Se on viidakko siellä! Laittomia aikomuksia tekeviä ihmisiä on kaikkialla ja he seuraavat sinua. No, luultavasti et sinä henkilökohtaisesti, vaan pikemminkin tietosi. Meidän ei enää tarvitse suojata vain viruksia, vaan kaikenlaisia hyökkäyksiä, jotka voivat jättää verkosi - ja organisaatiosi - vakavaan tilanteeseen. Erilaisten suojausjärjestelmien, kuten antivirusten, palomuurien ja tunkeutumisen havaitsemisjärjestelmien, leviämisen takia verkonvalvojat tulvivat nyt tietoihin, jotka heidän on korreloitava, yrittäen ymmärtää sitä. Täältä tietoturva- ja tapahtumienhallintajärjestelmät (SIEM) ovat hyödyllisiä. He käsittelevät suurimman osan pelottavasta työstä käsitellä liian paljon tietoa. Jotta SIEM-valintasi helpottuisi, esittelemme sinulle parhaat tietoturva- ja tapahtumahallintatyökalut.
Aloitamme tänään analyysimme keskustelemallanykyaikainen uhkapaikka. Kuten totesimme, se ei ole enää vain viruksia. Sitten yritämme selittää paremmin, mikä SIEM on tarkalleen, ja puhua eri komponenteista, jotka muodostavat SIEM-järjestelmän. Jotkut heistä saattavat olla tärkeämpiä kuin muut, mutta niiden suhteellinen merkitys voi olla erilainen eri ihmisille. Ja lopuksi esittelemme valikoiman kuudesta parhaasta tietoturva- ja tapahtumien hallintatyökalusta (SIEM) ja tarkastelemme niitä lyhyesti.
Moderni uhka kohtaus
Tietoturva koski aiemmin vain viruksiasuojaus. Mutta viime vuosina on paljastettu useita erilaisia hyökkäyksiä. Ne voivat olla palvelunestohyökkäyksiä, tietovarkauksia ja monia muita. Ja he eivät enää tule vain ulkopuolelta. Monet hyökkäykset ovat peräisin verkosta. Joten lopullista suojaa varten on keksitty erityyppisiä suojausjärjestelmiä. Perinteisen virustentorjunnan ja palomuurin lisäksi meillä on nyt esimerkiksi tunkeutumisen havaitsemisen ja tietojen katoamisen estäviä järjestelmiä (IDS ja DLP).
Tietysti, mitä enemmän järjestelmiä lisäät, sitä enemmäntyö, jota hallitset heille. Jokainen järjestelmä tarkkailee tiettyjä poikkeavuuksien parametreja ja kirjaa ne ja / tai laukaisee hälytykset, kun ne havaitaan. Eikö olisi hienoa, jos kaikkien näiden järjestelmien valvonta voitaisiin automatisoida? Lisäksi useat järjestelmät voivat havaita tietyntyyppisiä hyökkäyksiä eri vaiheissa. Eikö olisi paljon parempi, jos voisit sitten vastata kaikkiin niihin liittyviin tapahtumiin yhtenä kokonaisuutena? No, juuri tästä SIEM on kyse.
Mikä on SIEM, tarkalleen ottaen?
Nimi kertoo kaiken. Turvatiedot ja tapahtumien hallinta ovat prosessit, joissa hallitaan tietoturvatietoja ja -tapahtumia. Konkreettisesti, SIEM-järjestelmä ei tarjoa mitään suojaa. Sen päätarkoitus on helpottaa verkko- ja tietoturvajärjestelmänvalvojien elämää. Se mitä tyypillinen SIEM-järjestelmä todella tekee, on tiedon kerääminen erilaisilta suojaus- ja ilmaisujärjestelmiltä, korreloiva kaiken tämän tiedon kokoamiseen liittyvien tapahtumien kanssa ja reagointi merkityksellisiin tapahtumiin eri tavoin. SIEM-järjestelmät sisältävät usein myös jonkinlaista raportointia ja kojetauluja.
