- - 6 geriausios saugumo informacijos ir įvykių valdymo (SIEM) įrankiai, kuriuos verta patikrinti 2019 m

6 geriausios saugumo informacijos ir įvykių valdymo (SIEM) įrankiai, kuriuos verta patikrinti 2019 m

Tai ten džiunglės! Netyčia ketinančių asmenų yra visur ir jie seka jus. Na, tikriausiai ne jūs asmeniškai, o jūsų duomenys. Mes turime apsaugoti ne tik virusus, bet ir nuo visų rūšių atakų, kurios gali palikti jūsų tinklą ir organizaciją pavojingoje situacijoje. Dėl daugybės įvairių apsaugos sistemų, tokių kaip antivirusai, ugniasienės ir įsibrovimo aptikimo sistemos, tinklo administratoriai dabar yra užtvindyti informacija, kurią jie turi koreliuoti, bandydami ją įprasminti. Čia naudingos saugumo informacijos ir įvykių valdymo (SIEM) sistemos. Jie tvarko daugumą baisių darbų, susijusių su per daug informacijos tvarkymu. Kad jums būtų lengviau išsirinkti SIEM, pateiksime jums geriausius saugos informacijos ir įvykių valdymo (SIEM) įrankius.

Šiandien analizę pradedame aptardamišiuolaikinė grėsmės scena. Kaip jau minėjome, tai jau nėra vien virusai. Tada pabandysime geriau paaiškinti, kas tiksliai yra SIEM, ir pakalbėsime apie skirtingus komponentus, kurie sudaro SIEM sistemą. Kai kurie iš jų gali būti svarbesni už kitus, tačiau jų santykinė svarba skirtingiems žmonėms gali būti skirtinga. Galiausiai pateiksime savo pasirinkimą iš šešių geriausių saugos informacijos ir įvykių valdymo (SIEM) įrankių ir trumpai apžvelgsime kiekvieną iš jų.

Šiuolaikinė grėsmės scena

Kompiuterių saugumas buvo susijęs tik su virusaisapsauga. Tačiau pastaraisiais metais buvo atskleista keletas skirtingų išpuolių rūšių. Tai gali būti paslaugų atsisakymo (DoS) išpuoliai, duomenų vagystės ir daug daugiau. Ir jie nebėra tik iš išorės. Daugelis atakų kyla iš tinklo. Taigi, siekiant maksimalios apsaugos, buvo išrastos įvairių rūšių apsaugos sistemos. Be tradicinės antivirusinės ir ugniasienės, dabar turime, pavyzdžiui, įsilaužimo aptikimo ir duomenų praradimo prevencijos sistemas (IDS ir DLP).

Žinoma, kuo daugiau pridėsite sistemų, tuo daugiaudarbas, kurį turite jiems valdyti. Kiekviena sistema stebi kai kuriuos specifinius anomalijų parametrus ir juos registruoja ir (arba) suaktyvina perspėjimus, kai jie aptinkami. Ar ne puiku, jei visų šių sistemų stebėjimas galėtų būti automatizuotas? Be to, kai kurias atakų rūšis gali aptikti kelios sistemos, nes jos eina per skirtingus etapus. Ar nebūtų daug geriau, jei galėtumėte į visus susijusius įvykius reaguoti kaip vienas? Na, būtent apie tai ir kalbama.

Kas yra SIEM, tiksliai?

Vardas sako viską. Saugumo informacija ir įvykių valdymas yra saugumo informacijos ir įvykių valdymo procesas. Konkrečiai kalbant, SIEM sistema nesuteikia jokios apsaugos. Pagrindinis jo tikslas yra palengvinti tinklo ir saugos administratorių gyvenimą. Tai, kas iš tikrųjų yra tipiška SIEM sistema, yra informacijos rinkimas iš įvairių apsaugos ir aptikimo sistemų, visos šios informacijos koreliacija, susijusi su susijusiais įvykiais, ir įvairiais būdais reaguoja į reikšmingus įvykius. Dažnai į SIEM sistemas taip pat įeina tam tikros formos ataskaitos ir informacijos suvestinės.

