- - SolarWinds Log & Event Manager vs Splunk - Une analyse comparative

Gestionnaire de journaux et d'événements SolarWinds vs Splunk - Examen comparatif

L’un des plus importants, sinon le plusLes données de beaucoup d’organisations d’aujourd’hui sont essentielles. Il est tellement important et précieux que de nombreuses personnes ou organisations mal intentionnées s’efforcent de voler ces données précieuses. Ils le font en utilisant un large éventail de techniques et de technologies pour obtenir un accès non autorisé aux réseaux et aux systèmes. Le nombre de ces tentatives semble croître de manière exponentielle tout le temps. Pour éviter cela, des systèmes appelés systèmes de prévention des intrusions, ou IPS, sont déployés par des entreprises souhaitant protéger leurs données. le Gestionnaire de journaux et d'événements SolarWinds aussi bien que Splunk sont deux produits non conventionnels dans ce domaine. Aujourd'hui, nous comparons les deux.

Nous allons commencer notre exploration en regardantprévention des intrusions en général. Cela aidera à mettre la table pour ce qui va arriver. Nous allons essayer de le garder aussi peu technique que possible. Notre idée n'est pas de faire de vous des experts en prévention des intrusions, mais plutôt de nous assurer que nous sommes tous sur la même page lorsque nous explorons plus avant les deux produits. En parlant d’exploration des produits, c’est ce que nous avons ensuite. Nous allons d'abord décrire les principales fonctionnalités de SolarWinds Log & Event Manager. Nous suivrons en examinant les forces et les faiblesses du produit, ainsi que ses avantages et inconvénients, tels que rapportés par les utilisateurs de la plate-forme, et nous conclurons notre aperçu du produit en examinant sa structure de prix et de licence. Nous passerons ensuite en revue Splunk en utilisant un format identique avec les fonctionnalités du produit, ses forces et ses faiblesses, ses avantages et ses inconvénients et sa structure de prix. Enfin, nous conclurons avec ce que les utilisateurs ont à dire sur les deux produits.

Prévention d'intrusion - De quoi s'agit-il?

Il y a des années, les virus étaient pratiquement les seulspréoccupations des administrateurs système. Les virus sont arrivés à un point où ils étaient si courants que l'industrie a réagi en développant des outils de protection antivirus. Aujourd'hui, aucun utilisateur sérieux et avisé ne songe à utiliser un ordinateur sans protection antivirus. Bien que nous n'entendions plus beaucoup de virus, l'intrusion - ou l'accès non autorisé à vos données par des utilisateurs malveillants - constitue une nouvelle menace. Les données étant souvent l’atout le plus important d’une entreprise, les réseaux d’entreprise sont devenus la cible de pirates informatiques mal intentionnés qui se donneront beaucoup de mal pour accéder aux données. Tout comme les logiciels de protection antivirus étaient la solution à la prolifération des virus, les systèmes de prévention des intrusions sont la solution aux attaques d’intrus.

Les systèmes de prévention des intrusions font essentiellement deuxdes choses. Premièrement, ils détectent les tentatives d’intrusion et, quand ils détectent des activités suspectes, ils utilisent différentes méthodes pour les arrêter ou les bloquer. Les tentatives d’intrusion peuvent être détectées de deux manières différentes. La détection par signature consiste à analyser le trafic et les données du réseau et à rechercher des modèles spécifiques associés à des tentatives d'intrusion. Ceci est similaire aux systèmes de protection antivirus traditionnels qui reposent sur des définitions de virus. La détection d'intrusion basée sur la signature repose sur des signatures ou des modèles d'intrusion. Le principal inconvénient de cette méthode de détection est qu’elle nécessite le chargement des signatures appropriées dans le logiciel. Et lorsqu'une nouvelle méthode d'attaque est utilisée, il y a généralement un délai avant la mise à jour des signatures d'attaque. Certains fournisseurs fournissent très rapidement les signatures d'attaque mises à jour, tandis que d'autres sont beaucoup plus lents. La fréquence et la rapidité avec lesquelles les signatures sont mises à jour est un facteur important à prendre en compte lors du choix d'un fournisseur.