SIEM-järjestelmän olennaiset komponentit
Aiomme tutkia jokaista syvällisemmintärkeä osa SIEM-järjestelmää. Kaikissa SIEM-järjestelmissä ei ole kaikkia näitä komponentteja, ja vaikka ne tekisivätkin, niillä voisi olla erilaisia toimintoja. Ne ovat kuitenkin kaikkein peruskomponentit, joita tyypillisesti löytyy muodossa tai toisessa mistä tahansa SIEM-järjestelmästä.
Tukkien keruu ja hallinta
Tukkien keruu ja hallinta on tärkeintäkomponentti kaikista SIEM-järjestelmistä. Ilman sitä ei ole SIEM: ää. SIEM-järjestelmän on hankittava lokitiedot monista eri lähteistä. Se voi joko vetää sen tai erilaiset tunnistus- ja suojausjärjestelmät voivat työntää sen SIEM: ään. Koska jokaisella järjestelmällä on oma tapa luokitella ja tallentaa tietoja, SIEM: n tehtävänä on normalisoida tiedot ja tehdä niistä yhdenmukaisia, riippumatta siitä, mikä sen lähde on.
Normalisoinnin jälkeen lokitiedot ovat useinverrattuna tunnettuihin hyökkäysmalleihin yritettäessä tunnistaa haitallinen käyttäytyminen mahdollisimman varhaisessa vaiheessa. Tietoja verrataan usein myös aiemmin kerättyihin tietoihin, jotta voidaan luoda perustaso, joka parantaa edelleen epänormaalin aktiivisuuden havaitsemista.
Tapahtumavaste
Kun tapahtuma on havaittu, jotain on tehtäväsiitä. Tästä on kyse SIEM-järjestelmän tapahtumavastemoduulista. Tapahtumavaste voi olla erilaisia. Alkuperäisimmässä toteutuksessaan hälytysviesti luodaan järjestelmän konsoliin. Usein voidaan luoda myös sähköposti- tai tekstiviestihälytyksiä.
Mutta parhaat SIEM-järjestelmät menevät askeleen pidemmälle jaaloittaa usein jonkin korjaavan prosessin. Tämä on jälleen asia, jolla voi olla monia muotoja. Parhaimmilla järjestelmillä on täydellinen tapausvaste-työnkulkujärjestelmä, jota voidaan räätälöidä tuottamaan juuri haluamasi vastaus. Ja kuten voidaan olettaa, tapahtumien reagoinnin ei tarvitse olla yhdenmukaista ja erilaiset tapahtumat voivat laukaista erilaisia prosesseja. Parhaat järjestelmät antavat sinulle täydellisen hallinnan tapahtumien vastauksen työnkululle.
raportointi
Kun sinulla on lokikokoelma ja hallintaja vastausjärjestelmät paikallaan, seuraava tarvitsemasi rakennuspalikka on raportointi. Et ehkä tiedä sitä vielä, mutta tarvitset raportteja. Yläjohto tarvitsee heidät tarkistamaan itse, että heidän sijoituksensa SIEM-järjestelmään kannattaa. Saatat tarvita myös raportteja vaatimustenmukaisuutta varten. PCI DSS-, HIPAA- tai SOX-standardien noudattaminen voidaan helpottaa, kun SIEM-järjestelmäsi voi tuottaa vaatimustenmukaisuusraportteja.
Raportit eivät välttämättä ole SIEM-järjestelmän ytimessämutta silti, se on yksi olennainen osa. Ja usein raportoinnista tulee merkittävä erottava tekijä kilpailevien järjestelmien välillä. Raportit ovat kuin karkkeja, eikä niitä voi koskaan olla liian paljon. Ja tietysti parhaiden järjestelmien avulla voit luoda mukautettuja raportteja.
