¡Hay una jungla ahí fuera! Las personas mal intencionadas están en todas partes y te persiguen. Bueno, probablemente no tú personalmente, sino tus datos. Ya no solo tenemos que proteger los virus, sino todo tipo de ataques que pueden dejar a su red y su organización en una situación grave. Debido a la proliferación de varios sistemas de protección, tales como antivirus, firewalls y sistemas de detección de intrusos, los administradores de red ahora están inundados de información que tienen que correlacionar, tratando de darle sentido. Aquí es donde los sistemas de información de seguridad y gestión de eventos (SIEM) son útiles. Manejan la mayor parte del trabajo horrible de tratar con demasiada información. Para facilitar su trabajo de selección de un SIEM, le presentamos las mejores herramientas de Seguridad de Información y Gestión de Eventos (SIEM).
Hoy, comenzamos nuestro análisis discutiendo elEscena de amenaza moderna. Como dijimos, ya no son solo virus. Luego, intentaremos explicar mejor qué es SIEM exactamente y hablar sobre los diferentes componentes que forman un sistema SIEM. Algunos de ellos pueden ser más importantes que otros, pero su importancia relativa puede ser diferente para diferentes personas. Y, por último, presentaremos nuestra selección de las seis mejores herramientas de Información de seguridad y gestión de eventos (SIEM) y revisaremos brevemente cada una.
La escena de la amenaza moderna
La seguridad informática solía ser solo sobre virusproteccion. Pero en los últimos años, se han descubierto varios tipos diferentes de ataques. Pueden tomar la forma de ataques de denegación de servicio (DoS), robo de datos y muchos más. Y ya no solo vienen del exterior. Muchos ataques se originan dentro de una red. Entonces, para la máxima protección, se han inventado varios tipos de sistemas de protección. Además del antivirus y el firewall tradicionales, ahora tenemos sistemas de detección de intrusiones y prevención de pérdida de datos (IDS y DLP), por ejemplo.
Por supuesto, cuanto más agregue sistemas, másel trabajo que tienes manejándolos. Cada sistema monitorea algunos parámetros específicos para detectar anomalías y los registrará y / o activará alertas cuando se descubran. ¿No sería bueno si la monitorización de todos estos sistemas pudiera automatizarse? Además, varios sistemas pueden detectar algunos tipos de ataques a medida que pasan por diferentes etapas. ¿No sería mucho mejor si pudieras responder a todos los eventos relacionados como uno solo? Bueno, esto es exactamente de lo que se trata SIEM.
¿Qué es el SIEM exactamente?
El nombre lo dice todo. Información de seguridad y gestión de eventos es el proceso de gestión de información y eventos de seguridad. Concretamente, un sistema SIEM no proporciona ninguna protección. Su objetivo principal es facilitar la vida de los administradores de redes y seguridad. Lo que realmente hace un sistema SIEM típico es recopilar información de varios sistemas de protección y detección, correlacionar toda esta información reuniendo eventos relacionados y reaccionar a eventos significativos de varias maneras. A menudo, los sistemas SIEM también incluirán alguna forma de informes y paneles.
Los componentes esenciales de un sistema SIEM
Estamos a punto de explorar con más detalle cada unocomponente principal de un sistema SIEM. No todos los sistemas SIEM incluyen todos estos componentes e, incluso cuando lo hacen, podrían tener diferentes funcionalidades. Sin embargo, son los componentes más básicos que normalmente se encuentran, de una forma u otra, en cualquier sistema SIEM.
Log Collection and Management
La recopilación y gestión de registros es la principal.componente de todos los sistemas SIEM. Sin ella, no hay SIEM. El sistema SIEM tiene que adquirir datos de registro de una variedad de fuentes diferentes. Puede tirar de él o diferentes sistemas de detección y protección pueden llevarlo al SIEM. Dado que cada sistema tiene su propia forma de categorizar y registrar datos, corresponde al SIEM normalizar los datos y hacerlos uniformes, sin importar cuál sea su fuente.
