- - 6 כלי אבטחה וניהול אירועים הטובים ביותר (SIEM) ששווה לבדוק אותם בשנת 2019

6 הכלים הטובים ביותר למידע בנושא אבטחה וניהול אירועים (SIEM) ששווה לבדוק אותם בשנת 2019

זה ג'ונגל בחוץ! אנשים עם כוונה לא טובה נמצאים בכל מקום והם מחפשים אותך. ובכן, כנראה שלא אתה באופן אישי אלא הנתונים שלך. זה כבר לא רק וירוסים שאנחנו צריכים להגן עליהם אלא כל מיני התקפות שיכולות להשאיר את הרשת שלך - ואת הארגון שלך - במצב קשה. בגלל ריבוי מערכות ההגנה השונות כמו נגיפים, חומות אש ומערכות גילוי פריצות, מנהלי הרשת מוצפים כעת במידע שעליהם לתאם, בניסיון להבין את זה. כאן מועילים מערכות מידע בנושא אבטחה וניהול אירועים (SIEM). הם מטפלים ברוב העבודה המבעיתה של התמודדות עם יותר מדי מידע. כדי להקל על העבודה שלך בבחירת SIEM, אנו מציגים לך את הכלים הטובים ביותר למידע בנושא אבטחה וניהול אירועים (SIEM).

היום אנו מתחילים בניתוח שלנו על ידי דיון בנושאסצנת איום מודרנית. כמו שאמרנו, זה כבר לא סתם נגיפים. לאחר מכן, ננסה להסביר טוב יותר מה זה SIEM בדיוק ולדבר על הרכיבים השונים שהופכים מערכת SIEM. חלקם עשויים להיות חשובים יותר מאחרים אך חשיבותם היחסית עשויה להיות שונה עבור אנשים שונים. ולבסוף, נציג את הבחירה שלנו מבין ששת הכלים הטובים ביותר למידע בנושא אבטחה וניהול אירועים (SIEM) ונבדוק בקצרה כל אחד מהם.

סצנת האיום המודרנית

אבטחת מחשב הייתה בעבר כמעט וירוסהגנה. אולם בשנים האחרונות נחשפו כמה סוגים שונים של פיגועים. הם יכולים לנקוט בצורה של פיגועי מניעת שירות, גניבת נתונים ורבים אחרים. והם כבר לא סתם באים מבחוץ. התקפות רבות מקורן ברשת. לכן, לצורך ההגנה האולטימטיבית, הומצאו סוגים שונים של מערכות מיגון. בנוסף לאנטי-וירוס וחומת האש המסורתית, כעת יש לנו מערכות למניעת חדירות וטיפול במניעת אובדן נתונים (IDS ו- DLP), למשל.

כמובן שככל שתוסיפו מערכות יותרעבודה יש ​​לך ניהול אותם. כל מערכת עוקבת אחר פרמטרים ספציפיים לחריגות ותירשם אותם ו / או תפעיל התראות כאשר יתגלו. האם לא יהיה נחמד אם ניתן לבצע אוטומציה של ניטור של כל המערכות הללו? יתרה מזאת, סוגים מסוימים של התקפות יכולים להימצא על ידי מספר מערכות כאשר הם עוברים בשלבים שונים. האם לא היה עדיף בהרבה אם היית יכול להגיב לכל האירועים הקשורים כאחד? ובכן, זה בדיוק מה ש- SIEM עוסק בו.

מה זה SIEM, בדיוק?

השם אומר הכל. מידע אבטחה וניהול אירועים הוא תהליך ניהול מידע ואירועי אבטחה. באופן קונקרטי, מערכת SIEM אינה מספקת שום הגנה. מטרתו העיקרית היא להקל על חייהם של מנהלי רשת ואבטחה. מה שמערכת SIEM אופיינית באמת היא לאסוף מידע ממערכות הגנה וזיהוי שונות, לתאם את כל המידע הזה שמרכיב אירועים קשורים, ומגיב לאירועים משמעותיים בדרכים שונות. לעתים קרובות, מערכות SIEM יכללו גם צורה כלשהי של דיווחים ומרכזי שליטה.