La détection basée sur les anomalies offre une meilleure protectioncontre les attaques du jour zéro, celles qui se produisent avant les signatures de détection ont eu la possibilité d'être mises à jour. Le processus recherche les anomalies au lieu d'essayer de reconnaître les modèles d'intrusion connus. Par exemple, cela se déclencherait si quelqu'un tentait d'accéder à un système avec un mot de passe incorrect plusieurs fois de suite, signe commun d'une attaque par force brute. Ce n’est qu’un exemple et il existe généralement des centaines d’activités suspectes pouvant déclencher ces systèmes. Les deux méthodes de détection présentent des avantages et des inconvénients. Les meilleurs outils sont ceux qui combinent signature et analyse du comportement pour une protection optimale.

Détecter une tentative d'intrusion est l'une des premières étapesde les prévenir. Une fois détectés, les systèmes de prévention des intrusions travaillent activement à arrêter les activités détectées. Plusieurs actions correctives différentes peuvent être entreprises par ces systèmes. Ils pourraient, par exemple, suspendre ou désactiver des comptes d'utilisateurs. Une autre action typique consiste à bloquer l'adresse IP source de l'attaque ou à modifier les règles du pare-feu. Si l'activité malveillante provient d'un processus spécifique, le système de prévention peut le tuer. Le démarrage d’un processus de protection est une autre réaction courante et, dans le pire des cas, des systèmes complets peuvent être fermés pour limiter les dommages potentiels. Une autre tâche importante des systèmes de prévention des intrusions consiste à alerter les administrateurs, à enregistrer l'événement et à signaler les activités suspectes.

Mesures de prévention passive des intrusions

Alors que les systèmes de prévention des intrusions peuvent protégercontre de nombreux types d’attaques, rien ne vaut les bonnes mesures de prévention des intrusions passives à l’ancienne. Par exemple, imposer des mots de passe forts est un excellent moyen de protection contre de nombreuses intrusions. Une autre mesure de protection simple consiste à modifier les mots de passe par défaut des équipements. Bien que cela soit moins fréquent dans les réseaux d’entreprise, même si ce n’est pas inhabituel, j’ai trop souvent vu des passerelles Internet avec leur mot de passe administrateur par défaut. En ce qui concerne les mots de passe, le vieillissement des mots de passe est une autre étape concrète qui peut être mise en place pour réduire les tentatives d'intrusion. N'importe quel mot de passe, même le meilleur, peut éventuellement être déchiffré si on dispose de suffisamment de temps. L'ancienneté du mot de passe garantit que les mots de passe seront modifiés avant qu'ils ne soient déchiffrés.

Le gestionnaire de journaux et d'événements SolarWinds (Essai GRATUIT disponible)

SolarWinds est un nom bien connu dans l'administration du réseau. Il jouit d'une solide réputation en tant que l'un des meilleurs outils d'administration de réseau et de système. Son produit phare, le Analyseur de performances réseau se classe régulièrement parmi les meilleurs outils de surveillance de la bande passante réseau disponibles. SolarWinds est également célèbre pour ses nombreux outils gratuits, chacun répondant à un besoin spécifique des administrateurs réseau. le Kiwi Syslog Server ou la SolarWinds TFTP Server sont deux excellents exemples de ces outils gratuits.

Ne laissez pas le Gestionnaire de journaux et d'événements SolarWindsLe nom te trompe. Il y a beaucoup plus que ce que l'on voit. Certaines des fonctionnalités avancées de ce produit le qualifient de système de détection et de prévention des intrusions, tandis que d'autres le classent dans la gamme SIEM (Security Information and Event Management). L'outil, par exemple, présente une corrélation d'événements en temps réel et une correction en temps réel.