Esminiai SIEM sistemos komponentai

Ketiname išsamiau išnagrinėti kiekvieną iš jųpagrindinis SIEM sistemos komponentas. Ne visose SIEM sistemose yra visi šie komponentai ir, net jei jie yra, jie gali turėti skirtingas funkcijas. Tačiau tai yra patys pagrindiniai komponentai, kuriuos paprastai galima rasti vienoje ar kitoje formoje bet kurioje SIEM sistemoje.

Rąstų rinkimas ir tvarkymas

Rąstų rinkimas ir tvarkymas yra pagrindinis dalykasvisų SIEM sistemų komponentas. Be jo nėra SIEM. SIEM sistema turi rinkti žurnalų duomenis iš įvairių šaltinių. Jis gali jį traukti, arba skirtingos aptikimo ir apsaugos sistemos gali jį nukreipti į SIEM. Kadangi kiekviena sistema turi savo būdą klasifikuoti ir registruoti duomenis, SIEM turi normalizuoti duomenis ir padaryti juos vienodus, nesvarbu, koks jų šaltinis.

Po normalizavimo dažnai bus registruoti duomenyspalyginti su žinomais išpuolių modeliais, bandant kuo anksčiau atpažinti kenkėjišką elgesį. Duomenys taip pat dažnai bus lyginami su anksčiau surinktais duomenimis, kad būtų lengviau sukurti pradinę situaciją, kuri dar labiau pagerins nenormalios veiklos aptikimą.

Atsakymas apie įvykį

Aptikus įvykį, reikia ką nors padarytiapie tai. Štai apie ką kalbama SIEM sistemos reagavimo į įvykius moduliu. Atsakas į įvykį gali būti įvairių formų. Paprasčiausias diegimo metu įspėjamasis pranešimas bus sugeneruotas sistemos konsolėje. Dažnai gali būti generuojami ir el. Pašto ar SMS pranešimai.

Tačiau geriausios SIEM sistemos žengia žingsnį toliau irdažnai inicijuos taisomąjį procesą. Vėlgi, tai gali būti įvairių formų. Geriausios sistemos turi visą reagavimo į įvykius darbo eigos sistemą, kurią galima pritaikyti taip, kad būtų užtikrintas būtent toks atsakymas, kokio norite. Kaip ir galima tikėtis, reagavimas į incidentus neturi būti vienodas, o skirtingi įvykiai gali sukelti skirtingus procesus. Geriausios sistemos leis jums visiškai valdyti reagavimo į įvykius darbo eigą.

Ataskaitų teikimas

Kai tik turėsite žurnalų rinkimą ir tvarkymąir veikiančias reagavimo sistemas, kitas reikalingas elementas yra ataskaitos. Gal dar nežinote, bet jums reikės ataskaitų. Aukščiausiajai vadovybei reikės, kad jie patys įsitikintų, kad jų investicijos į SIEM sistemą atsiperka. Jums taip pat gali prireikti ataskaitų atitikties tikslais. Atitiktis tokiems standartams kaip PCI DSS, HIPAA ar SOX gali būti lengviau, kai jūsų SIEM sistema gali generuoti atitikties ataskaitas.

Ataskaitos gali būti ne SIEM sistemos esmėtačiau vis tiek tai yra vienas esminių komponentų. Ir dažnai ataskaitų teikimas bus pagrindinis skiriantis veiksnys tarp konkuruojančių sistemų. Ataskaitos yra kaip saldainiai, niekada negali būti per daug. Ir, žinoma, geriausios sistemos leis jums kurti pasirinktines ataskaitas.

Prietaisų skydelis (-iai)

Paskutinis, bet ne mažiau svarbus dalykas - prietaisų skydelis bus jūsųlangas į jūsų SIEM sistemos būseną. Net gali būti keletas prietaisų skydelių. Kadangi skirtingi žmonės turi skirtingus prioritetus ir interesus, puikus tinklo administratoriaus prietaisų skydas skirsis nuo saugos administratoriaus. Taip pat vadovui reikės visiškai kitokio.

Nors negalime įvertinti SIEM sistemos pagalkiek prietaisų skydelių turi, turite pasirinkti tą, kuriame yra visas jums reikalingas prietaisų skydelis. Tai tikrai yra kažkas, ko norėsite atsiminti vertindami pardavėjus. Kaip ir ataskaitos, geriausios sistemos leis jums sukurti pritaikytus prietaisų skydus pagal savo skonį.

