- - 6 labākie drošības informācijas un notikumu pārvaldības (SIEM) rīki, kurus vērts pārbaudīt 2019. gadā

6 labākie drošības informācijas un notikumu pārvaldības (SIEM) rīki, kurus vērts pārbaudīt 2019. gadā

Tie ir džungļi, kas tur atrodas! Ļaunprātīgi cilvēki ir visur, un viņi seko jums. Nu, iespējams, ne jūs personīgi, bet drīzāk jūsu dati. Mums vairs nav jāaizsargā tikai pret vīrusiem, bet arī visa veida uzbrukumiem, kas var atstāt jūsu tīklu un jūsu organizāciju briesmīgā situācijā. Tā kā ir izplatītas dažādas aizsardzības sistēmas, piemēram, pretvīrusi, ugunsmūri un ielaušanās atklāšanas sistēmas, tīkla administratori tagad ir pārpludināti ar informāciju, kas viņiem ir jākoriģē, cenšoties to saprast. Šeit noder drošības informācijas un notikumu pārvaldības (SIEM) sistēmas. Viņi apstrādā lielāko daļu no šausmīgajiem darbiem, kas saistīti ar pārāk daudz informācijas. Lai atvieglotu jūsu izvēli SIEM, mēs jums piedāvājam labākos drošības informācijas un notikumu pārvaldības (SIEM) rīkus.

Šodien mēs sākam savu analīzi, apspriežotmūsdienu draudu ainava. Kā jau teicām, tas vairs nav tikai vīrusi. Tad mēs mēģināsim labāk izskaidrot, kas īsti ir SIEM, un runāsim par dažādiem komponentiem, kas veido SIEM sistēmu. Daži no tiem varētu būt svarīgāki par citiem, taču dažādiem cilvēkiem to relatīvā nozīme var būt atšķirīga. Visbeidzot, mēs iepazīstināsim ar mūsu piedāvātajiem sešiem labākajiem drošības informācijas un notikumu pārvaldības (SIEM) rīkiem un īsu pārskatu par katru no tiem.

Mūsdienu draudu ainava

Datoru drošība bija saistīta tikai ar vīrusiemaizsardzība. Bet pēdējos gados ir atklāti vairāki dažādi uzbrukumi. Tās var izpausties kā pakalpojumu atteikšanas (DoS) uzbrukumi, datu zādzības un daudz kas cits. Un tie vairs nenāk tikai no ārpuses. Daudzi uzbrukumi rodas no tīkla. Tātad, lai nodrošinātu pilnīgu aizsardzību, ir izgudroti dažādi aizsardzības sistēmu veidi. Papildus tradicionālajam pretvīrusu un ugunsmūrim mums tagad ir, piemēram, arī ielaušanās atklāšanas un datu zaudēšanas novēršanas sistēmas (IDS un DLP).

Protams, jo vairāk jūs pievienojat sistēmas, jo vairākdarbs, kuru jūs tos pārvaldāt. Katra sistēma uzrauga dažus īpašus noviržu parametrus un reģistrē tos un / vai izsauc brīdinājumus, kad tie tiek atklāti. Vai nebūtu jauki, ja visu šo sistēmu uzraudzību varētu automatizēt? Turklāt dažus uzbrukumu veidus varēja atklāt vairākas sistēmas, jo tie iziet dažādos posmos. Vai nebūtu daudz labāk, ja jūs pēc tam varētu reaģēt uz visiem saistītajiem notikumiem kā viens? Nu, tieši par to ir domāts SIEM.

Kas tieši ir SIEM?

Nosaukums to visu pasaka. Drošības informācija un notikumu pārvaldība ir drošības informācijas un notikumu pārvaldības process. Konkrēti, SIEM sistēma nesniedz nekādu aizsardzību. Tās galvenais mērķis ir atvieglot tīkla un drošības administratoru dzīvi. Tipiska SIEM sistēma patiesībā ir informācijas savākšana no dažādām aizsardzības un atklāšanas sistēmām, visa šīs informācijas korelācija ar saistīto notikumu apkopošanu un dažādos veidos reaģē uz nozīmīgiem notikumiem. Bieži vien SIEM sistēmās būs arī kāda veida pārskati un informācijas paneļi.