SolarWinds LEM - Tableau de bord

  • ESSAI GRATUIT: Gestionnaire de journaux et d'événements SolarWinds
  • Lien de téléchargement: https://www.solarwinds.com/log-event-manager-software/registration

le Gestionnaire de journaux et d'événements SolarWinds possède une détection instantanée de suspectactivité (une fonctionnalité de détection d'intrusion) et des réponses automatisées (une fonctionnalité de prévention d'intrusion). Cet outil peut également être utilisé pour effectuer des enquêtes sur les événements de sécurité et des analyses judiciaires. Il peut être utilisé à des fins d'atténuation et de conformité. L'outil propose des rapports éprouvés par l'audit qui peuvent également être utilisés pour démontrer la conformité à divers cadres réglementaires tels que HIPAA, PCI-DSS et SOX. L'outil permet également la surveillance de l'intégrité des fichiers et des périphériques USB. Toutes les fonctionnalités avancées du logiciel en font une plate-forme de sécurité intégrée plus qu'un simple système de gestion des journaux et des événements que son nom vous laisserait croire.

Les fonctionnalités de prévention des intrusions du Gestionnaire de journaux et d'événements SolarWinds fonctionne en mettant en œuvre des actions appelées ActiveRéponses chaque fois que des menaces sont détectées. Différentes réponses peuvent être liées à des alertes spécifiques. Par exemple, le système peut écrire sur les tables de pare-feu pour bloquer l'accès au réseau d'une adresse IP source identifiée comme effectuant des activités suspectes. L'outil peut également suspendre des comptes d'utilisateurs, arrêter ou démarrer des processus et arrêter des systèmes. Vous vous souviendrez que ce sont précisément les actions de correction que nous avons identifiées auparavant.

Forces et faiblesses

Selon Gartner, le SolarWinds Gestionnaire de journaux et d'événements "Offre une solution bien intégrée qui est unconvient particulièrement aux petites et moyennes entreprises, grâce à son architecture simple, ses licences faciles, son contenu et ses fonctionnalités prêts à l'emploi robustes ». Cet outil regroupe plusieurs sources d’événements et offre des fonctionnalités de contrôle de la quarantaine et de limitation des menaces qui ne sont pas couramment disponibles à partir de produits concurrents.

Cependant, la société de recherche note également que cetteLe produit est un écosystème fermé, ce qui rend difficile l'intégration avec des solutions de sécurité tierces telles que la détection avancée des menaces, les flux d'informations sur les menaces et les outils UEBA. Comme l’a écrit la société: «Les intégrations avec les outils du centre de services se limitent également à la connectivité unidirectionnelle par courrier électronique et SNMP».

De plus, la surveillance des environnements SaaSn'est pas pris en charge par le produit et la surveillance d'IaaS est limitée. Les clients qui souhaitent étendre leur surveillance aux réseaux et aux applications doivent acheter d’autres produits SolarWinds.

SolarWinds LEM - Rapports de conformité

  • ESSAI GRATUIT: Gestionnaire de journaux et d'événements SolarWinds
  • Lien de téléchargement: https://www.solarwinds.com/log-event-manager-software/registration

Avantages et inconvénients

Nous avons rassemblé les principaux avantages et inconvénients notifiés par les utilisateurs de SolarWinds Log & Event Managers. Voici ce qu’ils ont à dire.

Avantages

  • Le produit est incroyablement facile à configurer. Il a été déployé et a été pointé par des sources de journal et effectuait des corrélations de base en une journée.
  • Les réponses automatisées disponibles après le déploiement de l'agent vous donnent un contrôle incroyable pour répondre aux événements sur votre réseau.
  • L’interface de l’outil est conviviale. Certains produits concurrents peuvent être difficiles à apprendre à utiliser et à s’y habituer, mais le Gestionnaire de journaux et d'événements SolarWinds a une disposition intuitive et est très facile à prendre en main et à utiliser.