המרכיבים החיוניים של מערכת SIEM

אנו עומדים לחקור בפרטים עמוקים יותר כל אחדהמרכיב העיקרי במערכת SIEM. לא כל מערכות ה- SIEM כוללות את כל המרכיבים הללו, וגם אם כן, יכולות להיות להן פונקציות שונות. עם זאת, הם המרכיבים הבסיסיים ביותר שניתן למצוא בדרך כלל, בצורה כזו או אחרת, בכל מערכת SIEM.

אוסף יומנים וניהול

איסוף יומן וניהול זה העיקרירכיב בכל מערכות SIEM. בלעדיו אין SIEM. מערכת SIEM צריכה לרכוש נתוני יומן ממגוון מקורות שונים. זה יכול למשוך אותו או שמערכות גילוי והגנה שונות יכולות לדחוף אותו ל- SIEM. מכיוון שלכל מערכת יש דרך משלה לקטלג ולהקליט נתונים, על SIEM לנרמל נתונים ולהפוך אותם לאחדים, לא משנה מה המקור שלה.

לאחר הנורמליזציה, לעתים קרובות נתונים רשומים יהיולעומת דפוסי התקפה ידועים בניסיון לזהות התנהגות זדונית מוקדם ככל האפשר. לעתים קרובות ישוו בין נתונים לנתונים שנאספו בעבר כדי לעזור לבנות קו בסיס אשר ישפר עוד יותר את איתור הפעילות הלא תקינה.

תגובה לאירוע

ברגע שמתגלה אירוע, יש לעשות משהובנוגע לזה. זה מה שעוסק במודול תגובת האירועים עבור מערכת SIEM. תגובת האירוע יכולה ללבוש צורות שונות. ביישום הבסיסי ביותר, תיווצר הודעת התראה במסוף המערכת. לעתים קרובות ניתן ליצור התראות דוא"ל או SMS.

אבל מערכות SIEM הטובות ביותר עוברות צעד נוסףלרוב יתחיל תהליך מתקנה כלשהו. שוב, זה משהו שיכול ללבוש צורות רבות. המערכות הטובות ביותר כוללות מערכת זרימת עבודה מלאה לתגובה לאירועים הניתנת להתאמה אישית כדי לספק בדיוק את התגובה הרצויה. וכפי שניתן היה לצפות, תגובת האירועים אינה חייבת להיות אחידה ואירועים שונים יכולים לעורר תהליכים שונים. המערכות הטובות ביותר יעניקו לך שליטה מלאה בזרימת העבודה בתגובה לאירועים.

דיווח

ברגע שיש לך את אוסף היומנים והניהולומערכות התגובה במקום, אבן הבניין הבאה שאתה צריך היא דיווח. יתכן שלא תדע זאת עדיין, אך תזדקק לדוחות. ההנהלה העליונה תצטרך אותם לראות בעצמם שההשקעה שלהם במערכת SIEM משתלמת. ייתכן שתצטרך גם דוחות למטרות התאמה. ניתן להקל על עמידה בתקנים כמו PCI DSS, HIPAA או SOX כאשר מערכת SIEM שלך יכולה ליצור דוחות התאמה.

יתכן שדוחות אינם בבסיס מערכת SIEMובכל זאת, זהו מרכיב חיוני אחד. ולעתים קרובות הדיווח יהיה גורם מבדיל משמעותי בין מערכות מתחרות. דוחות הם כמו סוכריות, לעולם אינך יכול לקבל יותר מדי. וכמובן, המערכות הטובות ביותר יאפשרו לכם ליצור דוחות מותאמים אישית.

לוח מחוונים (ים)

אחרון חביב, לוח המחוונים יהיה שלךחלון למצב מערכת SIEM שלך. ויכולים להיות אפילו לוחות מחוונים מרובים. מכיוון שלאנשים שונים יש סדרי עדיפויות ואינטרסים שונים, לוח המחוונים המושלם עבור מנהל רשת יהיה שונה מזה של מנהל אבטחה. ומנהל יצטרך גם מנה אחרת אחרת.