SIEM sistēmas galvenie komponenti

Katru mēs gatavojamies izpētīt sīkākgalvenā SIEM sistēmas sastāvdaļa. Ne visās SIEM sistēmās ir ietverti visi šie komponenti, un pat tad, ja tie to dara, tām varētu būt dažādas funkcijas. Tomēr tie ir visvienkāršākie komponenti, kurus parasti vienā vai otrā formā varētu atrast jebkurā SIEM sistēmā.

Baļķu vākšana un pārvaldība

Žurnālu vākšana un pārvaldība ir galvenāvisu SIEM sistēmu sastāvdaļa. Bez tā nav SIEM. SIEM sistēmai jāiegūst žurnāla dati no dažādiem avotiem. Tas var vai nu vilkt, vai arī dažādas atklāšanas un aizsardzības sistēmas var virzīt to uz SIEM. Tā kā katrai sistēmai ir savs veids, kā klasificēt un reģistrēt datus, SIEM ir pienākums datus normalizēt un padarīt tos vienveidīgus neatkarīgi no tā avota.

Pēc normalizēšanas bieži būs reģistrētie datisalīdzinot ar zināmajiem uzbrukumu modeļiem, mēģinot pēc iespējas agrāk atpazīt ļaunprātīgu rīcību. Dati arī bieži tiks salīdzināti ar iepriekš savāktajiem datiem, lai palīdzētu izveidot bāzes līniju, kas vēl vairāk uzlabos patoloģiskas aktivitātes noteikšanu.

Pasākuma reakcija

Kad notikums ir atklāts, kaut kas jādarapar to. Par to ir domāts SIEM sistēmas reakcijas modulis. Pasākuma reakcija var notikt dažādos veidos. Visvienkāršākajā ieviešanā trauksmes ziņojums tiks ģenerēts sistēmas konsolē. Bieži vien var tikt ģenerēti arī e-pasta vai SMS brīdinājumi.

Bet labākās SIEM sistēmas iet soli tālāk unbieži uzsāks kādu stāvokļa izlabošanas procesu. Atkal tas ir kaut kas ļoti daudzveidīgs. Labākajām sistēmām ir pilnīga negadījumu reaģēšanas darbplūsmas sistēma, kuru var pielāgot, lai nodrošinātu tieši vēlamo reakciju. Un, kā varētu gaidīt, negadījumu reakcijai nav jābūt vienveidīgai, un dažādi notikumi var izraisīt dažādus procesus. Labākās sistēmas ļaus jums pilnībā kontrolēt negadījumu reaģēšanas darbplūsmu.

Ziņošana

Kad esat saņēmis žurnālu savākšanu un pārvaldībuun reaģēšanas sistēmas ir ieviestas, nākamais nepieciešamais bloks ir ziņošana. Jūs, iespējams, to vēl nezināt, bet jums būs nepieciešami pārskati. Augstākajai vadībai būs nepieciešams, lai viņi paši pārliecinātos, ka viņu ieguldījums SIEM sistēmā atmaksājas. Jums varētu būt nepieciešami arī pārskati atbilstības nolūkos. Atbilstību tādiem standartiem kā PCI DSS, HIPAA vai SOX var atvieglot, kad jūsu SIEM sistēma var ģenerēt atbilstības pārskatus.

Iespējams, ka ziņojumi nav SIEM sistēmas pamatābet tomēr tā ir viena būtiska sastāvdaļa. Bieži vien ziņošana būs būtisks atšķirīgais faktors starp konkurējošajām sistēmām. Pārskati ir kā konfektes, un to nekad nevar būt par daudz. Un, protams, labākās sistēmas ļaus jums izveidot pielāgotus pārskatus.

Informācijas panelis (-i)

Visbeidzot, informācijas panelis būs jūsulogs jūsu SIEM sistēmas statusā. Un varētu būt pat vairākas informācijas paneļi. Tā kā dažādiem cilvēkiem ir atšķirīgas prioritātes un intereses, ideāls tīkla administratora informācijas panelis atšķirsies no drošības administratora paneļa. Un arī izpildvarai būs vajadzīgs pavisam cits.

Lai gan mēs nevaram novērtēt SIEM sistēmu pēccik daudz informācijas paneļu ir, jums jāizvēlas tāds, kurā ir viss nepieciešamais (-ie) informācijas panelis (-i). Tas noteikti ir kaut kas, kas jums jāpatur prātā, vērtējot pārdevējus. Un tāpat kā pārskati, arī labākās sistēmas ļaus jums izveidot pielāgotus paneļu paneļus pēc jūsu vēlmēm.

