Ez egy dzsungel odakint! Rossz szándékú személyek mindenhol vannak, és utána vannak. Nos, valószínűleg nem Ön személyesen, hanem az adatai. Nemcsak a vírusokat kell védenünk, hanem mindenféle támadás ellen, amelyek szörnyű helyzetben hagyhatják a hálózatot - és a szervezetet -. A különféle védelmi rendszerek, például antivírusok, tűzfalak és behatolásjelző rendszerek elterjedése miatt a hálózati rendszergazdák most olyan információkkal vannak elárasztva, amelyeket össze kell kapcsolniuk, és megpróbálják értelmezni. Itt hasznosak a biztonsági információs és eseménykezelő (SIEM) rendszerek. A túl sok információ kezelésére szolgáló félelmetes munka nagy részét kezelik. A SIEM kiválasztásának megkönnyítése érdekében bemutatjuk Önnek a legjobb biztonsági információs és eseménykezelő (SIEM) eszközöket.
Ma elemzésünket a következő tárgyalásával kezdjük meg:modern veszélyhelyzet. Mint mondtuk, már nemcsak a vírusok. Ezután megpróbáljuk jobban megmagyarázni, mi az a SIEM pontosan, és megbeszéljük azokat a különféle összetevőket, amelyek egy SIEM rendszert alkotnak. Némelyikük fontosabb lehet, mint mások, ám relatív fontosságuk eltérő lehet az egyes embereknél. Végül bemutatjuk a hat legjobb biztonsági információs és eseménykezelő (SIEM) eszköz kiválasztását, és röviden áttekintjük ezeket.
A modern veszélyhelyzet
A számítógépes biztonság csak a vírusokról szólottvédelem. Az utóbbi években azonban számos különféle támadást fedeztek fel. Ezek a szolgáltatásmegtagadási (DoS) támadások, adatlopások és még sok más formája lehetnek. És már nem csak kívülről érkeznek. Sok támadás a hálózaton belül származik. Tehát a végső védelem érdekében különféle típusú védelmi rendszereket fedeztek fel. A hagyományos antivírusok és tűzfalak mellett már rendelkeznek például behatolás-felderítő és adatvesztés-megelőző rendszerekkel (IDS és DLP).
Természetesen, minél több rendszert ad hozzá, annál többmunkája, amit kezed. Minden rendszer figyeli a rendellenességek bizonyos paramétereit, és naplózza azokat és / vagy riasztásokat vált ki, amikor felfedezik őket. Nem lenne jó, ha ezeknek a rendszereknek a felügyelete automatizálható lenne? Ezenkívül bizonyos típusú támadásokat több rendszer is észlelhet, mivel azok különböző szakaszokon mennek keresztül. Nem lenne sokkal jobb, ha azután az összes kapcsolódó eseményre egyként reagál? Nos, pontosan erről szól a SIEM.
Pontosan mi az a SIEM?
A név mindent elmond. A biztonsági információk és az események kezelése a biztonsági információk és események kezelésének folyamata. Konkrétan: a SIEM rendszer nem nyújt védelmet. Elsődleges célja a hálózati és biztonsági adminisztrátorok életének megkönnyítése. Ami a tipikus SIEM rendszert illeti, az információgyűjtés a különféle védelmi és észlelési rendszerekről, az összevont információ összekapcsolása a kapcsolódó eseményekkel, és különféle módon reagál az értelmes eseményekre. A SIEM rendszerek gyakran tartalmaznak bizonyos jelentéstételi és irányítópult-formákat is.
Az SIEM rendszer alapvető alkotóelemei
Arra készülünk, hogy mindegyiket mélyebb részletekben vizsgáljuk mega SIEM rendszer fő alkotóeleme. Nem minden SIEM rendszer tartalmazza ezeket a komponenseket, és még akkor is, ha megteszik, eltérő funkciókkal rendelkezhetnek. Ezek azonban a legalapvetőbb alkotóelemek, amelyeket általában bármely formában megtalálnak bármelyik SIEM rendszerben.
Napló gyűjtése és kezelése
A naplók gyűjtése és kezelése a főaz összes SIEM rendszer komponense. Enélkül nincs SIEM. A SIEM rendszernek naplóadatokat kell gyűjtenie számos különböző forrásból. Vagy meghúzhatja, vagy különféle érzékelő és védelmi rendszerek tolhatják el a SIEM-hez. Mivel minden rendszernek megvan a maga módja az adatok kategorizálására és rögzítésére, az SIEM feladata az adatok normalizálása és egységesítése, függetlenül attól, hogy melyik forrásuk van.