Kojelauta (s)
Viimeisenä, mutta ei vähäisimpänä, kojelauta on sinunikkuna SIEM-järjestelmän tilaan. Ja jopa kojetauluja voi olla useita. Koska eri ihmisillä on erilaiset prioriteetit ja kiinnostuksen kohteet, täydellinen kojetaulu verkon ylläpitäjälle on erilainen kuin tietoturvan järjestelmänvalvojan. Ja toimeenpaneva johtoon tarvitaan myös täysin erilainen.
Vaikka emme voi arvioida SIEM-järjestelmääkuinka monta kojetaulua sillä on, sinun on valittava yksi, jolla on kaikki tarvitsemasi kojetaulut. Tämä on ehdottomasti jotain, joka kannattaa pitää mielessä arvioidessasi myyjiä. Ja aivan kuten raporttien kanssa, parhaatkin järjestelmät antavat sinun rakentaa räätälöityjä kojetauluja haluamallasi tavalla.
6 suosituinta SIEM-työkalua
Siellä on paljon SIEM-järjestelmiä. Itse asiassa liian monia, jotta voimme tarkistaa ne kaikki täällä. Joten olemme etsinyt markkinoita, verranneet järjestelmiä ja luoneet luettelon, jonka havaitsimme kuudeksi parhaaksi tietoturvan informaation ja hallinnan (SIEM) työkaluksi. Listaamme ne suosituimmuusjärjestykseen ja tarkastelemme lyhyesti kutakin niistä. Mutta tilauksestaan huolimatta kaikki kuusi ovat erinomaisia järjestelmiä, joita voimme vain suositella kokeilemaan itse.
Tässä on 6 parasta SIEM-työkalua
- SolarWinds Log & Event Manager
- Splunk-yritysturvallisuus
- RSA NetWitness
- ArcSight Enterprise Security Manager
- McAfee Enterprise Security Manager
- IBM QRadar SIEM
1. SolarWinds Log & Event Manager (ILMAINEN 30-päivän kokeilu)
SolarWinds on yleinen nimi verkossamaailman seuranta. Heidän lippulaivatuote, Network Performance Monitor, on yksi parhaista käytettävissä olevista SNMP-seurantatyökaluista. Yritys tunnetaan myös lukuisista ilmaisista työkaluista, kuten aliverkkolaskuristaan tai SFTP-palvelimestaan.
SolarWindsin SIEM-työkalu, Lokien ja tapahtumien hallinta(LEM) kuvataan parhaiten lähtötason SIEM-järjestelmäksi. Mutta se on mahdollisesti yksi kilpailukykyisimmistä lähtötason järjestelmistä markkinoilla. SolarWinds LEM sisältää kaiken mitä voit odottaa SIEM-järjestelmältä. Sillä on erinomaiset pitkät hallinta- ja korrelaatioominaisuudet ja vaikuttava raportointimoottori.
Mitä tulee työkalun tapahtumavastausominaisuuksiin, nejätä mitään toivomisen varaa. Yksityiskohtainen reaaliaikainen reagointijärjestelmä reagoi aktiivisesti kaikkiin uhkiin. Ja koska se perustuu käyttäytymiseen kuin allekirjoitukseen, olet suojattu tuntemattomilta tai tulevaisuuden uhilta.
Mutta työkalun kojelauta on mahdollisesti parasvoimavara. Yksinkertaisella suunnittelulla sinulla ei ole ongelmia epäonnistumisten tunnistamisessa nopeasti. Alkaen noin 4 500 dollarista, työkalu on enemmän kuin edullinen. Ja jos haluat kokeilla sitä ensin, ilmainen täysin toimiva 30 päivän kokeiluversio on ladattavissa.
2. Splunk-yritysturva
Mahdollisesti yksi suosituimmista SIEM-järjestelmistä,Splunk Enterprise Security - tai Splunk ES, kuten sitä usein kutsutaan - on erityisen kuuluisa analytiikkaominaisuuksistaan. Splunk ES tarkkailee järjestelmän tietoja reaaliajassa etsimällä haavoittuvuuksia ja merkkejä epänormaalista toiminnasta.