Mūsų populiariausi 6 SIEM įrankiai

Yra daugybė SIEM sistemų. Tiesą sakant, jų per daug, kad galėčiau čia visus peržiūrėti. Taigi, mes atlikome paiešką rinkoje, palyginome sistemas ir sudarėme sąrašą to, kas, mūsų manymu, buvo šeši geriausi saugumo informacijos ir valdymo (SIEM) įrankiai. Mes išvardijame juos pirmenybės tvarka ir trumpai apžvelgsime kiekvieną iš jų. Nepaisant jų užsakymo, visos šešios yra puikios sistemos, kurias galime tik rekomenduoti išbandyti patys.

Štai kokie yra 6 populiariausi SIEM įrankiai

  1. „SolarWinds“ žurnalų ir renginių tvarkyklė
  2. „Splunk“ įmonių sauga
  3. „RSA NetWitness“
  4. „ArcSight Enterprise“ saugos vadovas
  5. „McAfee Enterprise“ saugos vadovas
  6. „IBM QRadar SIEM“

1. „SolarWinds“ žurnalų ir renginių tvarkyklė (NEMOKAMAS 30 DIENŲ BANDYMAS)

„SolarWinds“ yra įprastas vardas tinklepasaulio stebėjimas. Jų pavyzdinis produktas „Network Performance Monitor“ yra vienas iš geriausių SNMP stebėjimo įrankių. Bendrovė taip pat žinoma dėl daugybės nemokamų įrankių, tokių kaip jų potinklio skaičiuoklė ar SFTP serveris.

„SolarWinds“ SIEM įrankis, „Log and Event Manager“(LEM) geriausiai apibūdinama kaip pradinio lygio SIEM sistema. Bet tai greičiausiai viena iš konkurencingiausių pradinio lygio sistemų rinkoje. „SolarWinds LEM“ turi viską, ko galite tikėtis iš SIEM sistemos. Jis turi puikias ilgo valdymo ir koreliacijos savybes bei įspūdingą ataskaitų teikimo variklį.

„SolarWinds LEM“ prietaisų skydelis

Kalbant apie įrankio reagavimo į įvykius ypatybes, josnepalikti nieko norimo. Išsami realaus laiko reagavimo sistema aktyviai reaguos į kiekvieną grėsmę. Ir kadangi tai paremta elgesiu, o ne parašu, esate apsaugoti nuo nežinomų ar būsimų grėsmių.

Bet turbūt geriausias yra prietaisų skydelisturtas. Naudodamiesi paprastu dizainu, jums nebus sunku greitai nustatyti anomalijas. Pradedant maždaug 4 500 USD, įrankis yra daugiau nei įperkamas. Ir jei norite pirmiausia išbandyti, galite atsisiųsti nemokamą visiškai funkcionalią 30 dienų bandomąją versiją.

Oficiali atsisiuntimo nuoroda: https://www.solarwinds.com/log-event-manager-software

2. „Splunk“ įmonių sauga

Galbūt viena iš populiariausių SIEM sistemų,„Splunk Enterprise Security“ arba „Splunk ES“, kaip ji dažnai vadinama, ypač garsėja savo analizės galimybėmis. „Splunk ES“ stebi jūsų sistemos duomenis realiu laiku, ieškodama pažeidžiamumų ir nenormalios veiklos požymių.

Atsakas į saugą yra dar vienas stiprus „Splunk ES“kostiumai. Sistema naudoja tai, ką „Splunk“ vadina Adaptive Response Framework (ARF), kuri integruota su daugiau nei 55 saugos tiekėjų įranga. ARF vykdo automatinį atsakymą, pagreitindamas rankinius veiksmus. Tai leis greitai įgyti aukštesnįjį pelną. Pridėkite prie šios paprastos ir neužtikrintos vartotojo sąsajos ir turėsite laimėtą sprendimą. Kitos įdomios funkcijos yra „Notables“ funkcija, rodanti vartotojo pritaikomus įspėjimus, ir „Turto tyrėjas“, kad būtų galima pažymėti kenkėjišką veiklą ir užkirsti kelią tolesnėms problemoms.