אמנם איננו יכולים להעריך מערכת SIEM לפימספר לוח המחוונים שיש לו, אתה צריך לבחור אחד שיש לו את כל לוח המחוונים שאתה צריך. זה בהחלט משהו שתרצה לזכור כשאתה מעריך ספקים. וכמו בדוחות, המערכות הטובות ביותר יאפשרו לכם לבנות לוחות מחוונים בהתאמה אישית לטעמכם.

6 כלי SIEM המובילים שלנו

יש הרבה מערכות SIEM שם בחוץ. למעשה הרבה יותר מדי מכדי להיות מסוגלים לסקור את כולם כאן. אז, חיפשנו בשוק, השווינו מערכות ובנינו רשימה של מה שמצאנו שהם ששת הכלים הטובים ביותר למידע וניהול אבטחה (SIEM). אנו מפרטים אותם לפי סדר העדפה ואנו נסקור בקצרה כל אחד מהם. אבל למרות ההזמנה שלהם, כל שש הן מערכות מצוינות שנוכל רק להמליץ ​​לך לנסות בעצמך.

להלן 6 כלי הכלים המובילים שלנו ב- SIEM

  1. SolarWinds יומן ומנהל אירועים
  2. Splunk Enterprise Security
  3. RSA NetWitness
  4. מנהל אבטחה ארגוני ארגון
  5. מנהל האבטחה של מק'אפי
  6. IBM QRadar SIEM

1. SolarWinds יומן ומנהל אירועים (ניסיון חינם למשך 30 יום)

SolarWinds הוא שם נפוץ ברשתעולם הפיקוח. מוצר הדגל שלהם, Monitor Performance Performance הוא אחד מכלי הניטור הטובים ביותר של SNMP. החברה ידועה גם בשל כלים חינמיים רבים כמו מחשבון המשנה שלהם או שרת ה- SFTP שלהם.

כלי ה- SIEM של SolarWinds, מנהל היומן והאירועים(LEM) מתואר בצורה הטובה ביותר כמערכת SIEM ברמת כניסה. אך יתכן שזו אחת המערכות התחרותיות ביותר ברמת הכניסה בשוק. ל- LEM של SolarWinds יש את כל מה שניתן לצפות ממערכת SIEM. יש לו מאפייני ניהול ומתאם ארוכים מעולים ומנוע דיווח מרשים.

לוח המחוונים של SolarWinds LEM

באשר לתכונות של תגובת האירוע של הכלי, הןאל תשאיר דבר לרצוי. מערכת התגובה המפורטת בזמן אמת תגיב באופן פעיל לכל איום. ומכיוון שהוא מבוסס על התנהגות ולא על חתימה, אתה מוגן מפני איומים לא ידועים או עתידיים.

אבל לוח המחוונים של הכלי הוא אולי הטוב ביותרנכס. עם עיצוב פשוט, לא תהיה לך בעיה במהירות לזהות חריגות. החל מסביבות 4 500 דולר, הכלי הוא יותר משתלם. ואם ברצונך לנסות זאת תחילה, גרסת ניסיון בחינם למשך 30 יום תפקודית לחלוטין זמינה להורדה.

קישור הורדה רשמי: https://www.solarwinds.com/log-event-manager-software

2. Splunk אבטחה ארגונית

אולי אחת ממערכות ה- SIEM הפופולריות ביותר,Splunk Enterprise Security - או Splunk ES, כפי שהיא מכונה לעתים קרובות - מפורסמת במיוחד בזכות יכולות הניתוח שלה. Splunk ES עוקב אחר נתוני המערכת בזמן אמת ומחפש פגיעויות וסימנים של פעילות לא תקינה.

