Tamo je džungla! Zlonamjerni pojedinci su svuda i oni tragaju za vama. Pa, vjerojatno ne vi osobno, već više vaši podaci. Nismo više samo od virusa od kojih moramo zaštititi, već od svih vrsta napada koji mogu dovesti do vaše mreže - i vaše organizacije - u teškoj situaciji. Zbog širenja različitih sustava zaštite poput antivirusa, vatrozida i sustava za otkrivanje upada, mrežni administratori su preplavljeni informacijama koje moraju povezati, pokušavajući to smisliti. Ovdje nam pomažu sustavi sigurnosnih informacija i upravljanja događajima (SIEM). Oni se bave većinom groznog rada bavljenja previše informacija. Da biste olakšali posao odabira SIEM-a, predstavljamo vam najbolje sigurnosne alate za upravljanje informacijama i događajima (SIEM).
Danas započinjemo s analizom raspravom omoderna scena prijetnje. Kao što smo rekli, to više nisu samo virusi. Potom ćemo pokušati bolje objasniti što je točno SIEM i razgovarati o različitim komponentama koje čine SIEM sustav. Neki od njih mogu biti važniji od drugih, ali njihova bi relativna važnost mogla biti različita za različite ljude. I na kraju, predstavit ćemo naš izbor šest najboljih sigurnosnih alata za upravljanje informacijama i događajima i ukratko ih pregledati.
Moderna scena prijetnje
Računalna sigurnost odnosila se samo na viruszaštita. Ali posljednjih godina otkriveno je nekoliko različitih vrsta napada. Oni mogu biti u obliku napada uskraćivanja usluge (krađe usluge), krađe podataka i mnogih drugih. I više ne dolaze samo izvana. Mnogi napadi potječu iz mreže. Dakle, za vrhunsku zaštitu izmišljeni su različiti tipovi sustava zaštite. Uz tradicionalni antivirusni i vatrozid, sada imamo sustave za otkrivanje provale i zaštite podataka (IDS i DLP).
Naravno, što više dodajete sustave, to višeposao kojim upravljate njima. Svaki sustav nadzire neke specifične parametre za nepravilnosti te će ih zabilježiti i / ili pokrenuti upozorenja kada budu otkriveni. Ne bi li bilo lijepo kada bi nadzor svih ovih sustava mogao biti automatiziran? Nadalje, neke vrste napada mogu se otkriti u nekoliko sustava dok prolaze kroz različite faze. Ne bi li bilo puno bolje da biste mogli reagirati na sve povezane događaje kao jedan? Pa, upravo je to SIEM.
Što je točno SIEM?
Ime sve govori. Sigurnosne informacije i upravljanje događajima je proces upravljanja sigurnosnim informacijama i događajima. Konkretno, sustav SIEM ne pruža nikakvu zaštitu. Njegova osnovna svrha je olakšati život mrežnim i sigurnosnim administratorima. Ono što tipično SIEM sustav doista čini je prikupljanje informacija iz različitih sustava zaštite i detekcije, sve ove informacije povezujući povezane događaje i na različite načine reagira na značajne događaje. SIEM sustavi često uključuju i izvještajne oblike i nadzorne ploče.
Bitne komponente sustava SIEM
Svaki ćemo detaljnije istražitiglavna komponenta sustava SIEM. Ne uključuju svi SIEM-ovi sustavi sve te komponente i, čak i kad to čine, mogli bi imati različite funkcionalnosti. Međutim, oni su najosnovnije komponente koje bi se u jednom ili drugom obliku obično našle u bilo kojem SIEM sustavu.
Prikupljanje i upravljanje zapisnicima
Prikupljanje i upravljanje zapisnicima je glavnosastavni dio svih SIEM sustava. Bez njega nema SIEM-a. SIEM sustav mora prikupljati podatke dnevnika iz različitih izvora. Može ga povući ili ga različiti sustavi za otkrivanje i zaštitu mogu dovesti do SIEM-a. Budući da svaki sustav ima svoj način kategoriziranja i bilježenja podataka, na SIEM-u je da normalizira podatke i učini ih ujednačenima, bez obzira na izvor.
