가장 중요하지 않은 경우 중 하나중요 — 오늘날 많은 조직의 자산은 데이터입니다. 의도하지 않은 많은 개인이나 조직이 소중한 데이터를 훔치기 위해 많은 시간을 할애하는 것이 중요하고 가치가 있습니다. 네트워크와 시스템에 대한 무단 액세스를 얻기 위해 방대한 기술과 기술을 사용합니다. 이러한 시도의 횟수는 항상 기하 급수적으로 증가하고있는 것으로 보입니다. 이를 방지하기 위해 데이터 자산을 보호하려는 기업이 침입 방지 시스템 또는 IPS 시스템을 구축하고 있습니다. 그만큼 SolarWinds 로그 및 이벤트 관리자 만큼 잘 스 플렁크 그 분야에서 두 가지 독창적 인 제품입니다. 오늘 우리는 둘을 비교하고 있습니다.
살펴보면서 탐험을 시작하겠습니다일반적으로 침입 방지. 앞으로 나올 테이블을 설정하는 데 도움이됩니다. 가능한 한 비 기술적으로 유지하도록 노력하겠습니다. 우리의 아이디어는 귀하를 침입 방지 전문가로 만드는 것이 아니라 두 제품을 모두 탐색 할 때 모두 같은 페이지에 있도록하는 것입니다. 제품 탐색에 대해 이야기하면 다음과 같습니다. 먼저 SolarWinds Log & Event Manager의 주요 기능에 대해 설명하고, 플랫폼 사용자가보고 한대로 제품의 장단점과 장단점을 살펴보고 개요를 마무리합니다. 가격 및 라이센스 구조를 살펴보면서 그런 다음 제품 기능, 장단점, 장단점 및 가격 구조와 동일한 형식을 사용하여 Splunk를 검토합니다. 마지막으로 두 제품에 대한 사용자의 의견으로 마무리하겠습니다.
침입 방지 –이 모든 것이 무엇입니까?
몇 년 전만해도 바이러스는 유일하게시스템 관리자의 우려. 바이러스는 바이러스 보호 도구를 개발하여 업계가 반응 할 정도로 일반적인 시점에 도달했습니다. 오늘날 올바른 사용자는 바이러스 보호없이 컴퓨터를 실행한다고 생각하지 않습니다. 더 이상 많은 바이러스를 듣지는 않지만 악의적 인 사용자가 침입하거나 데이터에 무단으로 액세스하는 것은 새로운 위협입니다. 데이터가 조직의 가장 중요한 자산 인 경우가 많기 때문에 회사 네트워크는 의도하지 않은 해커의 대상이되어 데이터에 액세스하기 위해 많은 시간을 투자 할 것입니다. 바이러스 방지 소프트웨어가 바이러스의 확산에 대한 해답 인 것처럼 침입 방지 시스템은 침입자의 공격에 대한 해답입니다.
침입 방지 시스템은 본질적으로 두 가지를 수행합니다.소지품. 먼저 침입 시도를 감지하고 의심스러운 활동을 감지하면 다른 방법을 사용하여 중지 또는 차단합니다. 침입 시도를 탐지 할 수있는 두 가지 방법이 있습니다. 시그니처 기반 탐지는 네트워크 트래픽 및 데이터를 분석하고 침입 시도와 관련된 특정 패턴을 찾아서 작동합니다. 이는 바이러스 정의에 의존하는 기존 바이러스 방지 시스템과 유사합니다. 서명 기반 침입 탐지는 침입 서명 또는 패턴에 의존합니다. 이 탐지 방법의 주요 단점은 소프트웨어에 적절한 서명을로드해야한다는 것입니다. 그리고 새로운 공격 방법 인 경우 일반적으로 공격 서명이 업데이트되기 전에 지연이 발생합니다. 일부 공급 업체는 업데이트 된 공격 서명을 제공하는 데 매우 빠르지 만 다른 공급 업체는 훨씬 느립니다. 공급 업체를 선택할 때 서명이 얼마나 자주, 얼마나 빨리 업데이트되는지 고려해야합니다.