Les inconvénients

  • Le produit n'a pas d'analyseur personnalisé. Il y aura inévitablement un produit sur votre réseau que The Gestionnaire de journaux et d'événements SolarWinds vous ne saurez pas comment analyser. Certaines solutions concurrentes utilisent des analyseurs syntaxiques personnalisés pour cette raison. Ce produit ne prend pas en charge la création d'analyseurs personnalisés. Par conséquent, les formats de journaux inconnus ne sont pas analysés.
  • L'outil peut parfois être trop basique. C'est un excellent outil pour effectuer des corrélations de base dans un environnement de taille petite à moyenne. Cependant, si vous essayez d’avancer avec les corrélations que vous essayez d’effectuer, vous risquez de vous sentir frustré par le manque de fonctionnalités de l’outil, principalement dû à la façon dont il analyse les données.

Prix ​​et licence

Tarification du gestionnaire de journaux et d'événements SolarWindsvarie en fonction du nombre de nœuds surveillés. Les prix commencent à 4585 USD pour un maximum de 30 nœuds surveillés et vous pouvez acheter des licences pour un maximum de 2500 nœuds avec plusieurs niveaux de licence entre eux, ce qui rend le produit hautement évolutif. Si vous souhaitez tester le produit et voir par vous-même s'il vous convient, une version d'essai gratuite et complète de 30 jours est disponible.

Splunk

Splunk est probablement l'un des systèmes de prévention des intrusions les plus populaires. Il est disponible dans plusieurs éditions différentes avec différents ensembles de fonctionnalités. Splunk Enterprise Security-ou Splunk ES, comme on l'appelle souvent - est ce dont vous avez besoin pourprévention des intrusions. Et c’est ce que nous examinons aujourd’hui. Le logiciel surveille les données de votre système en temps réel, à la recherche de vulnérabilités et de signes d’activité anormale. Bien que son objectif de prévention des intrusions s'apparente à SolarWinds’, La façon dont il y parvient est différente.

Splunk - Deep Dive Capture d'écran

La réponse de sécurité est l’un des SplunkLes points forts et c’est ce qui en fait un système de prévention des intrusions et une alternative au SolarWinds produit vient de passer en revue. Il utilise ce que le fournisseur appelle le Cadre de réponse adaptative (ARF) L'outil s'intègre à l'équipement de plus de 55 fournisseurs de sécurité et peut effectuer une réponse automatisée, en accélérant les tâches manuelles et en offrant une réaction plus rapide. La combinaison de la correction automatique et de l'intervention manuelle vous offre les meilleures chances de prendre rapidement le dessus. L'outil a une interface utilisateur simple et épurée, ce qui en fait une solution gagnante. Parmi les autres fonctionnalités de protection intéressantes figurent le «Notables"Fonction qui affiche des alertes personnalisables par l'utilisateur et le"Enquêteur d'actifs”Pour signaler des activités malveillantes et prévenir d'autres problèmes.

Forces et faiblesses

SplunkLe vaste écosystème de partenaires «fournit l’intégration et la Splunkcontenu spécifique à travers le Splunkbase magasin d'applications. La suite complète de solutions proposée par le fournisseur facilite également l’accès des utilisateurs à la plate-forme au fil du temps, et des fonctionnalités d’analyse avancées sont disponibles de différentes manières tout au long du processus. Splunk écosystème.

À la baisse, Splunk n'offre pas de version de la solution à l'appliance, et les clients de Gartner ont exprimé des préoccupations concernant le modèle de licence et le coût de mise en œuvre - en réponse, Splunk a introduit de nouvelles approches en matière de licences, y compris l'Enterprise Adoption Agreement (EAA).

Splunk - Capture du score de santé

Avantages et inconvénients

Comme dans le cas du produit précédent, voici une liste des principaux avantages et inconvénients rapportés par les utilisateurs de Splunk.

Avantages

  • L’outil récupère très bien les journaux de presque tous les types de machines - la plupart des produits alternatifs ne le font pas aussi bien.
  • Splunk fournit des éléments visuels à l'utilisateur, lui permettant de transformer les journaux en éléments visuels tels que des camemberts, des graphiques, des tableaux, etc.
  • Il est très rapide pour signaler et alerter sur les anomalies. Il y a peu de retard.