Después de la normalización, los datos registrados a menudo seránen comparación con los patrones de ataque conocidos en un intento de reconocer el comportamiento malicioso lo antes posible. Los datos también se compararán a menudo con los datos recopilados previamente para ayudar a construir una línea base que mejorará aún más la detección de actividad anormal.
Respuesta al evento
Una vez que se detecta un evento, se debe hacer algoal respecto De esto se trata el módulo de respuesta a eventos para el sistema SIEM. La respuesta al evento puede tomar diferentes formas. En su implementación más básica, se generará un mensaje de alerta en la consola del sistema. A menudo, también se pueden generar alertas por correo electrónico o SMS.
Pero los mejores sistemas SIEM van un paso más allá ya menudo iniciará algún proceso de recuperación. Nuevamente, esto es algo que puede tomar muchas formas. Los mejores sistemas tienen un sistema de flujo de trabajo de respuesta a incidentes completo que se puede personalizar para proporcionar exactamente la respuesta que desea. Y como era de esperar, la respuesta a incidentes no tiene que ser uniforme y diferentes eventos pueden desencadenar diferentes procesos. Los mejores sistemas le darán un control completo sobre el flujo de trabajo de respuesta a incidentes.
Informes
Una vez que tenga la recopilación y gestión de registrosy los sistemas de respuesta en su lugar, el siguiente componente que necesita es informar. Es posible que aún no lo sepas, pero necesitarás informes. La alta gerencia necesitará que vean por sí mismos que su inversión en un sistema SIEM está dando sus frutos. También es posible que necesite informes para fines de conformidad. El cumplimiento de estándares como PCI DSS, HIPAA o SOX se puede facilitar cuando su sistema SIEM puede generar informes de conformidad.
Los informes pueden no estar en el centro de un sistema SIEMpero aún así, es un componente esencial. Y a menudo, la presentación de informes será un factor diferenciador importante entre los sistemas competidores. Los informes son como dulces, nunca puedes tener demasiados. Y, por supuesto, los mejores sistemas le permitirán crear informes personalizados.
Tablero (s)
Por último, pero no menos importante, el tablero será tuventana al estado de su sistema SIEM. E incluso podría haber múltiples paneles. Debido a que diferentes personas tienen diferentes prioridades e intereses, el tablero perfecto para un administrador de red será diferente al de un administrador de seguridad. Y un ejecutivo también necesitará uno completamente diferente.
Si bien no podemos evaluar un sistema SIEM por elnúmero de paneles que tiene, debe elegir uno que tenga todos los paneles que necesita. Definitivamente, esto es algo que debe tener en cuenta al evaluar a los proveedores. Y al igual que con los informes, los mejores sistemas le permitirán crear paneles personalizados a su gusto.
Nuestras 6 mejores herramientas SIEM
Hay muchos sistemas SIEM por ahí. Demasiados, en realidad, para poder revisarlos todos aquí. Por lo tanto, hemos buscado en el mercado, comparado sistemas y hemos creado una lista de las seis mejores herramientas de información y administración de seguridad (SIEM). Los enumeramos en orden de preferencia y los revisaremos brevemente. Pero a pesar de su orden, los seis son sistemas excelentes que solo podemos recomendarle que pruebe por sí mismo.
Estas son nuestras 6 principales herramientas SIEM
- Administrador de registro y eventos de SolarWinds
- Splunk Enterprise Security
- RSA NetWitness
- ArcSight Enterprise Security Manager
- McAfee Enterprise Security Manager
- IBM QRadar SIEM
1. Administrador de registro y eventos de SolarWinds (PRUEBA GRATUITA DE 30 DÍAS)
SolarWinds es un nombre común en la redMonitoreo mundial. Su producto estrella, el Network Performance Monitor es una de las mejores herramientas de monitoreo SNMP disponibles. La compañía también es conocida por sus numerosas herramientas gratuitas, como su Calculadora de subred o su servidor SFTP.