Splunk ES rizikos analizė

„Splunk ES“ yra tikrai įmonės lygio produktasir ji pateikiama su įmonės dydžio etikete. Net negalite gauti informacijos apie kainodarą iš „Splunk“ tinklalapio. Norėdami gauti kainą, turite susisiekti su pardavimo skyriumi. Nepaisant kainos, tai puikus produktas, todėl galbūt norėsite susisiekti su „Splunk“ ir pasinaudoti nemokamu bandomuoju variantu.

3. „RSA NetWitness“

Nuo 2001 m .6 „NetWitness“ daugiausia dėmesio skyrė gaminiamsremti „gilų realaus laiko tinklo situacijos suvokimą ir greitą tinklo atsaką“. Po įsigijimo EMC, kuris vėliau susijungė su „Dell“, „Newitness“ verslas dabar priklauso korporacijos RSA filialui. Ir tai yra gera žinia, „RSA“ yra garsus saugumo vardas.

„RSA NetWitness“ yra ideali vieta ieškančioms organizacijomspilną tinklo analizės sprendimą. Įrankis apima informaciją apie jūsų verslą, kuris padeda nustatyti perspėjimų prioritetus. Anot RSA, sistema „renka duomenis daugiau gaudymo taškų, skaičiavimo platformų ir grėsmės žvalgybos šaltinių nei kiti SIEM sprendimai“. Taip pat yra patobulintas grėsmių aptikimas, apjungiantis elgesio analizę, duomenų mokslo metodus ir žvalgybos informaciją. Galiausiai, pažangioji reagavimo sistema gali pasigirti orkestravimo ir automatizavimo galimybėmis, leidžiančiomis atsikratyti grėsmių, prieš pašalinant jas į jūsų verslą.

„RSA NetWitness“

Vienas iš pagrindinių „RSA NetWitness“ trūkumų yrakad tai nėra lengviausia naudoti ir konfigūruoti. Tačiau yra išsami dokumentacija, kuri gali padėti nustatyti ir naudoti gaminį. Tai yra dar vienas įmonės lygio produktas, ir jums reikės susisiekti su pardavėjais, kad gautumėte informacijos apie kainodarą.

4. „ArcSight Enterprise“ saugos vadovas

„ArcSight Enterprise Security Manager“ padedaidentifikuoti ir nustatyti prioritetus saugumo grėsmėms, organizuoti ir sekti reagavimo į incidentus veiksmus ir supaprastinti audito bei atitikties veiklą. Anksčiau parduotas su HP prekės ženklu, dabar jis susijungė su kita „Microsoft“ dukterine įmone „Micro Focus“.

Būdamas daugiau nei penkiolika metų,„ArcSight“ yra dar vienas nepaprastai populiarus SIEM įrankis. Jis kaupia žurnalo duomenis iš įvairių šaltinių ir atlieka išsamią duomenų analizę, ieškodamas kenksmingos veiklos požymių. Kad būtų lengva greitai nustatyti grėsmes, galite peržiūrėti „real0tme“ analizės rezultatus.

„ArcSight“ komandos centras

Čia yra pagrindinės produktų savybės. Jis turi galingą paskirstytą realaus laiko duomenų koreliaciją, darbo eigos automatizavimą, saugumo organizavimą ir bendruomenės pagrįstą saugos turinį. „Enterprise Security Manager“ taip pat integruojasi su kitais „ArcSight“ produktais, tokiais kaip „ArcSight“ duomenų platforma ir „Event Broker“ ar „ArcSight Investigate“. Tai dar vienas įmonės lygio produktas, kaip ir beveik visi kokybiški SIEM įrankiai, todėl norint susisiekti su „ArcSight“ pardavimo komanda, reikės informacijos apie kainodarą.

5. „McAfee Enterprise“ saugos vadovas

McAfee yra neabejotinai dar vienas namų ūkio vardassaugumo pramonė. Tačiau jis geriau žinomas dėl apsaugos nuo virusų. „Enterprise“ saugos vadovas nėra tik programinė įranga. Tai iš tikrųjų yra prietaisas. Galite gauti virtualią ar fizinę formą.