이상 기반 탐지 기능으로 더 나은 보호 기능 제공제로 데이 공격에 대비하여 탐지 서명 이전에 발생한 공격은 업데이트 될 기회가있었습니다. 이 프로세스는 알려진 침입 패턴을 인식하려고 시도하는 대신 이상을 찾습니다. 예를 들어, 누군가가 잘못된 암호로 여러 번 연속으로 시스템에 액세스하려고 시도하면 무차별 대입 공격의 일반적인 표시가됩니다. 이것은 단지 예일 뿐이며 일반적으로 이러한 시스템을 트리거 할 수있는 수백 가지의 의심스러운 활동이 있습니다. 두 가지 탐지 방법 모두 장단점이 있습니다. 최상의 도구는 최상의 보호를 위해 서명과 행동 분석을 조합하여 사용하는 도구입니다.
침입 시도 탐지는 첫 번째 부분입니다그들을 막을 수 있습니다. 탐지 된 침입 방지 시스템은 탐지 된 활동을 중지하는 데 적극적으로 노력합니다. 이러한 시스템은 여러 가지 다른 치료 조치를 수행 할 수 있습니다. 예를 들어 사용자 계정을 일시 중지하거나 비활성화 할 수 있습니다. 또 다른 일반적인 작업은 공격의 소스 IP 주소를 차단하거나 방화벽 규칙을 수정하는 것입니다. 악성 프로세스가 특정 프로세스에서 비롯된 경우 예방 시스템이 프로세스를 종료시킬 수 있습니다. 일부 보호 프로세스를 시작하는 것은 또 다른 일반적인 반응이며 최악의 경우 전체 시스템을 종료하여 잠재적 손상을 제한 할 수 있습니다. 침입 방지 시스템의 또 다른 중요한 작업은 관리자에게 경고하고 이벤트를 기록하며 의심스러운 활동을보고하는 것입니다.
패시브 침입 방지 조치
침입 방지 시스템은 보호 할 수 있지만수많은 유형의 공격에 대비해 구식 수동 침입 방지 조치를 능가하는 것은 없습니다. 예를 들어 강력한 암호를 요구하는 것은 많은 침입을 막는 훌륭한 방법입니다. 또 다른 쉬운 보호 조치는 장비 기본 비밀번호를 변경하는 것입니다. 아직까지는 아니지만 회사 네트워크에서는 빈도가 적지 만 여전히 기본 관리자 암호가있는 인터넷 게이트웨이는 너무 자주 보았습니다. 암호의 주제에 따라 암호 노화는 침입 시도를 줄이기 위해 시행 할 수있는 또 다른 구체적인 단계입니다. 충분한 시간이 주어지면 모든 암호, 심지어 가장 좋은 암호도 결국 해독 될 수 있습니다. 암호 에이징은 암호가 해독되기 전에 암호가 변경되도록합니다.
SolarWinds 로그 및 이벤트 관리자 (무료 평가판 사용 가능)
태양풍 네트워크 관리에서 잘 알려진 이름입니다. 최고의 네트워크 및 시스템 관리 도구 중 하나로 유명합니다. 주력 제품인 네트워크 성능 모니터 최고의 네트워크 대역폭 모니터링 도구 중에서 지속적으로 점수를 매 깁니다. SolarWinds는 또한 네트워크 관리자의 특정 요구를 해결하는 많은 무료 도구로 유명합니다. 그만큼 키위 Syslog 서버 아니면 그 SolarWinds TFTP 에스에버 이 무료 도구의 두 가지 훌륭한 예입니다.