Nakon normalizacije često će biti zabilježeni podaciu usporedbi s poznatim obrascima napada u pokušaju prepoznavanja zlonamjernog ponašanja što je prije moguće. Podaci će se također često uspoređivati s ranije prikupljenim podacima kako bi se pomoglo izgraditi osnovnu liniju koja će dodatno poboljšati otkrivanje nenormalnih aktivnosti.
Odgovor događaja
Jednom kada se događaj otkrije, mora se nešto učinitio tome. O tome se radi u modulu odgovora na događaje za sustav SIEM. Reakcija događaja može biti u različitim oblicima. U svojoj osnovnoj primjeni generirat će se poruka upozorenja na konzoli sustava. Često se mogu generirati i e-mail ili SMS upozorenja.
Ali najbolji SIEM sustavi idu i korak dalječesto će pokrenuti neki postupak sanacije. Opet, to je nešto što može poprimiti mnoge oblike. Najbolji sustavi imaju cjelovit sustav radnog odgovora na incident koji se može prilagoditi tako da pruži točno željeni odgovor. I kao što se može očekivati, reakcija na incident ne mora biti jednolika i različiti događaji mogu pokrenuti različite procese. Najbolji sustavi pružit će vam potpunu kontrolu nad tijekom rada na reakciju na incident.
Izvještavanje
Jednom kada imate zbirku i upravljanje zapisnicimai uspostavljeni sustavi odziva, sljedeći građevni blok koji vam treba je izvješćivanje. To možda još ne znate, ali trebat će vam izvještaji. Vrhovni menadžment će im trebati da sami vide da se njihovo ulaganje u sustav SIEM isplati. Možda će vam trebati i izvješća u svrhu sukladnosti. U skladu sa standardima kao što su PCI DSS, HIPAA ili SOX može se olakšati kada vaš SIEM sustav može generirati izvješća o sukladnosti.
Izvješća možda nisu u srcu SIEM sustavaali ipak, to je jedna bitna komponenta. Često je izvješćivanje glavni faktor razlikovanja između konkurentskih sustava. Izvještaji su poput bombona, nikad ih ne možete imati previše. I naravno, najbolji sustavi će vam omogućiti izradu prilagođenih izvještaja.
Nadzorne ploče (a)
Posljednje, ali ne najmanje bitno, nadzorna ploča bit će vašaprozor u status vašeg SIEM sustava. A čak može biti i više nadzornih ploča. Budući da različiti ljudi imaju različite prioritete i interese, savršena nadzorna ploča za mrežnog administratora bit će drugačija od one sigurnosnog administratora. A izvršni direktor će trebati i potpuno drugačiji.
Iako ne možemo procijeniti SIEM sustav premabroj nadzornih ploča koje imate, morate odabrati onu koja ima sve potrebne nadzorne ploče. Ovo je definitivno nešto što biste željeli imati na umu dok ocjenjujete dobavljače. I baš poput izvještaja, najbolji sustavi će vam omogućiti da napravite prilagođene nadzorne ploče po vašoj želji.
Naših top 6 SIEM alata
Tamo ima puno SIEM sustava. Zapravo previše, da bismo ih mogli pregledati ovdje. Stoga smo pretražili tržište, uspoređivali sustave i napravili popis onoga za što smo utvrdili da je šest najboljih sigurnosnih alata za informacije i upravljanje (SIEM). Njih ćemo popisati prema redoslijedu, a mi ćemo ih ukratko pregledati. No unatoč njihovoj narudžbi, svih šest su izvrsni sustavi koje možemo samo preporučiti da isprobate sami.
Evo što je najboljih 6 SIEM alata
- SolarWinds Log & Event Manager
- Splunk Enterprise Security
- RSA NetWitness
- ArcSight Enterprise Security Manager
- Menadžer sigurnosti McAfee Enterprise
- IBM QRadar SIEM
1. SolarWinds Log & Event Manager (BESPLATNO ISPITIVANJE 30 dana)
SolarWinds je uobičajeni naziv u mrežinadzor svijeta. Njihov vodeći proizvod mrežni monitor performansi jedan je od najboljih dostupnih alata za praćenje SNMP-a. Tvrtka je također poznata po brojnim besplatnim alatima kao što su njihov podmrežni kalkulator ili njihov SFTP poslužitelj.