Mūsu top 6 SIEM rīki

Tur ir daudz SIEM sistēmu. Patiesībā pārāk daudz, lai šeit varētu tos visus pārskatīt. Tātad, mēs esam pārmeklējuši tirgu, salīdzinājuši sistēmas un izveidojuši sarakstu ar to, kas, mūsuprāt, bija seši labākie drošības informācijas un pārvaldības (SIEM) rīki. Mēs tos uzskatām secībā pēc izvēles un īsumā pārskatīsim katru no tiem. Bet, neraugoties uz viņu pasūtījumu, visas sešas ir lieliskas sistēmas, kuras mēs varam tikai ieteikt izmēģināt pats.

Lūk, kādi ir mūsu 6 labākie SIEM rīki

  1. SolarWinds žurnālu un pasākumu pārvaldnieks
  2. Splunk uzņēmuma drošība
  3. RSA NetWitness
  4. ArcSight uzņēmuma drošības vadītājs
  5. McAfee Enterprise drošības vadītājs
  6. IBM QRadar SIEM

1. SolarWinds žurnālu un pasākumu pārvaldnieks (BEZMAKSAS 30 DIENU IZMĒRS)

SolarWinds ir parasts nosaukums tīklāpasaules uzraudzība. Viņu vadošais produkts - tīkla veiktspējas monitors - ir viens no labākajiem pieejamajiem SNMP uzraudzības rīkiem. Uzņēmums ir pazīstams arī ar daudzajiem bezmaksas rīkiem, piemēram, to apakštīkla kalkulatoru vai SFTP serveri.

SolarWinds SIEM rīks, žurnālu un notikumu pārvaldnieks(LEM) vislabāk raksturo kā sākuma līmeņa SIEM sistēmu. Bet tā, iespējams, ir viena no konkurētspējīgākajām sākuma līmeņa sistēmām tirgū. SolarWinds LEM ir viss, ko jūs varat sagaidīt no SIEM sistēmas. Tam ir izcilas ilgstošas ​​pārvaldības un korelācijas iespējas, kā arī iespaidīgs pārskatu veidošanas dzinējs.

SolarWinds LEM informācijas panelis

Rīka reakcijas uz notikumiem pazīmes ir tāsneatstājiet neko vēlamo. Detalizēta reālā laika reaģēšanas sistēma aktīvi reaģēs uz visiem draudiem. Un tā kā tā ir balstīta uz rīcību, nevis parakstu, jūs esat aizsargāts pret nezināmiem vai turpmākiem draudiem.

Bet, iespējams, rīka informācijas panelis ir vislabākaisaktīvs. Izmantojot vienkāršu dizainu, jums nebūs problēmu ātri noteikt novirzes. Sākot no aptuveni 4 500 USD, rīks ir vairāk nekā lēts. Un, ja vēlaties to izmēģināt vispirms, lejupielādēšanai ir pieejama bezmaksas pilnībā funkcionējoša 30 dienu izmēģinājuma versija.

Oficiālā lejupielādes saite: https://www.solarwinds.com/log-event-manager-software

2. Splunk uzņēmuma drošība

Iespējams, ka viena no populārākajām SIEM sistēmām,Splunk Enterprise Security jeb Splunk ES, kā to bieži sauc, ir īpaši slavena ar savām analītiskajām iespējām. Splunk ES uzrauga jūsu sistēmas datus reālā laikā, meklējot ievainojamības un patoloģiskas darbības pazīmes.

Drošības reakcija ir vēl viena no Splunk ES spēcīgajāmuzvalki. Sistēma izmanto to, ko Splunk sauc par adaptīvo reaģēšanas sistēmu (Adaptive Response Framework - ARF), kas tiek integrēta ar aprīkojumu no vairāk nekā 55 drošības pārdevējiem. ARF veic automātisku reakciju, paātrinot manuālos uzdevumus. Tas ļaus jums ātri iegūt virsroku. Pievienojiet tam vienkāršu un nepiesārņotu lietotāja interfeisu, un jums ir veiksmīgs risinājums. Pie citām interesantām funkcijām pieder funkcija Nozīmīgas lietas, kas parāda lietotājiem pielāgojamus brīdinājumus, un aktīvu izmeklētājs, lai apzīmētu ļaunprātīgas darbības un novērstu turpmākas problēmas.