תגובת האבטחה היא אחת החזקות של Splunk ESחליפות. המערכת משתמשת במה ש- Splunk מכנה את מסגרת ה- Adaptive Response Framework (ARF) שמשתלבת בציוד של יותר מ- 55 ספקי אבטחה. ה- ARF מבצעים מענה אוטומטי ומזרז משימות ידניות. זה יאפשר לך להשיג במהירות את העליונה. הוסף לזה ממשק משתמש פשוט ולא מסודר ויש לך פיתרון מנצח. תכונות מעניינות אחרות כוללות את הפונקציה Notables המציגה התראות הניתנות להתאמה אישית על ידי המשתמש ואת חוקר הנכסים לסימון פעילויות זדוניות ומניעת בעיות נוספות.

Splunk ניתוח סיכונים

Splunk ES הוא באמת מוצר ברמה העסקיתוזה מגיע עם תג מחיר בגודל ארגוני. אתה לא יכול אפילו לקבל מידע על מחירים אודות אתר האינטרנט של Splunk. אתה צריך ליצור קשר עם מחלקת המכירות כדי לקבל מחיר. למרות מחירו, מדובר במוצר נהדר וייתכן שתרצה ליצור קשר עם Splunk ולנצל ניסיון חינם.

3. RSA NetWitness

מאז שנת 20016 NetWitness מתמקדת במוצריםתמיכה ב"מודעות מצבית עמוקה בזמן אמת ותגובת רשת זריזת ". לאחר שנרכש על ידי EMC שהתמזג אז עם דל, עסק Newitness הוא כיום חלק מסניף RSA של התאגיד. ואלה חדשות טובות RSA הוא שם מפורסם בביטחון.

RSA NetWitness הוא אידיאלי לארגונים המחפשיםפיתרון ניתוח רשת שלם. הכלי משלב מידע על העסק שלך שעוזר לתעדף התראות. על פי RSA, המערכת "אוספת נתונים על פני יותר נקודות לכידה, פלטפורמות מחשוב ומקורות מודיעין איום מאשר פתרונות אחרים של SIEM". ישנו גם איתור איומים מתקדם שמשלב ניתוח התנהגות, טכניקות מדעי נתונים ואינטליגנציית איומים. ולבסוף, מערכת התגובה המתקדמת מתהדרת ביכולות תזמור ואוטומציה כדי לסלק את מיגור האיומים לפני שהן משפיעות על העסק שלך.

RSA NetWitness

אחד החסרונות העיקריים של RSA NetWitness הואשזה לא הקל ביותר לשימוש ולהגדרת תצורה. עם זאת, קיים תיעוד מקיף שיכול לעזור לך בהגדרת המוצר ושימוש בו. זהו מוצר אחר בדרגה ארגונית ותצטרך ליצור קשר עם מכירות כדי לקבל מידע על מחירים.

4. מנהל אבטחה ארגוני רמה

מנהל האבטחה של ארקיסייט מסייעלזהות ולתעדף איומי אבטחה, לארגן ולעקוב אחר פעילויות תגובת אירועים, ולפשט את פעילויות הביקורת והתאימות. בעבר נמכרה תחת המותג HP, היא התמזגה עם Micro Focus, חברת בת אחרת של HP.

מאז שהיה קיים יותר מחמש עשרה שנה,ArcSight הוא עוד כלי SIEM פופולרי להפליא. זה אוסף נתוני יומן ממקורות שונים ומבצעת ניתוח נתונים נרחב, ומחפש סימנים של פעילות זדונית. כדי להקל על זיהוי איומים במהירות, באפשרותך להציג את תוצאות הניתוח של ה- real0tme.

מרכז הפיקוד של ArcSight

להלן סקירה של התכונות העיקריות של המוצרים. יש לו מתאם נתונים מופץ בזמן אמת, אוטומציה של זרימת עבודה, תזמור אבטחה ותוכן אבטחה מונע קהילה. מנהל אבטחת הארגון משתלב גם עם מוצרי ArcSight אחרים כמו פלטפורמת הנתונים ArcSight ו- Broker Event או ArcSight Investigate. זהו מוצר אחר בדרגה ארגונית - כמו כמעט כל כלי SIEM איכותיים - אשר ידרוש ממך ליצור קשר עם צוות המכירות של ArcSight כדי לקבל מידע על מחירים.

