- - SolarWinds Log & Event Manager vs Splunk - Una revisión comparativa

SolarWinds Log & Event Manager vs Splunk: una revisión comparativa

Uno de los más importantes, si no el másimportante: los activos de muchas de las organizaciones actuales son sus datos. Es tan importante y valioso que muchas personas u organizaciones mal intencionadas harán todo lo posible para robar esos datos preciosos. Lo hacen de modo que utilizan una amplia gama de técnicas y tecnologías para obtener acceso no autorizado a redes y sistemas. El número de tales intentos parece estar creciendo exponencialmente todo el tiempo. Para evitar eso, las empresas que desean proteger sus activos de datos están implementando sistemas llamados Sistemas de prevención de intrusiones o IPS. los Administrador de registro y eventos de SolarWinds tanto como Splunk son dos productos no convencionales en ese ámbito. Hoy, estamos comparando los dos.

Comenzaremos nuestra exploración echando un vistazo aprevención de intrusiones en general. Ayudará a preparar la mesa para lo que viene. Intentaremos que sea lo menos técnico posible. Nuestra idea no es convertirlos en expertos en prevención de intrusiones, sino garantizar que todos estemos en la misma página a medida que exploramos más a fondo ambos productos. Hablando de explorar los productos, esto es lo que tenemos a continuación. Primero describiremos las características principales de SolarWinds Log & Event Manager, seguiremos observando las fortalezas y debilidades del producto y sus pros y contras, según lo informado por los usuarios de la plataforma, y ​​concluiremos nuestra descripción general del producto al observar su estructura de precios y licencias. Luego revisaremos Splunk usando un formato idéntico con las características de los productos, sus fortalezas y debilidades, sus pros y sus contras y su estructura de precios. Finalmente, concluiremos con lo que los usuarios tienen que decir sobre los dos productos.

Prevención de intrusiones: ¿de qué se trata todo esto?

Hace años, los virus eran prácticamente los únicospreocupaciones de los administradores del sistema. Los virus llegaron a un punto en que eran tan comunes que la industria reaccionó desarrollando herramientas de protección contra virus. Hoy, ningún usuario serio en su sano juicio pensaría en ejecutar una computadora sin protección antivirus. Si bien ya no escuchamos mucho sobre virus, la intrusión, o el acceso no autorizado a sus datos por parte de usuarios malintencionados, es una nueva amenaza. Dado que los datos son a menudo el activo más importante de una organización, las redes corporativas se han convertido en el objetivo de los piratas informáticos mal intencionados que harán todo lo posible para obtener acceso a los datos. Al igual que el software de protección antivirus fue la respuesta a la proliferación de virus, Intrusion Prevention Systems es la respuesta a los ataques de intrusos.

Los sistemas de prevención de intrusiones esencialmente hacen doscosas. Primero, detectan intentos de intrusión y cuando detectan actividades sospechosas, utilizan diferentes métodos para detenerlo o bloquearlo. Hay dos formas diferentes de detectar los intentos de intrusión. La detección basada en firmas funciona analizando el tráfico y los datos de la red y buscando patrones específicos asociados con los intentos de intrusión. Esto es similar a los sistemas de protección antivirus tradicionales que se basan en definiciones de virus. La detección de intrusiones basada en firmas se basa en firmas o patrones de intrusión. El principal inconveniente de este método de detección es que necesita las firmas adecuadas para cargarse en el software. Y cuando se trata de un nuevo método de ataque, generalmente hay un retraso antes de que se actualicen las firmas de ataque. Algunos proveedores son muy rápidos para proporcionar firmas de ataque actualizadas, mientras que otros son mucho más lentos. La frecuencia y la rapidez con que se actualizan las firmas es un factor importante a considerar al elegir un proveedor.

La detección basada en anomalías ofrece una mejor proteccióncontra los ataques de día cero, aquellos que ocurren antes de las firmas de detección han tenido la oportunidad de actualizarse. El proceso busca anomalías en lugar de tratar de reconocer patrones de intrusión conocidos. Por ejemplo, se activaría si alguien intentara acceder a un sistema con una contraseña incorrecta varias veces seguidas, una señal común de un ataque de fuerza bruta. Esto es solo un ejemplo y normalmente hay cientos de actividades sospechosas diferentes que pueden activar estos sistemas. Ambos métodos de detección tienen ventajas y desventajas. Las mejores herramientas son aquellas que usan una combinación de firma y análisis de comportamiento para la mejor protección.

