i zde uvádíme seznam nejdůležitějších výhod a nevýhod, které uživatelé nahlásili Splunk.

Klady

  • Nástroj shromažďuje velmi dobré protokoly téměř ze všech typů strojů - většina alternativních produktů to také docela neudělá.
  • Splunk poskytuje vizuální prvky pro uživatele, což jim umožňuje transformovat protokoly do vizuálních prvků, jako jsou výsečové grafy, grafy, tabulky atd.
  • Při hlášení a upozorňování na anomálie je velmi rychlé. Tam je malé zpoždění.

Nevýhody

  • SplunkHledaný jazyk jde velmi hluboko. Provedení některých pokročilejších formátovacích nebo statistických analýz však zahrnuje trochu křivky učení. Splunk školení je k dispozici pro výuku vyhledávacího jazyka a manipulaci s vašimi daty, ale může stát kdekoli od 500,00 do 1 500,00 $.
  • Funkce ovládacího panelu nástroje jsou docela slušné, ale pro více vzrušující vizualizace je třeba trochu vývoje pomocí jednoduchého XML, Javascriptu a CSS.
  • Prodejce vydává drobné revize velmi rychle, ale kvůli naprostému počtu chyb, na které jsme narazili, jsme museli upgradovat naše prostředí čtyřikrát za devět měsíců.

Ceny a licence

Splunk EnterpriseStanovení ceny je založeno na tom, kolik celkových údajů máteposílejte to každý den. Začíná na $ 150 / měsíc až 1 GB denně přijímaných dat. K dispozici jsou množstevní slevy. Tato cena zahrnuje neomezené množství uživatelů, neomezené vyhledávání, vyhledávání v reálném čase, analýzu a vizualizaci, monitorování a varování, standardní podporu a další. Chcete-li získat podrobnou nabídku, budete muset kontaktovat prodej společnosti Splunk. Stejně jako většina produktů v tomto cenovém rozpětí je k dispozici bezplatná zkušební verze pro ty, kteří by chtěli produkt vyzkoušet.

Co bylo řečeno o těchto dvou produktech?

Uživatelé IT Central Station dávají SolarWinds 9 z 10 a Splunk 8 z 10. Uživatelé Gartner Peer Insights však pořadí mění a dávají Splunk 4,3 z 5 a SolarWinds 4 z 5.

Jeffrey Robinette, systémový inženýr společnosti Foxhole Technology, to napsal SolarWindsReports out-of-the-box zprávy a dashboard jsou klíčovou silou, poznamenat, že "To nám umožňuje sledovat přístup a vytáhnout cyber zprávy rychle." Žádné další vyhledávání v protokolech na každém serveru. “

Ve srovnání s Splunk, Řekla Robinette SolarWinds nevyžaduje mnoho přizpůsobení a jeho cena je nižší, zatímco on psal o Splunk že „potřebujete doktorát o přizpůsobení přehledů. “

Raul Lapaz, senior IT security operations ve společnosti Roche, zatímco Splunk není levný, jeho snadnost použití, škálovatelnost, stabilita, rychlost vyhledávače a kompatibilita s celou řadou zdrojů dat jej stojí za to.

Lapaz však poukázal na několik nedostatků,včetně například skutečnosti, že správu clusterů lze provádět pouze pomocí příkazového řádku a že oprávnění nejsou velmi flexibilní. Napsal: „Bylo by hezké mít více podrobných možností, jako je dvoufaktorová autentizace“.

Přečtěte si také

Filtrujte a zobrazujte protokoly událostí systému Windows a SCOM pomocí protokolu Smith
6 nejlepších nástrojů pro správu protokolů pro Linux v roce 2019
Monitor výkonu sítě SolarWinds vs WhatsUp Gold - srovnávací přehled
7 nejlepších systémů prevence narušení (IPS) pro rok 2019
6 nejlepších bezpečnostních informací a nástrojů pro správu událostí (SIEM), které se vyplatí vyplatit v roce 2019
Hloubková kontrola správce přístupových práv SolarWinds
Srovnávací histogram v Excelu 2010
Evite pro Android: Hromadně vytvářet a odesílat pozvánky na události
Jak se zbavit pozvánek na nevyžádanou poštu v aplikaci Kalendář [iOS]
Událost Apple Září 2015 Všechny specifikace a ceny zařízení
Jak se dívat na událost Apple Září 2015 online
Zálohujte si oznámení Android a zkontrolujte je poté, co byli propuštěni

Komentáře