- - SolarWinds Log & Event Manager vs Splunk - Una revisione comparativa

Log di SolarWinds & Event Manager vs Splunk: una revisione comparativa

Uno dei più importanti, se non il piùimportante: le risorse di molte organizzazioni di oggi sono i loro dati. È così importante e prezioso che molte persone o organizzazioni mal intenzionate faranno di tutto per rubare quei dati preziosi. Lo fanno utilizzando una vasta gamma di tecniche e tecnologie per ottenere accesso non autorizzato a reti e sistemi. Il numero di tali tentativi sembra crescere esponenzialmente in ogni momento. Per evitare ciò, i sistemi chiamati Intrusion Prevention Systems o IPS vengono implementati da aziende che desiderano proteggere le proprie risorse di dati. Il Log e gestore eventi di SolarWinds così come Splunk sono due prodotti non convenzionali in quell'arena. Oggi stiamo confrontando i due.

Inizieremo la nostra esplorazione dando un'occhiataprevenzione delle intrusioni in generale. Aiuterà a preparare la tavola per ciò che sta arrivando. Cercheremo di mantenerlo il più non tecnico possibile. La nostra idea non è quella di farti esperti nella prevenzione delle intrusioni, ma piuttosto di assicurarci di essere tutti sulla stessa pagina mentre esploriamo ulteriormente entrambi i prodotti. Parlando di esplorare i prodotti, questo è ciò che abbiamo dopo. Descriveremo innanzitutto le caratteristiche principali di SolarWinds Log & Event Manager, seguiremo dando un'occhiata alla forza e alle debolezze del prodotto e ai suoi pro e contro, come riportato dagli utenti della piattaforma e concluderemo la nostra panoramica del prodotto dando un'occhiata alla sua struttura dei prezzi e delle licenze. Esamineremo quindi Splunk utilizzando un formato identico con le caratteristiche dei prodotti, i suoi punti di forza e di debolezza, i suoi pro e contro e la struttura dei prezzi. Infine, concluderemo con ciò che gli utenti hanno da dire sui due prodotti.

Prevenzione delle intrusioni: di cosa si tratta?

Anni fa, i virus erano praticamente gli unicipreoccupazioni degli amministratori di sistema. I virus sono arrivati ​​a un punto in cui erano così comuni che l'industria ha reagito sviluppando strumenti di protezione antivirus. Oggi, nessun utente serio nella sua mente giusta potrebbe pensare di eseguire un computer senza protezione da virus. Sebbene non sentiamo più gran parte dei virus, le intrusioni o l'accesso non autorizzato ai tuoi dati da parte di utenti malintenzionati rappresentano una nuova minaccia. Poiché i dati sono spesso la risorsa più importante di un'organizzazione, le reti aziendali sono diventate il bersaglio di hacker malintenzionati che faranno di tutto per ottenere l'accesso ai dati. Proprio come il software di protezione antivirus è stata la risposta alla proliferazione di virus, Intrusion Prevention Systems è la risposta agli attacchi di intrusi.

I sistemi di prevenzione delle intrusioni essenzialmente fanno duecose. Innanzitutto, rilevano i tentativi di intrusione e quando rilevano attività sospette, utilizzano diversi metodi per arrestarlo o bloccarlo. Esistono due modi diversi per rilevare i tentativi di intrusione. Il rilevamento basato sulla firma funziona analizzando il traffico e i dati della rete e cercando schemi specifici associati ai tentativi di intrusione. Questo è simile ai tradizionali sistemi di protezione antivirus che si basano sulle definizioni dei virus. Il rilevamento delle intrusioni basato sulla firma si basa su firme o schemi di intrusione. Lo svantaggio principale di questo metodo di rilevamento è la necessità di caricare nel software le firme appropriate. E quando un nuovo metodo di attacco, di solito c'è un ritardo prima che le firme dell'attacco vengano aggiornate. Alcuni fornitori sono molto veloci nel fornire firme di attacco aggiornate mentre altri sono molto più lenti. Quanto spesso e quanto velocemente vengono aggiornate le firme è un fattore importante da considerare nella scelta di un fornitore.