A normalizálás után a naplózott adatok gyakran lesznekösszehasonlítva az ismert támadási mintákkal annak érdekében, hogy a lehető legkorábban felismerjük a rosszindulatú magatartást. Az adatokat gyakran összehasonlítják a korábban összegyűjtött adatokkal is, hogy elősegítsék az alapvonal létrehozását, amely tovább javítja a rendellenes aktivitás észlelését.
Esemény válasz
Az esemény észlelése után valamit meg kell tennierről. Erről szól a SIEM rendszer eseményre reagáló modulja. Az eseményre adott válasz különféle formákat ölthet. A legalapvetőbb megvalósításban egy riasztási üzenet jön létre a rendszer konzolján. Gyakran e-mail vagy SMS figyelmeztetés is generálható.
De a legjobb SIEM rendszerek egy lépéssel tovább mennek, ésgyakran kezdeményez valamilyen javítási folyamatot. Ez ismét valami formája lehet. A legjobb rendszereknek van egy teljes esemény-reagálási munkafolyamat-rendszere, amely testreszabható, hogy pontosan a kívánt választ biztosítsa. És amint az elvárható, az eseményekre adott válasznak nem kell egységesnek lennie, és a különböző események különböző folyamatokat válthatnak ki. A legjobb rendszerek teljes ellenőrzést adnak az eseményekre adott válaszfolyamat felett.
Jelentés
Miután megvan a naplógyűjtés és -kezelésés a reagáló rendszerek a helyén vannak, a következő építőelemet, amire szükséged van, jelentést kell készítened. Lehet, hogy nem ismeri még, de szüksége lesz jelentésekre. A felső vezetésnek szüksége lesz rájuk, hogy meggyőződjenek arról, hogy a SIEM-rendszerbe történő befektetésük megtérül. Előfordulhat, hogy jelentésekre is szükség van megfelelőség céljából. A PCI DSS, a HIPAA vagy a SOX szabványoknak való megfelelés megkönnyíthető, ha az SIEM rendszere megfelelőségi jelentéseket készít.
Lehet, hogy a jelentések nem képezik a SIEM rendszer lényegétde mégis, ez az egyik alapvető elem. És gyakran a jelentéstétel lesz a megkülönböztető tényező a versengő rendszerek között. A jelentések olyan, mint cukorkák, soha nem lehet túl sok. És természetesen a legjobb rendszerek lehetővé teszik egyedi jelentések készítését.
Portál (ok)
Végül, de nem utolsósorban, a műszerfal lesz az Önablak a SIEM rendszer állapotába. És akár több műszerfal is lehet. Mivel a különböző emberek prioritásai és érdekei eltérőek, a hálózati rendszergazda tökéletes irányítópultja különbözik a biztonsági rendszergazdaé. És egy végrehajtó végrehajtónak szintén teljesen másnak kell lennie.
Míg a SIEM rendszert nem tudjuk értékelniHány műszerfal van, ki kell választania egyet, amely rendelkezik az összes szükséges műszerfallal. Ez minden bizonnyal érdemes szem előtt tartani, amikor a szállítókat értékeli. Ugyanúgy, mint a jelentéseknél, a legjobb rendszerek lehetővé teszik testreszabott műszerfalak készítését az ön igényei szerint.
A 6 legfontosabb SIEM eszköz
Sok SIEM rendszer létezik odakint. Tulajdonképpen túlságosan sok ahhoz, hogy itt mindent átnézhessünk. Tehát átkutattuk a piacot, összehasonlítottuk a rendszereket, és összeállítottuk a listát azokról, amelyeket a hat legjobb biztonsági információs és kezelő (SIEM) eszköznek találtunk. Felsoroljuk őket preferencia sorrendben, és röviden áttekintjük mindegyiket. Rendelésük ellenére mind a hat kiváló rendszer, amelyet csak azt ajánlhatunk, hogy próbálja ki magát.
Íme a 6 legfontosabb SIEM eszköz
- SolarWinds Napló- és eseménykezelő
- Splunk vállalati biztonság
- RSA NetWitness
- ArcSight Enterprise biztonsági menedzser
- McAfee Enterprise biztonsági menedzser
- IBM QRadar SIEM
1. SolarWinds Napló- és eseménykezelő (INGYENES 30 napos próba)
A SolarWinds egy általános név a hálózatbanmegfigyelő világ. Kiemelkedő termékük, a Network Performance Monitor az elérhető legjobb SNMP-megfigyelő eszköz. A cég ismert számos olyan ingyenes eszközéről, mint például az alhálózati számológép vagy az SFTP szerver.