두 지마 SolarWinds 로그 및 이벤트 관리자이름은 당신을 바보입니다. 눈을 만나는 것보다 훨씬 더 있습니다. 이 제품의 일부 고급 기능은이 제품을 침입 탐지 및 방지 시스템으로 인정하는 반면 SIEM (Security Information and Event Management) 범위에 해당 제품도 있습니다. 예를 들어이 도구는 실시간 이벤트 상관 관계 및 실시간 치료 기능을 갖추고 있습니다.
- 무료 시험판: SolarWinds 로그 및 이벤트 관리자
- 다운로드 링크: https://www.solarwinds.com/log-event-manager-software/registration
그만큼 SolarWinds 로그 및 이벤트 관리자 의심스러운 순간 감지활동 (침입 탐지 기능) 및 자동 응답 (침입 방지 기능). 이 도구는 보안 이벤트 조사 및 법의학을 수행하는 데에도 사용할 수 있습니다. 완화 및 준수 목적으로 사용할 수 있습니다. 이 도구는 검증 된보고 기능을 제공하며 HIPAA, PCI-DSS 및 SOX와 같은 다양한 규제 프레임 워크 준수를 입증하는 데 사용될 수 있습니다. 이 도구에는 파일 무결성 모니터링 및 USB 장치 모니터링 기능도 있습니다. 소프트웨어의 모든 고급 기능으로 인해 로그 및 이벤트 관리 시스템보다 통합 된 보안 플랫폼의 이름을 얻게되므로 이름이 믿을 수 있습니다.
의 침입 방지 기능 SolarWinds 로그 및 이벤트 관리자 활성이라는 작업을 구현하여 작동위협이 탐지 될 때마다 응답합니다. 다른 응답은 특정 경고에 연결될 수 있습니다. 예를 들어, 시스템은 방화벽 테이블에 기록하여 의심스러운 활동을 수행하는 것으로 식별 된 소스 IP 주소의 네트워크 액세스를 차단할 수 있습니다. 이 도구는 또한 사용자 계정을 일시 중지하고 프로세스를 중지 또는 시작하며 시스템을 종료 할 수 있습니다. 이전에 확인한 치료 조치가 정확히 어떻게 수행되는지 기억할 것입니다.
강점과 약점
가트너에 따르면 태양풍 로그 및 이벤트 관리자 “통합 된 솔루션을 제공합니다.단순한 아키텍처, 간편한 라이센싱 및 강력한 기본 제공 컨텐츠 및 기능 덕분에 중소기업에 특히 적합합니다.” 이 도구는 여러 이벤트 소스를 제공하며 경쟁 제품에서 일반적으로 제공되지 않는 일부 위협 억제 및 격리 제어 기능을 제공합니다.
그러나 리서치 회사는 또한제품은 폐쇄 형 에코 시스템이므로 고급 위협 탐지, 위협 인텔리전스 피드 및 UEBA 도구와 같은 타사 보안 솔루션과 통합하기가 어렵습니다. 회사는“서비스 데스크 도구를 사용한 통합은 이메일과 SNMP를 통한 단방향 연결로 제한됩니다”라고 말했습니다.
또한 SaaS 환경 모니터링제품에서 지원하지 않으며 IaaS 모니터링이 제한됩니다. 모니터링을 네트워크 및 응용 프로그램으로 확장하려는 고객은 다른 SolarWinds 제품을 구입해야합니다.
- 무료 시험판: SolarWinds 로그 및 이벤트 관리자
- 다운로드 링크: https://www.solarwinds.com/log-event-manager-software/registration
장점과 단점
우리는 SolarWinds Log & Event Manager 사용자가보고 한 가장 중요한 장단점을 모았습니다. 그들이 말해야 할 것이 있습니다.
찬성
- 이 제품은 설치가 매우 쉽습니다. 배포되었고 로그 소스가이를 가리키고 하루 안에 기본 상관 관계를 수행했습니다.