La detección del intento de intrusión es la primera partede prevenirlos. Una vez detectados, los sistemas de prevención de intrusiones trabajan activamente para detener las actividades detectadas. Estos sistemas pueden emprender varias acciones correctivas diferentes. Podrían, por ejemplo, suspender o desactivar las cuentas de usuario. Otra acción típica es bloquear la dirección IP de origen del ataque o modificar las reglas del firewall. Si la actividad maliciosa proviene de un proceso específico, el sistema de prevención podría matar el proceso. Iniciar algún proceso de protección es otra reacción común y, en el peor de los casos, se pueden apagar sistemas completos para limitar el daño potencial. Otra tarea importante de Intrusion Prevention Systems es alertar a los administradores, registrar el evento e informar actividades sospechosas.

Medidas de prevención de intrusiones pasivas

Mientras que los sistemas de prevención de intrusiones pueden protegercontra numerosos tipos de ataques, nada es mejor que las medidas de prevención de intrusiones pasivas anticuadas. Por ejemplo, exigir contraseñas seguras es una excelente manera de protegerse contra muchas intrusiones. Otra medida de protección fácil es cambiar las contraseñas predeterminadas del equipo. Si bien es menos frecuente en las redes corporativas, aunque no es inaudito, he visto con demasiada frecuencia puertas de enlace de Internet que todavía tenían su contraseña de administrador predeterminada. Mientras se trata de contraseñas, el envejecimiento de las contraseñas es otro paso concreto que se puede implementar para reducir los intentos de intrusión. Cualquier contraseña, incluso la mejor, puede eventualmente ser descifrada, con tiempo suficiente. El envejecimiento de la contraseña garantiza que las contraseñas se cambiarán antes de que se hayan descifrado.

El administrador de registro y eventos de SolarWinds (Prueba GRATUITA disponible)

Vientos solares es un nombre bien conocido en la administración de redes. Goza de una sólida reputación por fabricar algunas de las mejores herramientas de administración de redes y sistemas. Su producto estrella, el Monitor de rendimiento de red puntúa constantemente entre las principales herramientas de monitoreo de ancho de banda de red disponibles. SolarWinds también es famoso por sus numerosas herramientas gratuitas, cada una de las cuales cubre una necesidad específica de los administradores de red. los Kiwi Syslog Server o la SolarWinds TFTP Server son dos excelentes ejemplos de estas herramientas gratuitas.

No dejes que el Administrador de registro y eventos de SolarWindsEl nombre te engaña. Hay mucho más de lo que parece. Algunas de las características avanzadas de este producto lo califican como un sistema de detección y prevención de intrusos, mientras que otros lo colocan en el rango de Información de Seguridad y Gestión de Eventos (SIEM). La herramienta, por ejemplo, presenta correlación de eventos en tiempo real y remediación en tiempo real.

SolarWinds LEM - Tablero de instrumentos

  • PRUEBA GRATIS: Administrador de registro y eventos de SolarWinds
  • Enlace de descarga: https://www.solarwinds.com/log-event-manager-software/registration

los Administrador de registro y eventos de SolarWinds cuenta con detección instantánea de sospechososactividad (una funcionalidad de detección de intrusos) y respuestas automáticas (una funcionalidad de prevención de intrusos). Esta herramienta también se puede utilizar para realizar investigaciones de eventos de seguridad y análisis forenses. Se puede utilizar con fines de mitigación y cumplimiento. La herramienta presenta informes probados por auditoría que también se pueden usar para demostrar el cumplimiento de varios marcos regulatorios como HIPAA, PCI-DSS y SOX. La herramienta también tiene monitoreo de integridad de archivos y monitoreo de dispositivos USB. Todas las características avanzadas del software hacen que sea más una plataforma de seguridad integrada que solo el sistema de gestión de registros y eventos que su nombre lo hará creer.

Las características de prevención de intrusiones de Administrador de registro y eventos de SolarWinds funciona implementando acciones llamadas ActivoResponde cada vez que se detectan amenazas. Se pueden vincular diferentes respuestas a alertas específicas. Por ejemplo, el sistema puede escribir en tablas de firewall para bloquear el acceso a la red de una dirección IP de origen que se ha identificado como que realiza actividades sospechosas. La herramienta también puede suspender cuentas de usuario, detener o iniciar procesos y cerrar sistemas. Recordará cómo estas son precisamente las acciones correctivas que identificamos antes.

Fortalezas y debilidades

Según Gartner, el Vientos solares Administrador de registro y eventos "Ofrece una solución bien integrada que es unaparticularmente adecuado para pequeñas y medianas empresas, gracias a su arquitectura simple, licencias fáciles y contenido y características robustas y listas para usar ". La herramienta ofrece múltiples fuentes de eventos y ofrece algunas funciones de control de cuarentena y contención de amenazas que no están comúnmente disponibles en los productos de la competencia.