A SolarWinds SIEM eszköz, a Napló- és eseménykezelő(LEM) a legjobban egy belépő szintű SIEM rendszer. De valószínűleg a piacon az egyik legversenyképesebb belépő szintű rendszer. A SolarWinds LEM mindent tartalmaz, amire számíthat egy SIEM rendszertől. Kiváló hosszú kezelési és korrelációs tulajdonságokkal rendelkezik, és lenyűgöző jelentési motorral rendelkezik.
Ami az eszköz eseményre reagálási funkcióit illeti, ezekne hagyjon semmit kívánni. A részletes valós idejű reagálási rendszer aktívan reagál minden veszélyre. És mivel inkább viselkedésen, mint aláíráson alapszik, védelmet élvez az ismeretlen vagy jövőbeli fenyegetésekkel szemben.
De az eszköz műszerfal talán a legjobbeszköz. Egy egyszerű kialakításnak köszönhetően nincs probléma gyorsan azonosítani a rendellenességeket. Körülbelül 4 500 dollártól kezdve az eszköz több mint megfizethető. És ha előbb kipróbálni szeretné, letölthető egy ingyenes, teljesen működőképes 30 napos próbaverzió.
2. Splunk vállalati biztonság
Lehetséges, hogy az egyik legnépszerűbb SIEM-rendszer,A Splunk Enterprise Security - vagy a Splunk ES, amelyet gyakran hívnak - különösen híres elemző képességeiről. A Splunk ES valós időben figyeli a rendszer adatait, keresve a sebezhetőségeket és a rendellenes tevékenység jeleit.
A biztonsági válasz a Splunk ES egyike isruhák. A rendszer azt használja, amit a Splunk az Adaptive Response Framework (ARF) nevez, amely több mint 55 biztonsági szolgáltatótól integrálódik. Az ARF automatikus válaszokat hajt végre, felgyorsítva a kézi feladatokat. Ez lehetővé teszi, hogy gyorsan megszerezze a kezét. Adjon hozzá egy egyszerű és tiszta felhasználói felületet, és van nyerő megoldása. További érdekes funkciók közé tartozik a Notables funkció, amely a felhasználó által testreszabható figyelmeztetéseket jeleníti meg, valamint az Asset Investigator a rosszindulatú tevékenységek megjelölésére és a további problémák megelőzésére.
A Splunk ES valóban vállalati szintű termékés egy vállalkozás méretű árat tartalmaz. Még az Splunk webhelyéről sem kaphat árinformációkat. Az ár megszerzéséhez vegye fel a kapcsolatot az értékesítési részleggel. Árának ellenére ez egy nagyszerű termék, ezért érdemes felvenni a kapcsolatot a Splunk-nal, és kihasználhatja az ingyenes próbaverzió előnyeit.
3. RSA NetWitness
2001 óta a NetWitness a termékekre összpontosíta „mély, valós idejű hálózati helyzeti tudatosság és agilis hálózati válasz” támogatása. Miután megszerezte az EMC-t, amely azután összeolvadt a Dell-lel, a Newitness üzlet most része a vállalat RSA fiókjának. És ez jó hír Az RSA híres név a biztonságban.
Az RSA NetWitness ideális a kereső szervezetek számárateljes hálózati elemzési megoldás. Az eszköz információkat tartalmaz a vállalkozásáról, amely elősegíti a riasztások rangsorolását. Az RSA szerint a rendszer „több adatgyűjtési ponton, számítógépes platformon és fenyegetés intelligencia forrásán gyűjt adatokat, mint más SIEM megoldások”. Van fejlett fenyegetés-felderítés, amely egyesíti a viselkedés elemzését, az adattudomány technikáit és a fenyegetés intelligenciáját. És végül, a fejlett válaszrendszer orkesztrációval és automatizálási képességekkel büszkélkedhet, hogy megszabaduljon a fenyegetések kiküszöbölésétől, még mielőtt azok befolyásolnák az Ön vállalkozását.
Az RSA NetWitness egyik fő hátrányahogy nem a legegyszerűbb használni és konfigurálni. Van azonban átfogó dokumentáció, amely segíthet a termék beállításában és használatában. Ez egy másik vállalati szintű termék, és árazási információk beszerzéséhez kapcsolatba kell lépnie az értékesítéssel.