Il rilevamento basato sull'anomalia offre una migliore protezionecontro gli attacchi zero-day, quelli che si verificano prima delle firme di rilevamento hanno avuto la possibilità di essere aggiornati. Il processo cerca anomalie invece di provare a riconoscere schemi di intrusione noti. Ad esempio, verrebbe attivato se qualcuno tentasse di accedere a un sistema con una password errata più volte di seguito, un segno comune di un attacco di forza bruta. Questo è solo un esempio e in genere ci sono centinaia di diverse attività sospette che possono attivare questi sistemi. Entrambi i metodi di rilevamento presentano vantaggi e svantaggi. Gli strumenti migliori sono quelli che utilizzano una combinazione di firma e analisi comportamentale per la migliore protezione.

Rilevare il tentativo di intrusione è la prima partedi prevenirli. Una volta rilevati, i sistemi di prevenzione delle intrusioni lavorano attivamente per arrestare le attività rilevate. Diversi sistemi correttivi possono essere intrapresi da questi sistemi. Potrebbero, ad esempio, sospendere o altrimenti disattivare gli account utente. Un'altra azione tipica è il blocco dell'indirizzo IP di origine dell'attacco o la modifica delle regole del firewall. Se l'attività dannosa proviene da un processo specifico, il sistema di prevenzione potrebbe interrompere il processo. L'avvio di alcuni processi di protezione è un'altra reazione comune e, nei casi peggiori, è possibile arrestare interi sistemi per limitare potenziali danni. Un altro compito importante di Intrusion Prevention Systems è quello di avvisare gli amministratori, registrare l'evento e segnalare attività sospette.

Misure di prevenzione delle intrusioni passive

Mentre i sistemi di prevenzione delle intrusioni possono proteggerecontro numerosi tipi di attacchi, niente è meglio delle vecchie misure di prevenzione delle intrusioni passive. Ad esempio, imporre password complesse è un modo eccellente di protezione contro molte intrusioni. Un'altra semplice misura di protezione sta cambiando le password predefinite dell'apparecchiatura. Mentre è meno frequente nelle reti aziendali, anche se non è inaudito, ho visto troppo spesso gateway Internet che avevano ancora la loro password di amministratore predefinita. Per quanto riguarda le password, l'invecchiamento delle password è un altro passo concreto che può essere messo in atto per ridurre i tentativi di intrusione. Qualsiasi password, anche la migliore, può eventualmente essere decifrata, dato il tempo sufficiente. L'invecchiamento della password garantisce che le password vengano modificate prima di essere violate.

Il registro e il gestore eventi di SolarWinds (Versione di prova GRATUITA disponibile)

SolarWinds è un nome noto nell'amministrazione della rete. Gode ​​di una solida reputazione per aver realizzato alcuni dei migliori strumenti di amministrazione di rete e di sistema. Il suo prodotto di punta, il Network Performance Monitor segna costantemente tra i migliori strumenti di monitoraggio della larghezza di banda di rete disponibili. SolarWinds è anche famoso per i suoi numerosi strumenti gratuiti, ognuno dei quali risponde a un'esigenza specifica degli amministratori di rete. Il Kiwi Syslog Server o il TFTP di SolarWinds Server sono due eccellenti esempi di questi strumenti gratuiti.

Non lasciare che il Log e gestore eventi di SolarWindsIl nome ti prende in giro. C'è molto di più di quello che sembra. Alcune delle funzionalità avanzate di questo prodotto lo qualificano come un sistema di rilevamento e prevenzione delle intrusioni, mentre altri lo inseriscono nella gamma Security Information and Event Management (SIEM). Lo strumento, ad esempio, offre la correlazione degli eventi in tempo reale e la correzione in tempo reale.