Sin embargo, la firma de investigación también señala que estoEl producto es un ecosistema cerrado, lo que dificulta la integración con soluciones de seguridad de terceros, como detección avanzada de amenazas, feeds de inteligencia de amenazas y herramientas UEBA. Como escribió la firma: "Las integraciones con las herramientas de la mesa de servicio también se limitan a la conectividad unidireccional por correo electrónico y SNMP".

Además, el monitoreo de entornos SaaSno es compatible con el producto y el monitoreo de IaaS es limitado. Los clientes que desean extender su monitoreo a redes y aplicaciones deben comprar otros productos SolarWinds.

SolarWinds LEM - Informes de cumplimiento

  • PRUEBA GRATIS: Administrador de registro y eventos de SolarWinds
  • Enlace de descarga: https://www.solarwinds.com/log-event-manager-software/registration

Pros y contras

Hemos reunido los pros y los contras más importantes que los usuarios de SolarWinds Log & Event Managers han informado. Esto es lo que tienen que decir.

Pros

  • El producto es increíblemente fácil de configurar. Se implementó y las fuentes de registro lo señalaron y realizó correlaciones básicas en un día.
  • Las respuestas automáticas que están disponibles después de implementar el agente le brindan un control increíble para responder a eventos en su red.
  • La interfaz de la herramienta es fácil de usar. Algunos productos de la competencia pueden ser desalentadores para aprender a usar y aclimatarse, pero el Administrador de registro y eventos de SolarWinds tiene un diseño intuitivo y es muy fácil de recoger y usar

Contras

  • El producto no tiene un analizador personalizado. Inevitablemente habrá un producto en su red que El Administrador de registro y eventos de SolarWinds no sabrá cómo analizar. Algunas soluciones de la competencia aprovechan los analizadores personalizados por este motivo. Este producto no tiene soporte para crear analizadores personalizados, por lo que los formatos de registro desconocidos permanecen sin analizar.
  • La herramienta a veces puede ser demasiado básica. Es una excelente herramienta para realizar correlaciones básicas en un entorno de tamaño pequeño a mediano. Sin embargo, si intenta avanzar demasiado con las correlaciones que está tratando de realizar, puede sentirse frustrado con la falta de funcionalidad de la herramienta, que se debe principalmente a la forma en que analiza los datos.

Precios y licencias

Precios para SolarWinds Log & Event Managervaría según la cantidad de nodos monitoreados. Los precios comienzan en $ 4,585 para hasta 30 nodos monitoreados y se pueden comprar licencias para hasta 2500 nodos con varios niveles de licencia, lo que hace que el producto sea altamente escalable. Si desea llevar el producto a una prueba de funcionamiento y ver por usted mismo si es adecuado para usted, hay disponible una versión de prueba gratuita de 30 días con todas las funciones.

Splunk

Splunk es posiblemente uno de los sistemas de prevención de intrusiones más populares. Está disponible en varias ediciones diferentes con diferentes conjuntos de características. Splunk Enterprise Security-o Splunk ES, como a menudo se le llama, es lo que necesita para ser verdaderoprevención de intrusiones. Y esto es lo que estamos viendo hoy. El software monitorea los datos de su sistema en tiempo real, buscando vulnerabilidades y signos de actividad anormal. Aunque su objetivo de prevenir intrusiones es similar a Vientos solares", La forma en que lo logra es diferente.

Splunk - Deep Dive Captura de pantalla

La respuesta de seguridad es una de las SplunkEs fuerte y es lo que lo convierte en un sistema de prevención de intrusiones y una alternativa al Vientos solares producto recién revisado. Utiliza lo que el vendedor llama Marco de respuesta adaptativa (ARF) La herramienta se integra con equipos de más de 55 proveedores de seguridad y puede realizar respuestas automáticas, acelerando las tareas manuales y proporcionando una reacción más rápida. La combinación de remediación automatizada e intervención manual le brinda las mejores posibilidades de ganar rápidamente la delantera. La herramienta tiene una interfaz de usuario simple y ordenada, lo que la convierte en una solución ganadora. Otras características de protección interesantes incluyen el "Notables"Función que muestra alertas personalizables por el usuario y el"Investigador de activos"Para marcar actividades maliciosas y evitar más problemas.

Fortalezas y debilidades

SplunkEl gran ecosistema de socios proporciona integración y Splunkcontenido específico a través de Splunkbase tienda de aplicaciones. El conjunto completo de soluciones del proveedor también facilita que los usuarios crezcan en la plataforma con el tiempo, y las capacidades analíticas avanzadas están disponibles en una variedad de formas en todo el Splunk ecosistema.