- 에이전트를 배포 한 후 사용 가능한 자동 응답을 통해 네트워크의 이벤트에 응답 할 수있는 놀라운 제어 기능을 제공합니다.
- 이 도구의 인터페이스는 사용자에게 친숙합니다. 경쟁 제품 중 일부는 사용법 및 적응 방법을 배우기가 어려울 수 있지만 SolarWinds 로그 및 이벤트 관리자 직관적 인 레이아웃을 가지고 있으며 집어 들고 사용하기 매우 쉽습니다.
단점
- 제품에 사용자 정의 파서가 없습니다. 네트워크에 필연적으로 SolarWinds 로그 및 이벤트 관리자 구문 분석하는 방법을 모릅니다. 이러한 이유로 일부 경쟁 솔루션은 사용자 정의 파서를 활용합니다. 이 제품은 사용자 정의 구문 분석기 작성을 지원하지 않으므로 알 수없는 로그 형식은 구문 분석되지 않습니다.
- 도구가 때로는 너무 기본적 일 수 있습니다. 중소 규모의 환경에서 기본 상관 관계를 수행하기위한 훌륭한 도구입니다. 그러나 수행하려는 상관 관계로 너무 발전하려고하면 데이터를 구문 분석하는 방식으로 인해 도구의 기능이 부족하여 좌절 될 수 있습니다.
가격 및 라이센스
SolarWinds Log & Event Manager 가격모니터링되는 노드 수에 따라 다릅니다. 가격은 최대 30 개의 모니터링 노드에 대해 4,585 달러부터 시작하며 그 사이에 여러 라이센스 계층으로 최대 2500 노드에 대한 라이센스를 구매할 수있어 제품의 확장 성이 뛰어납니다. 테스트 실행을 위해 제품을 가져 가고 자신에게 적합한 지 직접 확인하고 싶다면 30 일 무료 평가판을 무료로 이용할 수 있습니다.
스 플렁크
스 플렁크 아마도 가장 인기있는 침입 방지 시스템 중 하나 일 것입니다. 다양한 기능 세트를 제공하는 여러 가지 버전으로 제공됩니다. Splunk Enterprise 보안-또는 스 플렁크 ES, 그것이 종종 호출되기 때문에-당신이 진실한 것을 필요로하는 것입니다침입 방지. 이것이 오늘날 우리가보고있는 것입니다. 이 소프트웨어는 시스템 데이터를 실시간으로 모니터링하여 취약성과 비정상적인 활동 징후를 찾습니다. 침입 방지의 목표는 태양풍‘달성 방법이 다릅니다.
보안 대응은 스 플렁크의복이 강하고 침입 방지 시스템이되고 태양풍 제품이 방금 검토되었습니다. 벤더는 적응 형 응답 프레임 워크 (ARF). 이 도구는 55 개 이상의 보안 공급 업체의 장비와 통합되며 자동화 된 응답을 수행하여 수동 작업의 속도를 높이고 더 빠른 대응을 제공 할 수 있습니다. 자동 치료와 수동 개입의 조합으로 빠르게 우위를 점할 수 있습니다. 이 도구는 간단하고 깔끔한 사용자 인터페이스를 갖추고있어 성공적인 솔루션을 제공합니다. 다른 흥미로운 보호 기능으로는 "명사"사용자 정의 가능한 경고 및"자산 조사관악의적 인 활동을 신고하고 추가 문제를 예방합니다.
강점과 약점
스 플렁크큰 파트너 에코 시스템은 통합과 스 플렁크통해 특정 콘텐츠 스 플렁크베이스 앱 스토어. 또한 공급 업체의 전체 솔루션 제품군을 통해 사용자는 시간이 지남에 따라 플랫폼으로 쉽게 확장 할 수 있으며 고급 분석 기능은 다양한 방법으로 제공됩니다. 스 플렁크 생태계.
