ジャングルだよ! 悪意のある個人はいたるところにあり、彼らはあなたの後にいます。まあ、おそらくあなたは個人的にではなく、むしろあなたのデータです。私たちが防御しなければならないのはウイルスだけではなく、ネットワークや組織が悲惨な状況に陥る可能性のあるあらゆる種類の攻撃です。アンチウイルス、ファイアウォール、侵入検知システムなどのさまざまな保護システムの急増により、ネットワーク管理者は、相互に関連付けなければならない情報で溢れ、それを理解しようとしています。 ここで、セキュリティ情報とイベント管理(SIEM)システムが役立ちます。彼らはあまりにも多くの情報を扱うという厄介な仕事のほとんどを処理します。 SIEMの選択作業を簡単にするために、最高のセキュリティ情報およびイベント管理(SIEM)ツールをご紹介します。
今日、私達は議論することから分析を始めます現代の脅威シーン。前述のとおり、もはやウイルスだけではありません。次に、SIEMについて正確に説明し、SIEMシステムを構成するさまざまなコンポーネントについて説明します。それらのいくつかは他より重要であるかもしれませんが、それらの相対的な重要性は人々によって異なるかもしれません。そして最後に、6つの最高のセキュリティ情報およびイベント管理(SIEM)ツールを紹介し、それぞれを簡単に確認します。
現代の脅威シーン
Computer security used to be just about virus 保護。しかし、近年、いくつかの異なる種類の攻撃が発見されました。サービス拒否(DoS)攻撃、データの盗難など、さまざまな形をとることがあります。そして、彼らはもはや外から来るだけではありません。多くの攻撃はネットワーク内から発生します。したがって、究極の保護のために、さまざまなタイプの保護システムが発明されました。従来のウイルス対策やファイアウォールに加えて、たとえば、侵入検知システムやデータ損失防止システム(IDSおよびDLP)が導入されました。
もちろん、システムを追加すればするほど、あなたがそれらを管理している仕事。各システムは、特定のパラメータの異常を監視し、それらをログに記録したり、発見されたときにアラートをトリガーしたりします。これらすべてのシステムの監視を自動化できたら、すばらしいと思いませんか?さらに、いくつかのタイプの攻撃は、さまざまな段階を経るにつれて、いくつかのシステムによって検出される可能性があります。関連するすべてのイベントに1つで応答できれば、はるかに良いと思いませんか?まあ、これがまさにSIEMのすべてです。
SIEMとは何ですか?
名前はそれをすべて言います。 セキュリティ情報とイベント管理は、セキュリティ情報とイベントを管理するプロセスです。具体的には、SIEMシステムは保護を提供しません。その主な目的は、ネットワークおよびセキュリティ管理者の生活をより簡単にすることです。典型的なSIEMシステムが実際に行うことは、さまざまな保護および検出システムから情報を収集し、関連するイベントを組み立てるこのすべての情報を関連付け、意味のあるイベントにさまざまな方法で反応することです。多くの場合、SIEMシステムには、何らかの形式のレポートとダッシュボードも含まれます。
SIEMシステムの必須コンポーネント
それぞれをより詳細に調査しますSIEMシステムの主要コンポーネント。すべてのSIEMシステムにこれらのコンポーネントがすべて含まれているわけではなく、それらが含まれている場合でも、機能が異なる可能性があります。ただし、これらは、SIEMシステムで一般的に見られる最も基本的なコンポーネントです。
ログの収集と管理
ログの収集と管理が主ですすべてのSIEMシステムのコンポーネント。それがなければ、SIEMはありません。 SIEMシステムは、さまざまなソースからログデータを取得する必要があります。プルすることも、別の検出および保護システムでSIEMにプッシュすることもできます。システムごとにデータを分類および記録する独自の方法があるため、データのソースが何であっても、データを正規化して均一にするのはSIEM次第です。
After normalization, logged data will often be 既知の攻撃パターンと比較して、悪意のある動作を可能な限り早期に認識しようとします。多くの場合、データは以前に収集されたデータと比較され、異常なアクティビティの検出をさらに強化するベースラインを構築するのに役立ちます。
イベント応答
イベントが検出されたら、何かを行う必要がありますそれについて。これが、SIEMシステムのイベント応答モジュールのすべてです。イベント応答はさまざまな形式をとることができます。最も基本的な実装では、システムのコンソールにアラートメッセージが生成されます。多くの場合、電子メールまたはSMSアラートも生成できます。
しかし、最高のSIEMシステムはさらに一歩進んで多くの場合、修正プロセスが開始されます。繰り返しますが、これは多くの形をとることができるものです。最良のシステムには完全なインシデント対応ワークフローシステムがあり、カスタマイズして希望どおりの応答を提供できます。そして当然のことながら、インシデントレスポンスは均一である必要はなく、さまざまなイベントがさまざまなプロセスをトリガーする可能性があります。最高のシステムにより、インシデント対応ワークフローを完全に制御できます。
報告