SolarWinds LEM - Dashboard

  • PROVA GRATUITA: Log e gestore eventi di SolarWinds
  • Link per scaricare: https://www.solarwinds.com/log-event-manager-software/registration

Il Log e gestore eventi di SolarWinds vanta il rilevamento istantaneo di sospettiattività (una funzionalità di rilevamento delle intrusioni) e risposte automatiche (una funzionalità di prevenzione delle intrusioni). Questo strumento può anche essere utilizzato per eseguire indagini sugli eventi di sicurezza e analisi forensi. Può essere utilizzato per scopi di mitigazione e conformità. Lo strumento presenta report comprovati da audit che possono anche essere utilizzati per dimostrare la conformità con vari quadri normativi come HIPAA, PCI-DSS e SOX. Lo strumento ha anche il monitoraggio dell'integrità dei file e il monitoraggio dei dispositivi USB. Tutte le funzionalità avanzate del software lo rendono più una piattaforma di sicurezza integrata che solo il sistema di gestione dei log e degli eventi che il suo nome ti farebbe credere.

Le funzionalità di prevenzione delle intrusioni di Log e gestore eventi di SolarWinds funziona implementando azioni chiamate ActiveRisposte ogni volta che vengono rilevate minacce. Diverse risposte possono essere collegate a avvisi specifici. Ad esempio, il sistema può scrivere su tabelle firewall per bloccare l'accesso alla rete di un indirizzo IP di origine che è stato identificato come attività sospetta. Lo strumento può anche sospendere gli account utente, arrestare o avviare processi e arrestare i sistemi. Ricorderete come queste sono esattamente le azioni correttive identificate in precedenza.

Punti di forza e di debolezza

Secondo Gartner, il SolarWinds Log & Event Manager "Offre una soluzione ben integrata che è unparticolarmente adatto per le piccole e medie imprese, grazie alla sua architettura semplice, alle licenze facili e ai solidi contenuti e funzionalità pronti all'uso ”. Lo strumento offre più fonti di eventi e offre alcune funzionalità di contenimento delle minacce e controllo della quarantena che non sono comunemente disponibili dai prodotti concorrenti.

Tuttavia, la società di ricerca osserva anche questoil prodotto è un ecosistema chiuso, il che rende difficile l'integrazione con soluzioni di sicurezza di terze parti come il rilevamento avanzato delle minacce, i feed di intelligence delle minacce e gli strumenti UEBA. Come ha scritto l'azienda: "Le integrazioni con gli strumenti del service desk si limitano anche alla connettività unidirezionale tramite e-mail e SNMP".

Inoltre, il monitoraggio degli ambienti SaaSnon è supportato dal prodotto e il monitoraggio di IaaS è limitato. I clienti che desiderano estendere il monitoraggio a reti e applicazioni devono acquistare altri prodotti SolarWinds.

SolarWinds LEM - Rapporti di conformità

  • PROVA GRATUITA: Log e gestore eventi di SolarWinds
  • Link per scaricare: https://www.solarwinds.com/log-event-manager-software/registration

Pro e contro

Abbiamo raccolto i vantaggi e gli svantaggi più significativi segnalati dagli utenti dei gestori di registri ed eventi di SolarWinds. Ecco cosa hanno da dire.

Professionisti

  • Il prodotto è incredibilmente facile da configurare. È stato distribuito e le fonti di log hanno indicato e stava eseguendo le correlazioni di base entro un giorno.
  • Le risposte automatiche disponibili dopo la distribuzione dell'agente offrono un controllo incredibile per rispondere agli eventi sulla rete.
  • L'interfaccia dello strumento è intuitiva. Alcuni prodotti concorrenti possono essere scoraggianti da imparare a usare e abituarsi, ma il Log e gestore eventi di SolarWinds ha un layout intuitivo ed è molto facile da raccogliere e utilizzare.