Les inconvénients

  • SplunkLa langue de recherche est très profonde. Cependant, certaines des analyses de formatage ou statistiques les plus avancées nécessitent un peu d'apprentissage. Splunk une formation est disponible pour apprendre la langue de recherche et manipuler vos données, mais peut coûter de 500,00 $ à 1 500,00 $.
  • Les fonctionnalités du tableau de bord de l’outil sont plutôt correctes, mais la réalisation de visualisations plus intéressantes nécessite un peu de développement à l’aide de XML, Javascript et CSS simples.
  • Le fournisseur publie très rapidement des révisions mineures, mais en raison du nombre considérable de bogues rencontrés, nous avons dû mettre à niveau notre environnement quatre fois en neuf mois.

Prix ​​et licence

Splunk EnterpriseLa tarification est basée sur la quantité de données totales que vous avezenvoyez-le chaque jour. Cela commence à 150 USD / mois avec un maximum de 1 Go de données ingérées quotidiennement. Des réductions de volume sont disponibles. Ce prix comprend les utilisateurs illimités, les recherches illimitées, la recherche en temps réel, l’analyse et la visualisation, la surveillance et l’alerte, le support standard, etc. Vous devrez contacter le service commercial de Splunk pour obtenir un devis détaillé. Comme la plupart des produits dans cette gamme de prix, une version d'essai gratuite est disponible pour ceux qui souhaitent essayer le produit.

Que dit-on des deux produits?

Les utilisateurs de la centrale informatique donnent SolarWinds un 9 sur 10 et Splunk 8 sur 10. Toutefois, les utilisateurs de Gartner Peer Insights inversent l’ordre en donnant Splunk un 4,3 sur 5 et SolarWinds un 4 sur 5.

Jeffrey Robinette, ingénieur système chez Foxhole Technology, a écrit ceci: SolarWinds«Les rapports et le tableau de bord prêts à l’emploi sont un atout majeur, notant que« Cela nous permet de surveiller l’accès et de générer rapidement des cyber-rapports. Plus besoin de chercher dans les journaux sur chaque serveur. ”

En comparaison à SplunkRobinette a dit que SolarWinds ne nécessite pas beaucoup de personnalisation et son prix est inférieur, alors qu'il écrivait à propos de Splunk que "vous avez besoin d'un doctorat sur la personnalisation des rapports. "

Pour Raul Lapaz, responsable de la sécurité informatique chez Roche, tandis que Splunk n’est pas bon marché, sa facilité d’utilisation, son évolutivité, sa stabilité, la vitesse de son moteur de recherche et sa compatibilité avec une grande variété de sources de données en valent la peine.

Lapaz a toutefois souligné quelques lacunes,par exemple, le fait que la gestion des clusters ne peut être effectuée qu’en ligne de commande et que les autorisations ne sont pas très flexibles. Il a écrit: «Ce serait bien d’avoir des options plus détaillées, telles que l’authentification à double facteur».

Lire aussi

Filtrer et afficher les journaux d'événements Windows et SCOM avec Log Smith
6 meilleurs outils de gestion des journaux pour Linux en 2019
Analyseur de performances réseau SolarWinds vs WhatsUp Gold - Examen comparatif
7 meilleurs systèmes de prévention des intrusions (IPS) pour 2019
6 outils de gestion de l'information et de la sécurité (SIEM) à vérifier en 2019
Examen approfondi de SolarWinds Access Rights Manager
Histogramme comparatif dans Excel 2010
Evite For Android: Créer et envoyer des cartes d'invitation à un événement en vrac
Comment se débarrasser des invitations à des événements de spam dans l'application Agenda [iOS]
Événement de septembre 2015 de Apple Tous les spécifications de l'appareil et les prix
Comment regarder l'événement Apple de septembre 2015 en ligne
Sauvegardez vos notifications Android et vérifiez-les une fois qu'elles ont été renvoyées

commentaires