ログの収集と管理が完了したら応答システムが整っている場合、次に必要な構成要素はレポートです。まだ知らないかもしれませんが、レポートが必要になります。上級管理職は、SIEMシステムへの投資が成果を上げていることを自分たちで確認する必要があります。適合目的でレポートが必要になる場合もあります。 SIEMシステムが適合性レポートを生成できる場合、PCI DSS、HIPAA、またはSOXなどの標準への準拠が容易になります。
レポートはSIEMシステムの中核ではない可能性がありますそれでも、それは1つの必須コンポーネントです。そして多くの場合、レポートは、競合するシステム間の主要な差別化要因になります。レポートはキャンディーのようなもので、あまり多くすることはできません。そしてもちろん、最高のシステムではカスタムレポートを作成できます。
ダッシュボード
最後になりましたが、ダッシュボードはあなたのSIEMシステムのステータスを確認します。また、複数のダッシュボードが存在する場合もあります。人によって優先順位や関心が異なるため、ネットワーク管理者にとって最適なダッシュボードは、セキュリティ管理者のものとは異なります。また、幹部にはまったく異なるものが必要になります。
SIEMシステムを評価することはできませんが、ダッシュボードの数に応じて、必要なすべてのダッシュボードがあるダッシュボードを選択する必要があります。これは、ベンダーを評価する際に覚えておきたいことです。レポートと同様に、最高のシステムを使用して、好みに合わせてカスタマイズされたダッシュボードを作成できます。
上位6つのSIEMツール
世の中にはたくさんのSIEMシステムがあります。 実際には、それらをすべてここで確認することはできません。そこで、市場を調査し、システムを比較して、6つの最高のセキュリティ情報および管理(SIEM)ツールであることが判明したもののリストを作成しました。それらを優先順にリストしており、それぞれを簡単に確認します。しかし、その順序にもかかわらず、6つすべてが優れたシステムであり、自分で試してみることをお勧めします。
トップ6のSIEMツールは次のとおりです
- SolarWinds Log&Event Manager
- Splunk Enterpriseセキュリティ
- RSA NetWitness
- ArcSight Enterprise Security Manager
- McAfee Enterprise Security Manager
- IBM QRadar SIEM
1. SolarWinds Log&Event Manager (30日間の無料トライアル)
SolarWindsはネットワークで一般的な名前です監視世界。彼らの主力製品であるネットワークパフォーマンスモニターは、利用可能な最高のSNMP監視ツールの1つです。同社はまた、サブネット計算機やSFTPサーバーなどの多数の無料ツールで知られています。
SolarWindsのSIEMツール、Log and Event Manager(LEM)は、エントリーレベルのSIEMシステムとして最もよく説明されています。しかし、それはおそらく市場で最も競争力のあるエントリーレベルのシステムの1つでしょう。 SolarWinds LEMには、SIEMシステムに期待できるすべての機能があります。優れた長期管理機能と相関機能、および印象的なレポートエンジンを備えています。
ツールのイベントレスポンス機能については、望まれるものは何も残しません。詳細なリアルタイム応答システムは、あらゆる脅威に積極的に対応します。また、署名ではなく動作に基づいているため、未知または将来の脅威から保護されます。
しかし、ツールのダッシュボードはおそらく最高です資産。シンプルなデザインで、異常をすばやく特定できます。およそ4500ドルから、このツールは手頃な価格以上のものです。また、最初に試してみたい場合は、完全に機能する30日間の無料試用版をダウンロードできます。
2. Splunk Enterprise Security
おそらく最も人気のあるSIEMシステムの1つです。Splunk Enterprise Security、またはSplunk ESは、よく呼ばれるように、その分析機能で特に有名です。 Splunk ESは、システムのデータをリアルタイムで監視し、脆弱性や異常なアクティビティの兆候を探します。
セキュリティレスポンスは、Splunk ESの強力な機能の1つですスーツ。このシステムは、Splunkがアダプティブレスポンスフレームワーク(ARF)と呼んでいるものを使用しており、55を超えるセキュリティベンダーの機器と統合できます。 ARFは自動応答を実行し、手動タスクを高速化します。これにより、すぐに優位に立つことができます。さらに、シンプルで整然としたユーザーインターフェイスを追加すれば、優れたソリューションが得られます。その他の興味深い機能には、ユーザーがカスタマイズ可能なアラートを表示するNotables機能や、悪意のあるアクティビティにフラグを付けてさらなる問題を防ぐためのAsset Investigatorがあります。
Splunk ESはまさにエンタープライズグレードの製品ですそしてそれは企業規模の値札が付いています。 SplunkのWebサイトから価格情報を入手することもできません。価格を取得するには、営業部門に連絡する必要があります。価格にもかかわらず、これは素晴らしい製品であり、Splunkに連絡して無料の試用版を利用することをお勧めします。
3. RSA NetWitness
20016年以来、NetWitnessは製品に焦点を当ててきました「深い、リアルタイムのネットワーク状況認識と俊敏なネットワーク応答」をサポートします。 EMCに買収され、その後Dellと合併した後、Newitnessビジネスは現在、企業のRSAブランチの一部です。これは朗報です。RSAはセキュリティにおいて有名な名前です。