Turvavaste on toinen Splunk ES: n vahvoistapuvut. Järjestelmä käyttää sitä mitä Splunk kutsuu Adaptive Response Framework (ARF) -sovellukseksi, joka integroituu yli 55 tietoturvatoimittajan laitteisiin. ARF suorittaa automaattisen vastauksen nopeuttaen manuaalisia tehtäviä. Tämän avulla saat nopeasti käsityksen. Lisää tähän yksinkertainen ja häiriötön käyttöliittymä ja sinulla on voittava ratkaisu. Muita mielenkiintoisia ominaisuuksia ovat Notables-toiminto, joka näyttää käyttäjän mukautettavissa olevat hälytykset ja omaisuuden tutkija haitallisten toimien merkitsemiseksi ja uusien ongelmien estämiseksi.
Splunk ES on todella yrityslaatuinen tuoteja sen mukana tulee yrityskokoinen hintalappu. Et voi edes saada hinnoittelutietoja Splunkin verkkosivustolta. Sinun on otettava yhteyttä myyntiosastoon saadaksesi hinta. Hintastaan huolimatta tämä on hieno tuote, ja haluat ehkä ottaa yhteyttä Splunkiin ja hyödyntää ilmaista kokeiluversiota.
3. RSA NetWitness
Vuodesta 20016 NetWitness on keskittynyt tuotteisiintukemalla ”syvää reaaliaikaista verkkotilannetietoisuutta ja ketterää verkkovastausta”. Saatuaan EMC: n, joka sulautui sitten Dellin kanssa, Newitness-liiketoiminta on nyt osa RSA-sivuliikettä. Ja tämä on hyvä uutinen RSA on kuuluisa nimi turvallisuudessa.
RSA NetWitness on ihanteellinen organisaatioille, jotka etsivättäydellinen verkkoanalytiikkaratkaisu. Työkalu sisältää yritystäsi koskevia tietoja, jotka auttavat priorisoimaan hälytykset. RSA: n mukaan järjestelmä "kerää tietoja useampaan sieppauspisteeseen, laskentaympäristöön ja uhkaustietolähteisiin kuin muut SIEM-ratkaisut". Siellä on myös edistyksellinen uhkien havaitseminen, joka yhdistää käyttäytymisanalyysit, tietotekniikan tekniikat ja uhkailutiedot. Ja viimeiseksi, edistyksellisessä vastausjärjestelmässä on orkestrointi- ja automaatiominaisuudet, joiden avulla voidaan päästä eroon uhkien poistamisesta ennen kuin ne vaikuttavat yritykseesi.
Yksi RSA NetWitnessin suurimmista haitoista onettä se ei ole helpointa käyttää ja määrittää. Saatavana on kuitenkin kattava dokumentaatio, joka voi auttaa sinua tuotteen asettamisessa ja käytössä. Tämä on toinen yritystason tuote, ja sinun on otettava yhteyttä myyntiin saadaksesi hintatietoja.
4. ArcSight Enterprise Security Manager
ArcSight Enterprise Security Manager auttaatunnistaa ja priorisoida turvallisuusuhat, organisoida ja seurata tapahtumien vastaisia toimia sekä yksinkertaistaa tarkastus- ja sääntöjenmukaisuustoimenpiteitä. Aiemmin myytiin HP-tuotemerkki, se on nyt sulautunut Micro Focus, toinen HP: n tytäryhtiö.
Yli viidentoista vuoden ajan,ArcSight on toinen erittäin suosittu SIEM-työkalu. Se kokoaa lokitiedot eri lähteistä ja suorittaa laajan tietoanalyysin etsien merkkejä haitallisesta toiminnasta. Jotta uhkien tunnistaminen olisi helppoa, voit tarkastella real0tme-analyysituloksia.