4. ArcSight Enterprise Security Manager
Az ArcSight Enterprise Security Manager segítazonosítani és rangsorolni a biztonsági fenyegetéseket, megszervezni és nyomon követni az eseményekre való reagálást, valamint egyszerűsíteni az ellenőrzési és megfelelőségi tevékenységeket. Korábban a HP márkanév alatt értékesítették, és most összeolvadt a Micro Focus-szal, egy másik HP leányvállalattal.
Több mint tizenöt éveAz ArcSight egy rendkívül népszerű SIEM eszköz. Összegyűjti a különféle forrásokból származó naplóadatokat, és kiterjedt adatelemzést végez, a rosszindulatú tevékenység jeleit keresve. A veszélyek gyors azonosításának megkönnyítése érdekében megtekintheti a real0tme elemzési eredményeket.
Itt található a termékek főbb jellemzői. Hatékony, elosztott valós idejű adatkorrelációval, munkafolyamat-automatizálással, biztonsági rendezéssel és közösségvezérelt biztonsági tartalommal rendelkezik. Az Enterprise Security Manager integrálódik más ArcSight termékekkel is, mint például az ArcSight Data Platform és az Event Broker vagy az ArcSight Investigate. Ez egy másik vállalati szintű termék - hasonlóan szinte minden minőségi SIEM eszközhöz -, amely megköveteli, hogy vegye fel a kapcsolatot az ArcSight értékesítési csapatával az árazási információk megszerzése érdekében.
5. McAfee Enterprise biztonsági menedzser
A McAfee minden bizonnyal egy másik háztartási név abiztonsági ipar. A vírusvédelmi termékeiről azonban jobban ismert. Az Enterprise biztonsági menedzser nem csak szoftver. Valójában készülék. Virtuális vagy fizikai formában is beszerezheti.
Analitikai képességei szempontjából aA McAfee Enterprise Security Manager sokak szerint az egyik legjobb SIEM eszköz. A rendszer sokféle eszközön gyűjti a naplókat. Ami a normalizálási képességeket illeti, ez szintén kiváló. A korrelációs motor könnyen összegyűjti az eltérő adatforrásokat, megkönnyítve ezzel a biztonsági események észlelését, amikor azok bekövetkeznek
Az igazság az, hogy a McAfee-megoldás még többnemcsak a vállalati biztonsági menedzser. A teljes SIEM megoldás eléréséhez az Enterprise Log Managerre és az eseményfogadóra is szükség van. Szerencsére minden termék egyetlen készülékbe csomagolható. Azoknak, akik a termék megvásárlása előtt kipróbálhatják, ingyenes próbaverzió áll rendelkezésre.
6. IBM QRadar
IBM, valószínűleg az IT legismertebb neveaz iparágnak sikerült létrehoznia SIEM-megoldását, az IBM QRadar az egyik legjobb termék a piacon. Az eszköz felhatalmazza a biztonsági elemzőket a rendellenességek észlelésére, a fejlett fenyegetések feltárására és a hamis pozitív eredmények valós időben történő eltávolítására.
Az IBM QRadar naplókezelési és adatcsomaggal büszkélkedhetgyűjtemény, elemzés és behatolás-észlelési funkciók. Együtt segítik a hálózati infrastruktúra működőképességét. Van olyan kockázatmodellezési elemzés is, amely szimulálja a lehetséges támadásokat.
A QRadar néhány kulcsfontosságú funkciója magában foglalja a képességettelepíteni a megoldást a helyszínen vagy egy felhő környezetben. Ez egy moduláris megoldás, amely gyorsan és olcsón hozzáadhat további tárolóeszközöket a feldolgozási teljesítményhez. A rendszer az IBM X-Force intelligencia-szakértelmét használja, és zökkenőmentesen integrálódik több száz IBM és nem IBM termékkel.
Ha az IBM az IBM, akkor számíthat arra, hogy prémium árat fizet a SIEM megoldásért. De ha szüksége van a piacon lévő egyik legjobb SIEM eszközre, akkor a QRadar valóban megéri a befektetést.
Következtetésképpen
Az egyetlen probléma, amelyet vásárláskor kockáztathatA legjobb biztonsági információ és eseményfigyelő (SIEM) eszköz a kiváló lehetőségek bősége. Most bemutattuk a legjobb hatot. Mindegyik kiváló választás. A választott döntően függ a pontos igényeitől, a költségvetéstől és az az idő, amelyet hajlandó felhasználni a beállításra. Sajnos, a kezdeti konfiguráció mindig a legnehezebb, és ebben az esetben a dolgok rosszul fordulhatnak elő, ha a SIEM eszköz nincs megfelelően konfigurálva, akkor nem lesz képes megfelelően elvégezni a munkáját.
50 - 2300
Hozzászólások