Splunk ES riska analīze

Splunk ES ir patiešām uzņēmuma klases produktsun tas nāk ar uzņēmuma lieluma cenu zīmi. Jūs pat nevarat saņemt informāciju par cenām no Splunk vietnes. Lai iegūtu cenu, jums jāsazinās ar pārdošanas nodaļu. Neskatoties uz cenu, tas ir lielisks produkts, tāpēc jūs varētu sazināties ar Splunk un izmantot bezmaksas izmēģinājuma iespējas.

3. RSA NetWitness

Kopš 2001. gada6 NetWitness koncentrējas uz produktiematbalstot “dziļu, reālā laika tīkla situācijas apzināšanos un veiklu tīkla reakciju”. Pēc tam, kad to iegādājās EMC, kas pēc tam apvienojās ar Dell, Newitness bizness tagad ietilpst korporācijas RSA filiālē. Un tā ir laba ziņa. RSA ir slavens vārds drošībā.

RSA NetWitness ir ideāli piemērots organizācijām, kas meklēpilnīgs tīkla analītikas risinājums. Rīks iekļauj informāciju par jūsu biznesu, kas palīdz brīdinājumiem noteikt prioritāti. Saskaņā ar RSA teikto, sistēma “savāc datus vairāk uztveršanas punktos, skaitļošanas platformās un draudu izlūkošanas avotos nekā citi SIEM risinājumi”. Ir arī uzlabota draudu noteikšana, kas apvieno uzvedības analīzi, datu zinātnes paņēmienus un draudu izlūkošanu. Visbeidzot, uzlabotā reaģēšanas sistēma var lepoties ar orķestrēšanas un automatizācijas iespējām, lai palīdzētu atbrīvoties no draudiem, pirms tie ietekmē jūsu biznesu.

RSA NetWitness

Viens no galvenajiem RSA NetWitness trūkumiem irka to nav visvieglāk izmantot un konfigurēt. Tomēr ir pieejama visaptveroša dokumentācija, kas var jums palīdzēt izstrādājuma iestatīšanā un lietošanā. Šis ir vēl viens uzņēmuma līmeņa produkts, un, lai iegūtu informāciju par cenām, jums būs jāsazinās ar pārdevēju.

4. ArcSight Enterprise drošības vadītājs

ArcSight Enterprise drošības pārvaldnieks palīdzidentificēt un noteikt prioritātes drošības jomā, organizēt un izsekot negadījumu reaģēšanas darbībām un vienkāršot audita un atbilstības pasākumus. Iepriekš tas tika pārdots ar HP zīmolu, tagad tas ir apvienojies ar citu HP meitasuzņēmumu Micro Focus.

Esot jau vairāk nekā piecpadsmit gadus,ArcSight ir vēl viens ārkārtīgi populārs SIEM rīks. Tas apkopo žurnālu datus no dažādiem avotiem un veic plašu datu analīzi, meklējot ļaunprātīgas darbības pazīmes. Lai būtu viegli ātri noteikt draudus, varat apskatīt real0tme analīzes rezultātus.

ArcSight komandu centrs

Šeit ir aprakstītas produktu galvenās funkcijas. Tam ir jaudīga izplatīta reāllaika datu korelācija, darbplūsmas automatizācija, drošības organizēšana un sabiedrības virzīts drošības saturs. Uzņēmuma drošības vadītājs integrējas arī ar citiem ArcSight produktiem, piemēram, ArcSight datu platformu un Event Broker vai ArcSight Investigate. Šis ir vēl viens uzņēmuma līmeņa produkts, tāpat kā gandrīz visi kvalitatīvie SIEM rīki, un, lai iegūtu informāciju par cenām, jums būs jāsazinās ar ArcSight pārdošanas komandu.

5. McAfee Enterprise drošības vadītājs

McAfee noteikti ir vēl viens mājsaimniecības vārdsdrošības nozare. Tomēr tas ir labāk pazīstams ar vīrusu aizsardzības līdzekļiem. Enterprise drošības pārvaldnieks nav tikai programmatūra. Faktiski tā ir ierīce. Jūs to varat iegūt virtuālā vai fiziskā formā.