La herramienta SIEM de SolarWinds, el Administrador de registro y eventos(LEM) se describe mejor como un sistema SIEM de nivel de entrada. Pero es posiblemente uno de los sistemas de nivel de entrada más competitivos del mercado. SolarWinds LEM tiene todo lo que puede esperar de un sistema SIEM. Tiene excelentes funciones de gestión y correlación largas y un motor de informes impresionante.
En cuanto a las funciones de respuesta a eventos de la herramienta,no dejes nada que desear. El sistema de respuesta detallado en tiempo real reaccionará activamente a cada amenaza. Y dado que se basa en el comportamiento más que en la firma, está protegido contra amenazas desconocidas o futuras.
Pero el tablero de la herramienta es posiblemente el mejoractivo. Con un diseño simple, no tendrá problemas para identificar rápidamente las anomalías. A partir de alrededor de $ 4 500, la herramienta es más que asequible. Y si desea probarlo primero, hay disponible una versión de prueba gratuita de 30 días totalmente funcional para descargar.
2. Seguridad empresarial de Splunk
Posiblemente uno de los sistemas SIEM más populares,Splunk Enterprise Security, o Splunk ES, como se le suele llamar, es particularmente famoso por sus capacidades analíticas. Splunk ES monitorea los datos de su sistema en tiempo real, buscando vulnerabilidades y signos de actividad anormal.
La respuesta de seguridad es otra de las fortalezas de Splunk EStrajes. El sistema utiliza lo que Splunk llama el Marco de Respuesta Adaptativa (ARF) que se integra con equipos de más de 55 proveedores de seguridad. El ARF realiza una respuesta automatizada, acelerando las tareas manuales. Esto le permitirá ganar rápidamente la ventaja. Agregue a eso una interfaz de usuario simple y ordenada y tendrá una solución ganadora. Otras características interesantes incluyen la función Notables que muestra alertas personalizables por el usuario y el Asset Investigator para marcar actividades maliciosas y prevenir problemas adicionales.
Splunk ES es realmente un producto de grado empresarialy viene con un precio de tamaño empresarial. Ni siquiera puede obtener información de precios del sitio web de Splunk. Debe ponerse en contacto con el departamento de ventas para obtener un precio. A pesar de su precio, este es un gran producto y es posible que desee ponerse en contacto con Splunk y aprovechar una prueba gratuita.
3. RSA NetWitness
Desde 20016, NetWitness se ha centrado en productosapoyando "conocimiento profundo de la situación de la red en tiempo real y una respuesta ágil de la red". Después de ser adquirido por EMC, que luego se fusionó con Dell, el negocio Newitness ahora forma parte de la sucursal RSA de la corporación. Y esta es una buena noticia RSA es un nombre famoso en seguridad.
RSA NetWitness es ideal para organizaciones que buscanUna solución completa de análisis de red. La herramienta incorpora información sobre su negocio que ayuda a priorizar las alertas. Según RSA, el sistema "recopila datos en más puntos de captura, plataformas informáticas y fuentes de inteligencia de amenazas que otras soluciones SIEM". También hay detección avanzada de amenazas que combina análisis de comportamiento, técnicas de ciencia de datos e inteligencia de amenazas. Y, por último, el sistema de respuesta avanzado cuenta con capacidades de orquestación y automatización para ayudar a eliminar las amenazas antes de que afecten a su negocio.
Uno de los principales inconvenientes de RSA NetWitness esque no es el más fácil de usar y configurar. Sin embargo, existe una documentación completa disponible que puede ayudarlo a configurar y usar el producto. Este es otro producto de nivel empresarial y deberá ponerse en contacto con el departamento de ventas para obtener información sobre precios.