A la baja, Splunk no ofrece una versión de dispositivo de la solución, y los clientes de Gartner han expresado su preocupación sobre el modelo de licencia y el costo de implementación; en respuesta, Splunk ha introducido nuevos enfoques de licencia, incluido el Acuerdo de Adopción Empresarial (EAA).

Splunk - Captura de pantalla de puntuación de salud

Pros y contras

Al igual que hicimos con el producto anterior, aquí hay una lista de los pros y los contras más importantes según lo informado por los usuarios de Splunk.

Pros

  • La herramienta reúne registros muy bien de casi todos los tipos de máquinas; la mayoría de los productos alternativos no lo hacen tan bien.
  • Splunk proporciona visuales al usuario, dándoles la capacidad de transformar registros en elementos visuales como gráficos circulares, gráficos, tablas, etc.
  • Es muy rápido para informar y alertar sobre anomalías. Hay poco retraso.

Contras

  • SplunkEl lenguaje de búsqueda es muy profundo. Sin embargo, realizar algunos de los formatos más avanzados o análisis estadísticos implica una pequeña curva de aprendizaje. Splunk la capacitación está disponible para aprender el idioma de búsqueda y manipular sus datos, pero puede costar entre $ 500.00 y $ 1 500.00.
  • Las capacidades del tablero de instrumentos de la herramienta son bastante decentes, pero para hacer visualizaciones más emocionantes se requiere un poco de desarrollo usando XML, Javascript y CSS simples.
  • El proveedor publica revisiones menores muy rápidamente, pero debido a la gran cantidad de errores con los que nos hemos encontrado, hemos tenido que actualizar nuestro entorno cuatro veces en nueve meses.

Precios y licencias

Splunk EnterpriseEl precio se basa en la cantidad total de datos queenvíalo todos los días. Comienza en $ 150 / mes de hasta 1 GB de datos diarios ingeridos. Los descuentos por volumen están disponibles. Este precio incluye usuarios ilimitados, búsquedas ilimitadas, búsqueda en tiempo real, análisis y visualización, monitoreo y alertas, soporte estándar y más. Deberá ponerse en contacto con las ventas de Splunk para obtener un presupuesto detallado. Como la mayoría de los productos en ese tipo de rango de precios, está disponible una versión de prueba gratuita para aquellos que deseen probar el producto.

¿Qué se ha dicho sobre los dos productos?

Los usuarios de la estación central de TI dan Vientos solares un 9 de 10 y Splunk un 8 de 10. Sin embargo, los usuarios de Gartner Peer Insights invierten el orden, dando Splunk un 4.3 de 5 y Vientos solares un 4 de 5.

Jeffrey Robinette, ingeniero de sistemas en Foxhole Technology, escribió que Vientos solares‘Los informes listos para usar y el tablero son una fortaleza clave, y señala que“ nos permite monitorear el acceso y extraer informes cibernéticos rápidamente. No más búsquedas a través de registros en cada servidor ".

En comparación con SplunkRobinette dijo que Vientos solares no requiere mucha personalización y su precio es más bajo, mientras él escribió sobre Splunk que "necesitas un Ph.D. en personalizar los informes ".

Para Raúl Lapaz, operaciones senior de seguridad de TI en Roche, mientras Splunk no es barato, su facilidad de uso, escalabilidad, estabilidad, la velocidad del motor de búsqueda y la compatibilidad con una amplia variedad de fuentes de datos hacen que valga la pena.

Lapaz, sin embargo, señaló algunas deficiencias,incluido, por ejemplo, el hecho de que la administración de clústeres solo se puede realizar a través de la línea de comandos y que los permisos no son muy flexibles. Él escribió: "Sería bueno tener opciones más granulares, como la autenticación de doble factor".

Leer también

Filtre y vea los registros de eventos de Windows y SCOM con Log Smith
Las 6 mejores herramientas de administración de registros para Linux en 2019
SolarWinds Network Performance Monitor vs WhatsUp Gold - Revisión comparativa
Los 7 mejores sistemas de prevención de intrusiones (IPS) para 2019
Las 6 mejores herramientas de gestión de eventos e información de seguridad (SIEM) que vale la pena ver en 2019
Revisión detallada de SolarWinds Access Rights Manager
Histograma comparativo en Excel 2010
Evite para Android: Crear y enviar tarjetas de invitación a eventos en masa
Cómo deshacerse de las invitaciones a eventos de spam en la aplicación Calendario [iOS]
Apple Septiembre 2015 Evento Todas las especificaciones y precios del dispositivo
Cómo ver el evento de Apple de septiembre de 2015 en línea
Haga una copia de seguridad de sus notificaciones de Android y revíselas después de que se hayan descartado

Comentarios