Analītisko iespēju ziņāMcAfee Enterprise Security Manager daudzi uzskata par vienu no labākajiem SIEM rīkiem. Sistēma apkopo žurnālus daudzās ierīcēs. Runājot par tā normalizācijas iespējām, tas ir arī visaugstākais. Korelācijas dzinējs viegli apkopo atšķirīgus datu avotus, padarot vieglāku drošības notikumu atklāšanu, kad tie notiek

McAfee Enterprise drošības vadītājs

Patiesību sakot, McAfee risinājumam ir vairāknekā tikai uzņēmuma drošības vadītājs. Lai iegūtu pilnīgu SIEM risinājumu, jums ir nepieciešams arī uzņēmuma žurnāla pārvaldnieks un notikumu uztvērējs. Par laimi, visus produktus var iesaiņot vienā ierīcē. Tiem no jums, kuri, iespējams, vēlēsities izmēģināt produktu pirms tā pirkšanas, ir pieejams bezmaksas izmēģinājums.

6. IBM QRadar

IBM, iespējams, vispazīstamākais nosaukums ITnozarei ir izdevies izveidot savu SIEM risinājumu, IBM QRadar ir viens no labākajiem produktiem tirgū. Šis rīks dod drošības analītiķiem iespēju atklāt novirzes, atklāt uzlabotus draudus un reālā laikā noņemt viltus pozitīvus.

IBM QRadar lepojas ar žurnālu pārvaldības un datu komplektukolekcijas, analītikas un ielaušanās atklāšanas funkcijas. Viņi kopā uztur jūsu tīkla infrastruktūru un darbojas. Pastāv arī riska modelēšanas analītika, kas var simulēt iespējamos uzbrukumus.

IBM QRadar informācijas panelis

Dažas no QRadar galvenajām funkcijām ietver iespējuizvietot risinājumu uz vietas vai mākoņu vidē. Tas ir modulārs risinājums, un tas ātri un lēti var pievienot vairāk apstrādes jaudas krātuves. Sistēma izmanto IBM X-Force izlūkošanas zināšanas un nemanāmi integrējas simtiem IBM un ārpus IBM izstrādājumu.

Tā kā IBM ir IBM, jūs varat gaidīt, ka maksāsit paaugstinātu cenu par viņu SIEM risinājumu. Bet, ja jums ir nepieciešams viens no labākajiem SIEM rīkiem tirgū, QRadar varētu būt vērts ieguldīt.

Noslēgumā

Vienīgā problēma, ar kuru jūs riskējat, iepērkotieslabākajam drošības informācijas un notikumu uzraudzības (SIEM) rīkam ir lielisku iespēju pārpilnība. Mēs tikko esam iepazīstinājuši ar labāko sešinieku. Visi no tiem ir lieliska izvēle. Jūsu izvēlētais būs lielā mērā atkarīgs no jūsu precīzajām vajadzībām, budžeta un laika, kuru jūs vēlēsities veltīt tā iestatīšanai. Sākotnējā konfigurācija vienmēr ir vissmagākā sastāvdaļa, un šajā gadījumā viss var noiet greizi, ja SIEM rīks nav pareizi konfigurēts, un tas nevarēs pareizi veikt savu darbu.

50. - 2300. teksts

Lasīt arī

Kā pārbaudīt, vai Windows 10 parasti izslēdzas
MyEventViewer ir minimāla alternatīva Windows notikumu skatītājam
Lietusceļš: estētisks notikumu pārvaldības rīks ar kalendāra pārskatu
Windows 7: Kas ir konta audits un kā to iespējot
Pieci labākie mākoņu apstrādes pakalpojumi 2019. gadā
6 labākie žurnālu pārvaldības rīki operētājsistēmai Linux 2019. gadā
SolarWinds draudu monitors - REVIEW 2019 (uzlabota draudu noteikšana un uzraudzība)
6 labākās uz resursiem balstītas ielaušanās atklāšanas sistēmas (HIDS) 2019. gadā
14 labākie tīkla drošības rīki drošākai videi 2019. gadā
8 labākā žurnālu pārvaldības programmatūra ātrai problēmu novēršanai
Android budžets: efektīva izdevumu pārvaldības lietotne notikumiem
Kā kalendārā pievienot jubileju operētājsistēmā iOS

Komentāri