하락세로, 스 플렁크 어플라이언스 버전의 솔루션을 제공하지 않으며 Gartner 클라이언트는 라이센스 모델 및 구현 비용에 대한 우려를 제기했습니다. 스 플렁크 EAA (Enterprise Adoption Agreement)를 포함한 새로운 라이센스 접근 방식을 도입했습니다.
장점과 단점
이전 제품과 마찬가지로 사용자가보고 한 가장 중요한 장단점은 다음과 같습니다. 스 플렁크.
찬성
- 이 도구는 거의 모든 머신 유형에서 로그를 매우 잘 수집합니다. 대부분의 대체 제품은이 작업을 수행하지 않습니다.
- 스 플렁크 사용자에게 비주얼을 제공하여 로그를 파이 차트, 그래프, 테이블 등과 같은 시각적 요소로 변환 할 수 있습니다.
- 이상에 대한보고 및 경고가 매우 빠릅니다. 약간의 지연이 있습니다.
단점
- 스 플렁크의 검색 언어는 매우 깊습니다. 그러나보다 고급 형식 또는 통계 분석을 수행하려면 약간의 학습 곡선이 필요합니다. 스 플렁크 교육은 검색 언어를 배우고 데이터를 조작 할 수 있지만 $ 500.00 ~ $ 1 500.00의 비용이들 수 있습니다.
- 이 도구의 대시 보드 기능은 꽤 괜찮지 만보다 흥미로운 시각화를 위해서는 간단한 XML, Javascript 및 CSS를 사용하여 약간의 개발이 필요합니다.
- 벤더는 사소한 수정본을 매우 신속하게 릴리스하지만 수많은 버그가 발생하여 9 개월 만에 환경을 4 번 업그레이드해야했습니다.
가격 및 라이센스
Splunk Enterprise가격은 총 데이터 양을 기준으로합니다.매일 보내십시오. 하루에 최대 1GB의 데이터를 수집하여 월 $ 150에서 시작합니다. 대량 할인이 가능합니다. 이 가격에는 무제한 사용자, 무제한 검색, 실시간 검색, 분석 및 시각화, 모니터링 및 경고, 표준 지원 등이 포함됩니다. 자세한 견적을 받으려면 Splunk 영업에 문의해야합니다. 이러한 가격대의 대부분의 제품과 마찬가지로 무료 평가판은 제품을 사용 해보고 싶은 사람들에게 제공됩니다.
두 제품에 대해 무엇을 말했습니까?
IT Central Station 사용자는 태양풍 10 점 중 9 점 스 플렁크 그러나 Gartner Peer Insights 사용자는 순서를 반대로하여 스 플렁크 4.3 점 (5 점 만점) 태양풍 5 점 중 4 점.
Foxhole Technology의 시스템 엔지니어 인 Jeffrey Robinette는 다음과 같이 말했습니다. 태양풍'즉시 사용 가능한 보고서와 대시 보드는 "강점을 통해 액세스를 모니터링하고 사이버 보고서를 가져올 수 있습니다." 더 이상 각 서버에서 로그를 검색하지 않아도됩니다. "
비교해서 스 플렁크로빈 네트는 태양풍 그는 많은 사용자 정의가 필요하지 않으며 가격은 저렴하지만 스 플렁크 “박사 학위가 필요합니다. 보고서 맞춤 설정에 대해
Raul Lapaz의 수석 IT 보안 운영 로슈, 동안 스 플렁크 저렴하지 않고 사용 편의성, 확장 성, 안정성, 검색 엔진 속도 및 다양한 데이터 소스와의 호환성으로 가치가 있습니다.
그러나 라파 스는 몇 가지 단점을 지적했다.예를 들어 클러스터 관리는 명령 줄을 통해서만 수행 할 수 있으며 권한이 매우 유연하지 않다는 사실을 포함합니다. 그는 다음과 같이 썼다.“이중 인증과 같은보다 세부적인 옵션을 갖는 것이 좋을 것입니다.”
코멘트