Contro

  • Il prodotto non ha un parser personalizzato. Ci sarà inevitabilmente un prodotto sulla tua rete che The Log e gestore eventi di SolarWinds non saprà come analizzare. Alcune soluzioni concorrenti sfruttano parser personalizzati per questo motivo. Questo prodotto non supporta la creazione di parser personalizzati, pertanto i formati di registro sconosciuti rimangono non analizzati.
  • Lo strumento a volte può essere troppo semplice. È uno strumento eccellente per eseguire correlazioni di base in un ambiente di dimensioni medio-piccole. Tuttavia, se provi a diventare troppo avanzato con le correlazioni che stai cercando di eseguire, potresti essere frustrato dalla mancanza di funzionalità dello strumento, dovuta principalmente al modo in cui analizza i dati.

Prezzi e licenze

Prezzi per il registro e il gestore eventi di SolarWindsvaria in base al numero di nodi monitorati. I prezzi partono da $ 4.585 per un massimo di 30 nodi monitorati e le licenze per un massimo di 2500 nodi possono essere acquistate con diversi livelli di licenza nel mezzo, rendendo il prodotto altamente scalabile. Se vuoi portare il prodotto per una prova e vedere di persona se è giusto per te, è disponibile una versione di prova gratuita di 30 giorni con funzionalità complete.

Splunk

Splunk è probabilmente uno dei più popolari sistemi di prevenzione delle intrusioni. È disponibile in diverse edizioni con diversi set di funzionalità. Splunk Enterprise Security-o Splunk ES, come viene spesso chiamato, è ciò che è necessario per la veritàprevenzione delle intrusioni. E questo è ciò che stiamo guardando oggi. Il software monitora i dati del sistema in tempo reale, alla ricerca di vulnerabilità e segni di attività anomala. Sebbene il suo obiettivo di prevenire le intrusioni sia simile a SolarWinds", Il modo in cui lo raggiunge è diverso.

Schermata di Splunk - Deep Dive

La risposta di sicurezza è una delle SplunkI semi forti ed è ciò che lo rende un sistema di prevenzione delle intrusioni e un'alternativa al SolarWinds prodotto appena recensito. Utilizza ciò che il fornitore chiama Framework di risposta adattiva (ARF). Lo strumento si integra con le apparecchiature di oltre 55 fornitori di sicurezza e può eseguire una risposta automatizzata, accelerando le attività manuali e fornendo una reazione più rapida. La combinazione di rimedio automatico e intervento manuale offre le migliori possibilità di ottenere rapidamente il sopravvento. Lo strumento ha un'interfaccia utente semplice e ordinata, che rende una soluzione vincente. Altre interessanti funzionalità di protezione includono il "notabili"Che mostra avvisi personalizzabili dall'utente e la"Asset Investigator"Per segnalare attività dannose e prevenire ulteriori problemi.

Punti di forza e di debolezza

SplunkL’ampio ecosistema di partner offre integrazione e Splunk-specifico contenuto attraverso il Splunkbase app Store. La suite completa di soluzioni del fornitore facilita inoltre la crescita degli utenti nella piattaforma nel tempo e le funzionalità di analisi avanzate sono disponibili in vari modi Splunk ecosistema.

Il rovescio della medaglia, Splunk non offre una versione dell'appliance della soluzione e i clienti Gartner hanno sollevato preoccupazioni in merito al modello di licenza e ai costi di implementazione. In risposta, Splunk ha introdotto nuovi approcci di licenza, compreso l'accordo sull'adozione delle imprese (EAA).

Schermata di Splunk - Health Score

Pro e contro

Come abbiamo fatto con il prodotto precedente, ecco un elenco dei più importanti pro e contro, come riportato dagli utenti di Splunk.

Professionisti

  • Lo strumento raccoglie i registri molto bene da quasi tutti i tipi di macchine - la maggior parte dei prodotti alternativi non lo fa altrettanto bene.
  • Splunk fornisce elementi visivi all'utente, dando loro la possibilità di trasformare i log in elementi visivi come grafici a torta, grafici, tabelle, ecc.
  • È molto veloce nel riferire e avvisare sulle anomalie. C'è poco ritardo.