5. מנהל האבטחה של מק'אפי ארגוני

מקאפי הוא ללא ספק שם ביתי נוסף באזורענף האבטחה. עם זאת, הוא ידוע יותר בזכות מוצרי ההגנה שלו מפני וירוסים. מנהל האבטחה של Enterprise הוא לא רק תוכנה. זהו למעשה מכשיר. אתה יכול להשיג את זה בצורה וירטואלית או פיזית.

מבחינת יכולות הניתוח שלה, ה-מנהל האבטחה של McAfee Enterprise נחשב לאחד מכלי SIEM הטוב ביותר עבור רבים. המערכת אוספת יומנים במגוון רחב של מכשירים. באשר ליכולות הנורמליזציה שלו, הוא גם מהשורה הראשונה. מנוע המתאם אוסף בקלות מקורות נתונים שונים, מה שמקל על איתור אירועי אבטחה בזמן שהם מתרחשים

מנהל האבטחה של מק'אפי

אם להיות נכון, יש יותר מהפתרון של McAfeeמאשר רק מנהל האבטחה הארגוני שלה. כדי לקבל פיתרון SIEM מלא, אתה זקוק גם למנהל יומן הארגון ומקבל האירועים. למרבה המזל, את כל המוצרים ניתן לארוז במכשיר יחיד. לאלו מכם שאולי ירצו לנסות את המוצר לפני שאתם קונים אותו, תקופת ניסיון חינם זמינה.

6. IBM QRadar

יבמ, אולי השם הידוע ביותר בתחום ה- ITהתעשייה הצליחה להקים את פיתרון SIEM שלה, IBM QRadar הוא אחד המוצרים הטובים ביותר בשוק. הכלי מאפשר לאנליסטים ביטחוניים לאתר חריגות, לחשוף איומים מתקדמים ולהסיר חיוביות שגויות בזמן אמת.

IBM QRadar מתהדרת בחבילת ניהול יומנים, נתוניםאוספים, ניתוחים וגילוי פריצות. יחד הם עוזרים לשמור על תשתית הרשת שלך פועלת. יש גם ניתוח דוגמנות סיכונים שיכול לדמות התקפות אפשריות.

לוח מחוונים QRadar של יבמ

חלק מתכונות המפתח של QRadar כוללות את היכולתלפרוס את הפיתרון במקום או בסביבת ענן. זהו פיתרון מודולרי ואפשר להוסיף במהירות ובזול יותר אחסון של כוח עיבוד. המערכת משתמשת במומחיות מודיעין של יבמ X-Force ומשתלבת בצורה חלקה עם מאות מוצרי יבמ ומוצרים שאינם יבמ.

בהיותה יבמ, אתה יכול לצפות בתשלום מחיר פרמיום עבור פתרון SIEM שלהם. אבל אם אתה זקוק לאחד מכלי SIEM הטובים ביותר בשוק, ייתכן ש- QRadar יהיה שווה את ההשקעה.

לסיכום

הבעיה היחידה שאתה מסתכן בקניותלכלי הטוב ביותר למידע בנושא אבטחה וניטור אירועים (SIEM) הוא שפע האפשרויות המצוינות. בדיוק הצגנו את השישה הטובים ביותר. כולם בחירות מצוינות. זה שתבחר יהיה תלוי במידה רבה בצרכים המדויקים שלך, בתקציב שלך ובזמן שאתה מוכן להכניס להגדרתו. אבוי, התצורה הראשונית היא תמיד החלק הקשה ביותר וכאן הדברים יכולים להשתבש אם כלי SIEM לא מוגדר כראוי, הוא לא יוכל לבצע את העבודה שלו כמו שצריך.

טקסט 50 - 2300

הערות