RSA NetWitnessは、完全なネットワーク分析ソリューション。このツールには、アラートの優先順位付けに役立つ、ビジネスに関する情報が組み込まれています。 RSAによると、このシステムは「他のSIEMソリューションよりも多くのキャプチャポイント、コンピューティングプラットフォーム、脅威インテリジェンスソースからデータを収集します」。行動分析、データサイエンス技術、脅威インテリジェンスを組み合わせた高度な脅威検出もあります。そして最後に、高度な応答システムはオーケストレーションと自動化機能を誇り、ビジネスに影響を与える前に脅威を根絶します。
RSA NetWitnessの主な欠点の1つは使用と構成が最も簡単ではないこと。ただし、製品の設定と使用に役立つ包括的なドキュメントがあります。これは別のエンタープライズグレードの製品であり、価格情報を取得するには営業担当者に連絡する必要があります。
4. ArcSight Enterprise Security Manager
ArcSight Enterprise Security Managerはセキュリティの脅威を特定して優先順位を付け、インシデント対応活動を整理して追跡し、監査とコンプライアンス活動を簡素化します。以前はHPブランドで販売されていましたが、現在は別のHP子会社であるMicro Focusと統合されています。
Having been around for more than fifteen years, ArcSightは、非常に人気のある別のSIEMツールです。さまざまなソースからのログデータを収集し、広範なデータ分析を実行して、悪意のあるアクティビティの兆候を探します。脅威をすばやく簡単に特定するために、real0tme分析結果を表示できます。
以下は、製品の主な機能の概要です。 強力な分散型リアルタイムデータ相関、ワークフロー自動化、セキュリティオーケストレーション、およびコミュニティ主導のセキュリティコンテンツを備えています。 Enterprise Security Managerは、ArcSight Data PlatformやEvent Broker、ArcSight Investigateなどの他のArcSight製品とも統合します。これは、ほとんどすべての品質のSIEMツールと同様に、エンタープライズグレードの別の製品であり、ArcSightの販売チームに連絡して価格情報を入手する必要があります。
5. McAfee Enterprise Security Manager
マカフィーは確かに別の世帯の名前ですセキュリティ業界。ただし、ウイルス対策製品でよく知られています。 Enterprise Security Managerは単なるソフトウェアではありません。それは実際にはアプライアンスです。あなたはそれを仮想または物理的な形で得ることができます。
その分析機能に関しては、McAfee Enterprise Security Managerは、多くの人が最高のSIEMツールの1つと見なしています。システムは、さまざまなデバイスのログを収集します。その正規化機能に関しては、それも一流です。相関エンジンは、さまざまなデータソースを簡単にコンパイルし、セキュリティイベントが発生したときにそれを簡単に検出できるようにします
確かに、McAfeeソリューションには他にもありますEnterprise Security Managerだけではありません。完全なSIEMソリューションを取得するには、Enterprise Log Managerとイベントレシーバーも必要です。幸い、すべての製品を1つのアプライアンスにパッケージ化できます。製品を購入する前に試してみたい人のために、無料の試用版が用意されています。
6. IBM QRadar
IBM、おそらくITで最も有名な名前業界はSIEMソリューションを確立することに成功し、IBM QRadarは市場で最高の製品の1つです。このツールにより、セキュリティアナリストは異常を検出し、高度な脅威を発見し、誤検知をリアルタイムで削除できます。
IBM QRadarは一連のログ管理、データを誇ります収集、分析、侵入検知機能。これらを組み合わせることで、ネットワークインフラストラクチャの稼働を維持できます。潜在的な攻撃をシミュレートできるリスクモデリング分析もあります。
QRadarの主な機能のいくつかには、ソリューションをオンプレミスまたはクラウド環境にデプロイします。これはモジュラーソリューションであり、処理能力のストレージを迅速かつ安価に追加できます。このシステムは、IBM X-Forceのインテリジェンスの専門知識を使用し、何百ものIBM製品およびIBM以外の製品とシームレスに統合します。
IBMはIBMであるため、SIEMソリューションに割高な価格を支払うことが期待できます。しかし、市場で最高のSIEMツールの1つが必要な場合、QRadarは投資に値するものです。
結論として
買い物の際にリスクを負う唯一の問題最高のセキュリティ情報およびイベント監視(SIEM)ツールには、豊富な優れたオプションがあります。ベスト6を紹介しました。それらのすべてが優れた選択肢です。どちらを選択するかは、正確なニーズ、予算、設定に費やす時間に大きく依存します。悲しいかな、初期構成は常に最も難しい部分であり、SIEMツールが適切に構成されていないと問題が発生する可能性があるため、SIEMツールは適切に機能しません。
テキスト50 – 2300
コメント