Kalbant apie savo analizės galimybes,„McAfee Enterprise Security Manager“ daugelis yra laikomas geriausiu SIEM įrankiu. Sistema renka žurnalus įvairiuose įrenginiuose. Kalbant apie jo normalizavimo galimybes, jis taip pat yra aukščiausios klasės. Koreliacijos variklis lengvai kaupia skirtingus duomenų šaltinius, kad būtų lengviau aptikti saugumo įvykius, kai jie įvyksta

„McAfee Enterprise“ saugos vadovas

Tiesa sakant, „McAfee“ sprendime yra daugiaune tik įmonės saugos vadybininkas. Norėdami gauti pilną SIEM sprendimą, jums taip pat reikia „Enterprise Log Manager“ ir įvykių imtuvo. Laimei, visus produktus galima supakuoti į vieną prietaisą. Tiems iš jūsų, kurie gali norėti išbandyti produktą prieš pirkdami jį, yra nemokamas bandomasis laikotarpis.

6. „IBM QRadar“

IBM, galbūt geriausiai žinomas vardas IT srityjepramonei pavyko sukurti savo SIEM sprendimą, „IBM QRadar“ yra vienas geriausių produktų rinkoje. Įrankis suteikia saugumo analitikams galimybę nustatyti anomalijas, atskleisti išplėstines grėsmes ir realiu laiku pašalinti klaidingus teiginius.

„IBM QRadar“ gali pasigirti rinkiniu žurnalų tvarkymo, duomenųrinkimo, analizės ir įsilaužimo aptikimo funkcijos. Kartu jie padeda palaikyti jūsų tinklo infrastruktūrą. Taip pat yra rizikos modeliavimo analizė, kuri gali imituoti galimas atakas.

„IBM QRadar“ informacijos suvestinė

Kai kurios pagrindinės „QRadar“ funkcijos yra galimybėdiegti tirpalą vietoje ar debesies aplinkoje. Tai yra modulinis sprendimas, galintis greitai ir nebrangiai pridėti daugiau duomenų apdorojimo galios. Sistema naudoja „IBM X-Force“ intelekto žinias ir sklandžiai integruojasi su šimtais IBM ir ne IBM produktų.

Jei IBM yra IBM, galite tikėtis sumokėti priemoką už jų SIEM sprendimą. Bet jei jums reikia vieno iš geriausių SIEM įrankių rinkoje, „QRadar“ gali būti verta investuoti.

Apibendrinant

Vienintelė problema, kurią rizikuojate patirti pirkdamigeriausias saugumo informacijos ir įvykių stebėjimo (SIEM) įrankis yra puikių galimybių gausa. Ką tik pristatėme geriausius šešis. Visi jie yra puikus pasirinkimas. Tai, kurį pasirinksite, labai priklausys nuo tikslių jūsų poreikių, biudžeto ir laiko, kurį ketinate skirti jo nustatymui. Deja, pradinė konfigūracija visada yra pati sunkiausia dalis, ir ten gali nutikti, jei SIEM įrankis nebus tinkamai sukonfigūruotas, jis negalės tinkamai atlikti savo darbo.

50 - 2300 tekstas

Taip pat skaitykite

Kaip patikrinti, ar Windows 10 paprastai išsijungia
„MyEventViewer“ yra minimalistinė „Windows“ įvykių peržiūros priemonės alternatyva
„Rainlender“: estetinis renginių valdymo įrankis su kalendoriaus apžvalga
„Windows 7“: kas yra sąskaitos auditas ir kaip jį įgalinti
5 geriausios debesų registravimo paslaugos 2019 m
6 geriausi „Linux“ žurnalo valdymo įrankiai 2019 m
„SolarWinds“ grėsmių monitorius - APŽVALGA 2019 (patobulintas grėsmės aptikimas ir stebėjimas)
6 geriausios priimančiosios įsibrovimo aptikimo sistemos (HIDS) 2019 m
14 geriausių tinklo saugumo įrankių saugesnei aplinkai 2019 m
8 geriausia žurnalų tvarkymo programinė įranga greitesniam trikčių šalinimui
„Android“ biudžetas: veiksminga išlaidų valdymo programa renginiams
Kaip pridėti jubiliejų prie „iOS“ kalendoriaus

Komentarai