Tässä on tuotteiden tärkeimmät ominaisuudet piilotettu. Sillä on tehokas hajautettu reaaliaikainen datakorrelaatio, työnkulun automatisointi, tietoturvan järjestäminen ja yhteisöpohjainen tietoturvasisältö. Enterprise Security Manager integroituu myös muihin ArcSight-tuotteisiin, kuten ArcSight Data Platform ja Event Broker tai ArcSight Investigate. Tämä on toinen yritystason tuote - kuten melkein kaikki laadukkaat SIEM-työkalut -, joka edellyttää, että otat yhteyttä ArcSightin myyntitiimiin saadaksesi hintatietoja.
5. McAfee Enterprise Security Manager
McAfee on varmasti toinen kotitalousnimiturvallisuusala. Se tunnetaan kuitenkin paremmin virussuojatuotteistaan. Enterprise-tietoturvapäällikkö ei ole vain ohjelmisto. Se on itse asiassa laite. Voit saada sen virtuaalisessa tai fyysisessä muodossa.
Analyysiominaisuuksiensa suhteenMcAfee Enterprise Security Manager on monien mielestä yksi parhaimmista SIEM-työkaluista. Järjestelmä kerää lokit useille laitteille. Mitä tulee sen normalisointiominaisuuksiin, se on myös huippuluokkaa. Korrelaatiomoottori kokoaa helposti erilaiset tietolähteet helpottaen tietoturvatapahtumien havaitsemista niiden tapahtuessa
Totta totta, McAfee-ratkaisussa on enemmänkuin vain sen Enterprise Security Manager. Saadaksesi täydellisen SIEM-ratkaisun tarvitset myös yrityslokihallinnan ja tapahtumavastaanottimen. Onneksi kaikki tuotteet voidaan pakata yhteen laitteeseen. Niille teistä, jotka haluavat kokeilla tuotetta ennen kuin ostat sen, on saatavilla ilmainen kokeilu.
6. IBM QRadar
IBM, mahdollisesti tunnetuin nimi IT: ssäteollisuus on onnistunut luomaan SIEM-ratkaisun, IBM QRadar on yksi markkinoiden parhaista tuotteista. Työkalu antaa turvallisuusanalyytikoille mahdollisuuden havaita poikkeavuuksia, paljastaa edistyneitä uhkia ja poistaa vääriä positiivisia tosiaikaisesti.
IBM QRadar tarjoaa sarjan lokinhallintaa, dataakeräys-, analytiikka- ja tunkeutumisen havaitsemisominaisuudet. Yhdessä ne auttavat pitämään verkkoinfrastruktuurisi ajan tasalla. On myös riskienhallintaanalytiikkaa, joka voi simuloida mahdollisia hyökkäyksiä.
Jotkut QRadarin tärkeimmistä ominaisuuksista sisältävät kyvynottaa ratkaisu käyttöön tiloissa tai pilviympäristössä. Se on modulaarinen ratkaisu, ja siihen voidaan nopeasti ja edullisesti lisätä lisää tallennustilaa käsittelytehoa. Järjestelmä käyttää IBM X-Force -yrityksen älykkyysosaamista ja integroituu saumattomasti satojen IBM: n ja muiden tuotteiden kanssa.
Koska IBM on IBM, voit odottaa maksavan premium-hinnan heidän SIEM-ratkaisustaan. Mutta jos tarvitset yhtä markkinoiden parhaimmista SIEM-työkaluista, QRadar saattaa hyvinkin olla sijoituksen arvoinen.
Tiivistettynä
Ainoa ongelma, joka sinulla voi olla ostoksillaParas tietoturva- ja tapahtumaseuranta (SIEM) -työkalu on erinomaisten vaihtoehtojen runsaus. Esittelemme juuri kuusi parasta. Ne kaikki ovat erinomaisia valintoja. Valitsemasi vaihtoehto riippuu suurelta osin tarpeistasi, budjetistasi ja ajasta, jonka olet valmis käyttämään sen asettamiseen. Valitettavasti alkuperäinen kokoonpano on aina vaikein osa, ja asiat voivat mennä pieleen, jos SIEM-työkalua ei ole määritetty oikein, se ei pysty suorittamaan tehtäväänsä kunnolla.
Teksti 50 - 2300
Kommentit