4. ArcSight Enterprise Security Manager
ArcSight Enterprise Security Manager ayudaIdentificar y priorizar las amenazas de seguridad, organizar y rastrear las actividades de respuesta a incidentes, y simplificar las actividades de auditoría y cumplimiento. Anteriormente vendido bajo la marca HP, ahora se ha fusionado con Micro Focus, otra subsidiaria de HP.
Después de haber estado por más de quince años,ArcSight es otra herramienta SIEM inmensamente popular. Recopila datos de registro de varias fuentes y realiza un análisis exhaustivo de datos, buscando signos de actividad maliciosa. Para facilitar la identificación rápida de amenazas, puede ver los resultados del análisis real0tme.
Aquí hay un resumen de las características principales de los productos. Tiene una poderosa correlación de datos distribuidos en tiempo real, automatización de flujo de trabajo, orquestación de seguridad y contenido de seguridad impulsado por la comunidad. Enterprise Security Manager también se integra con otros productos ArcSight como ArcSight Data Platform y Event Broker o ArcSight Investigate. Este es otro producto de nivel empresarial, como casi todas las herramientas SIEM de calidad, que requerirá que se comunique con el equipo de ventas de ArcSight para obtener información sobre precios.
5. McAfee Enterprise Security Manager
McAfee es sin duda otro nombre familiar en elindustria de seguridad. Sin embargo, es mejor conocido por sus productos de protección contra virus. El administrador de seguridad empresarial no es solo software. En realidad es un electrodoméstico. Puede obtenerlo en forma virtual o física.
En términos de sus capacidades analíticas, elMcAfee Enterprise Security Manager es considerado por muchos como una de las mejores herramientas SIEM. El sistema recopila registros en una amplia gama de dispositivos. En cuanto a sus capacidades de normalización, también es de primera categoría. El motor de correlación compila fácilmente fuentes de datos dispares, lo que facilita la detección de eventos de seguridad a medida que ocurren
Para ser verdad, hay más en la solución de McAfeeque solo su Enterprise Security Manager. Para obtener una solución SIEM completa, también necesita Enterprise Log Manager y Event Receiver. Afortunadamente, todos los productos se pueden empaquetar en un solo dispositivo. Para aquellos de ustedes que quieran probar el producto antes de comprarlo, hay disponible una versión de prueba gratuita.
6. IBM QRadar
IBM, posiblemente el nombre más conocido en TILa industria ha logrado establecer su solución SIEM, IBM QRadar es uno de los mejores productos del mercado. La herramienta permite a los analistas de seguridad detectar anomalías, descubrir amenazas avanzadas y eliminar falsos positivos en tiempo real.
IBM QRadar cuenta con un conjunto de gestión de registros, datosFunciones de recopilación, análisis y detección de intrusos. Juntos, ayudan a mantener su infraestructura de red en funcionamiento. También hay análisis de modelado de riesgos que pueden simular posibles ataques.
Algunas de las características clave de QRadar incluyen la capacidadpara implementar la solución en las instalaciones o en un entorno en la nube. Es una solución modular y se puede agregar de manera rápida y económica más capacidad de almacenamiento. El sistema utiliza la experiencia en inteligencia de IBM X-Force y se integra a la perfección con cientos de productos de IBM y de otros fabricantes.
IBM, siendo IBM, puede esperar pagar un precio superior por su solución SIEM. Pero si necesita una de las mejores herramientas SIEM del mercado, QRadar bien podría valer la pena.
En conclusión
El único problema que te arriesgas al comprarla mejor herramienta de Información de Seguridad y Monitoreo de Eventos (SIEM) es la abundancia de excelentes opciones. Acabamos de presentar los seis mejores. Todos ellos son excelentes opciones. El que elija dependerá en gran medida de sus necesidades exactas, su presupuesto y el tiempo que esté dispuesto a dedicar a configurarlo. Por desgracia, la configuración inicial siempre es la parte más difícil y aquí es donde las cosas pueden salir mal si una herramienta SIEM no está configurada correctamente, no podrá hacer su trabajo correctamente.
Texto 50 - 2300
Comentarios