Alat SIEM tvrtke SolarWinds, Upravitelj dnevnika i događaja(LEM) najbolje je opisati kao ulazni sustav SIEM. Ali to je možda jedan od najkonkurentnijih ulaznih sustava na tržištu. SolarWinds LEM ima sve što možete očekivati od SIEM sustava. Ima izvrsne mogućnosti upravljanja i korelacije te impresivan motor izvještavanja.
Što se tiče značajki reagiranja na alatu, one imajune ostavljaju ništa za željeno. Detaljan sustav reagiranja u stvarnom vremenu aktivno će reagirati na svaku prijetnju. A budući da se temelji na ponašanju, a ne na potpisu, zaštićeni ste od nepoznatih ili budućih prijetnji.
No, nadzorna ploča alata je možda najboljaimovina. Jednostavnim dizajnom brzo ćete prepoznati anomalije. Počevši od oko $ 4 500, alat je više nego pristupačan. A ako ga želite prvo isprobati, za preuzimanje je dostupna besplatna potpuno funkcionalna probna verzija od 30 dana.
2. Sigurnost splunk preduzeća
Možda jedan od najpopularnijih sustava SIEM-a,Splunk Enterprise Security - ili Splunk ES, kako se često naziva - posebno je poznat po svojim analitičkim mogućnostima. Splunk ES nadgleda podatke vašeg sustava u stvarnom vremenu, tražeći ranjivosti i znakove nenormalne aktivnosti.
Sigurnosni odgovor još je jedan od Splunk ES-ovih snažnihodijela. Sustav koristi ono što Splunk naziva Adaptive Response Framework (ARF) koji integrira s opremom više od 55 proizvođača sigurnosti. ARF izvodi automatizirani odgovor, ubrzavajući ručne zadatke. Tako ćete brzo steći prednost. Dodajte tom jednostavnom i nespretnom korisničkom sučelju i imate dobitno rješenje. Ostale zanimljive značajke uključuju značajku Notables koja prikazuje upozorenja koja se mogu prilagoditi korisniku i Ispitivač imovine za označavanje zlonamjernih aktivnosti i sprečavanje daljnjih problema.
Splunk ES je doista korporativni proizvoda dolazi s cijenom veličine poduzeća. Informacije o cijenama ne možete dobiti ni sa Splunkove web stranice. Za cijenu morate kontaktirati odjel prodaje. Unatoč cijeni, ovo je sjajan proizvod i možda biste htjeli kontaktirati Splunk i iskoristiti besplatno probno razdoblje.
3. RSA NetWitness
Od 2001. godine, NetWitness se fokusirao na proizvodepodržavajući „duboku mrežnu situaciju u stvarnom vremenu i brzi mrežni odgovor“. Nakon što ih je EMC preuzeo i koji se tada spojio s Dell-om, posao Newitnessa sada je dio podružnice RSA-e. A to je dobra vijest da je RSA poznato ime u sigurnosti.
RSA NetWitness je idealan za organizacije koje tražecjelovito rješenje mrežne analitike. Alat sadrži podatke o vašoj tvrtki što pomaže prioritetu upozorenja. Prema RSA-u, sustav "prikuplja podatke na više točaka hvatanja, računalnim platformama i izvorima obavještajnih podataka od drugih SIEM rješenja". Postoji i napredno otkrivanje prijetnji koje kombinira analizu ponašanja, tehnike nauke podataka i inteligenciju prijetnji. I na kraju, napredni sustav odgovora ima mogućnosti orkestracije i automatizacije kako biste se riješili iskorjenjivanja prijetnji prije nego što utječu na vaše poslovanje.
Jedan od glavnih nedostataka RSA NetWitness jeda nije najlakše za upotrebu i konfiguriranje. No dostupna je opsežna dokumentacija koja vam može pomoći pri postavljanju i korištenju proizvoda. Ovo je još jedan proizvod korporativnog stupnja i morat ćete kontaktirati prodavača da biste dobili informacije o cijenama.
4. ArcSight Enterprise Security Manager
ArcSight Enterprise Security Manager pomažeprepoznati i odrediti prioritete sigurnosnih prijetnji, organizirati i pratiti aktivnosti reagiranja na incident i pojednostaviti revizije i aktivnosti poštivanja propisa. Ranije se prodavala pod oznakom HP, a sada se spojila s Micro Focusom, još jednom HP-ovom podružnicom.