Contro

  • SplunkLa lingua di ricerca è molto profonda. Tuttavia, eseguire alcune delle formattazioni o analisi statistiche più avanzate comporta un po 'di una curva di apprendimento. Splunk la formazione è disponibile per l'apprendimento della lingua di ricerca e la manipolazione dei dati, ma può costare ovunque da $ 500,00 a $ 1 500,00.
  • Le funzionalità della dashboard dello strumento sono piuttosto decenti, ma per eseguire visualizzazioni più interessanti è necessario un po 'di sviluppo utilizzando XML, Javascript e CSS semplici.
  • Il fornitore rilascia revisioni minori molto rapidamente, ma a causa dell'enorme numero di bug che abbiamo riscontrato, abbiamo dovuto aggiornare il nostro ambiente quattro volte in nove mesi.

Prezzi e licenze

Splunk EnterpriseIl prezzo si basa sulla quantità totale di dati che haiinviarlo ogni giorno. Inizia a $ 150 / al mese fino a 1 GB di dati ingeriti ogni giorno. Sono disponibili sconti per volume. Questo prezzo include utenti illimitati, ricerche illimitate, ricerca in tempo reale, analisi e visualizzazione, monitoraggio e allerta, supporto standard e altro. Devi contattare le vendite di Splunk per ottenere un preventivo dettagliato. Come la maggior parte dei prodotti in quel tipo di fascia di prezzo, è disponibile una versione di prova gratuita per coloro che desiderano provare il prodotto.

Che cosa è stato detto sui due prodotti?

Gli utenti della IT Central Station danno SolarWinds un 9 su 10 e Splunk un 8 su 10. Tuttavia, gli utenti di Gartner Peer Insights invertono l'ordine, dando Splunk a 4.3 su 5 e SolarWinds un 4 su 5.

Lo scrisse Jeffrey Robinette, un ingegnere di sistema della Foxhole Technology SolarWinds"I report e il dashboard predefiniti sono un punto di forza fondamentale, osservando che" Ci consente di monitorare l'accesso e di estrarre rapidamente i report informatici. Non dovrai più cercare nei log di ciascun server. "

In confronto a Splunk, Disse Robinette SolarWinds non richiede molta personalizzazione e i suoi prezzi sono più bassi, mentre ha scritto Splunk che "hai bisogno di un dottorato di ricerca. sulla personalizzazione dei rapporti ".

Per Raul Lapaz, senior operazioni di sicurezza IT presso Roche, mentre Splunk non è economico, ne vale la pena la facilità d'uso, la scalabilità, la stabilità, la velocità del motore di ricerca e la compatibilità con un'ampia varietà di fonti di dati.

Lapaz, tuttavia, ha sottolineato alcune carenze,incluso, ad esempio, il fatto che la gestione dei cluster può essere eseguita solo dalla riga di comando e che le autorizzazioni non sono molto flessibili. Ha scritto: "Sarebbe bello avere opzioni più granulari, come l'autenticazione a doppio fattore".

Leggi anche

Filtra e visualizza i registri eventi di Windows e SCOM con Log Smith
6 migliori strumenti di gestione dei log per Linux nel 2019
Monitor delle prestazioni della rete SolarWinds vs WhatsUp Gold - Revisione comparativa
7 migliori sistemi di prevenzione delle intrusioni (IPS) per il 2019
6 migliori strumenti di informazione sulla sicurezza e gestione degli eventi (SIEM) da scoprire nel 2019
Revisione approfondita di SolarWinds Access Rights Manager
Istogramma comparativo in Excel 2010
Evite per Android: crea e invia alla rinfusa biglietti d'invito per eventi
Come sbarazzarsi degli inviti agli eventi spam nell'app Calendario [iOS]
Evento Apple settembre 2015 Tutte le specifiche e i prezzi dei dispositivi
Come guardare l'evento Apple online di settembre 2015
Esegui il backup delle notifiche Android e rivedile dopo che sono state ignorate

Commenti