S više od petnaest godina,ArcSight je još jedan od izuzetno popularnih alata SIEM. Prikuplja podatke dnevnika iz različitih izvora i provodi opsežnu analizu podataka, tražeći znakove zlonamjerne aktivnosti. Da biste olakšali brzo prepoznavanje prijetnji, možete pregledati rezultate analize real0tme.
Slijedi pregled glavnih značajki proizvoda. Ima moćnu raspodjelu podataka u stvarnom vremenu, automatizaciju tijekova rada, sigurnosnu orkestraciju i sigurnosni sadržaj vođen zajednicom. Enterprise Security Manager integrira se i s drugim ArcSight proizvodima kao što je ArcSight platforma podataka i Event Broker ili ArcSight Investigate. Ovo je još jedan korporativni proizvod - poput gotovo svih kvalitetnih alata SIEM - za koji ćete trebati kontaktirati prodajni tim ArcSight-a da biste dobili informacije o cijenama.
5. McAfee Enterprise Security Manager
McAfee je sigurno još jedno kućno ime uindustrija sigurnosti. Međutim, poznatiji je po svojim proizvodima za zaštitu od virusa. Enterprise Security Manager nije samo softver. To je zapravo aparat. Možete ga dobiti u virtualnom ili fizičkom obliku.
U smislu svojih analitičkih mogućnosti,McAfee Enterprise Security Manager mnogi smatraju jednim od najboljih SIEM-ovih alata. Sustav prikuplja zapisnike na širokom rasponu uređaja. Što se tiče njegovih mogućnosti normalizacije, ona je također vrhunska. Korelacijski mehanizam lako sastavlja različite izvore podataka, što olakšava otkrivanje sigurnosnih događaja koji se događaju
Za istinu, u rješenju McAfee postoji višenego samo njegov Enterprise Security Manager. Da biste dobili cjelovito SIEM rješenje također su vam potrebni Enterprise Log Manager i prijamnik događaja. Srećom, svi se proizvodi mogu pakirati u jednom uređaju. Za one od vas koji će možda htjeti isprobati proizvod prije nego što ga kupite, dostupna je besplatna proba.
6. IBM QRadar
IBM, možda najpoznatije ime u IT-uindustrija je uspjela uspostaviti svoje rješenje SIEM, IBM QRadar jedan je od najboljih proizvoda na tržištu. Alat omogućuje analitičarima sigurnosti da otkriju anomalije, otkriju napredne prijetnje i uklone lažne pozitivne podatke u stvarnom vremenu.
IBM QRadar može se pohvaliti paketom upravljanja zapisima i podacimaznačajke prikupljanja, analitike i otkrivanja provale. Zajedno pomažu u održavanju i radu mrežne infrastrukture. Postoji i analitika za modeliranje rizika koja može simulirati potencijalne napade.
Neke od ključnih značajki QRadara uključuju mogućnostrješenje implementirati u lokalnom okruženju ili u oblaku. To je modularno rješenje i može se brzo i jeftino dodati više prostora za pohranu procesora. Sustav koristi obavještajnu stručnost IBM X-Force i integrira se sa stotinama IBM-ovih i ne-IBM proizvoda.
Budući da je IBM IBM, možete očekivati da ćete platiti premijsku cijenu za njihovo rješenje SIEM. Ali ako vam treba jedan od najboljih SIEM alata na tržištu, QRadar bi možda mogao biti vrijedan ulaganja.
U zaključku
Jedini problem koji riskirate prilikom kupovineza najbolji sigurnosni alat i nadzor nad događajima (SIEM) bogat je niz izvrsnih opcija. Upravo smo predstavili najboljih šest. Svi su oni odlični izbori. Ona koju odaberete uvelike će ovisiti o vašim potrebama, proračunu i vremenu koje ste spremni uložiti u njegovo postavljanje. Jao, početna konfiguracija je uvijek najteži dio i ovdje stvari mogu poći po zlu ako SIEM alat nije pravilno konfiguriran, neće moći pravilno raditi svoj posao.
Tekst 50 - 2300
komentari