- - SolarWinds Log & Event Manager gegen Splunk - Ein vergleichender Rückblick

SolarWinds Log & Event Manager gegen Splunk - eine vergleichende Übersicht

Eine der wichtigsten - wenn nicht DIE meistenwichtig - das Kapital vieler heutiger Unternehmen sind ihre Daten. Es ist so wichtig und wertvoll, dass viele böswillige Personen oder Organisationen große Anstrengungen unternehmen, um diese wertvollen Daten zu stehlen. Sie verwenden dabei eine Vielzahl von Techniken und Technologien, um unbefugten Zugriff auf Netzwerke und Systeme zu erlangen. Die Anzahl solcher Versuche scheint ständig exponentiell zuzunehmen. Um dies zu verhindern, werden Systeme namens Intrusion Prevention Systems (IPS) von Unternehmen eingesetzt, die ihre Datenbestände schützen möchten. Das SolarWinds Log & Event Manager ebenso gut wie Splunk sind zwei unkonventionelle Produkte in diesem Bereich. Heute vergleichen wir die beiden.

Wir beginnen unsere Erkundung mit einem Blick aufIntrusion Prevention im Allgemeinen. Es wird helfen, den Tisch für das, was kommt, zu decken. Wir werden versuchen, es so wenig technisch wie möglich zu machen. Unsere Idee ist nicht, Sie zu Experten für Intrusion Prevention zu machen, sondern sicherzustellen, dass wir alle auf einer Seite sind, während wir beide Produkte weiter erforschen. Wenn wir über die Erforschung der Produkte sprechen, ist dies das, was wir als nächstes haben. Zunächst werden die Hauptfunktionen des SolarWinds Log & Event Managers beschrieben. Anschließend werden die Stärken und Schwächen des Produkts sowie seine Vor- und Nachteile, die von den Nutzern der Plattform gemeldet wurden, untersucht und eine Übersicht erstellt einen Blick auf die Preis- und Lizenzstruktur des Produkts werfen. Wir werden Splunk dann anhand eines identischen Formats mit den Produktmerkmalen, seinen Stärken und Schwächen, seinen Vor- und Nachteilen und seiner Preisstruktur überprüfen. Abschließend werden wir abschließen, was die Nutzer zu den beiden Produkten zu sagen haben.

Intrusion Prevention - Worum geht es?

Vor Jahren waren Viren so ziemlich die einzigenBedenken von Systemadministratoren. Viren kamen an einen Punkt, an dem sie so verbreitet waren, dass die Branche mit der Entwicklung von Virenschutz-Tools reagierte. Heutzutage würde kein seriöser Benutzer, der bei Verstand ist, daran denken, einen Computer ohne Virenschutz zu betreiben. Obwohl wir nicht mehr viel von Viren hören, ist das Eindringen oder der unbefugte Zugriff böswilliger Benutzer auf Ihre Daten eine neue Bedrohung. Da Daten häufig das wichtigste Kapital eines Unternehmens sind, sind Unternehmensnetzwerke zum Ziel von Hackern geworden, die mit großer Anstrengung Zugang zu Daten erlangen. So wie Virenschutzsoftware die Antwort auf die Verbreitung von Viren war, ist Intrusion Prevention Systems die Antwort auf Eindringlingsangriffe.

Intrusion Prevention-Systeme machen im Wesentlichen zweiDinge. Erstens erkennen sie Einbruchsversuche und verwenden verschiedene Methoden, um verdächtige Aktivitäten zu stoppen oder zu blockieren. Es gibt zwei verschiedene Möglichkeiten, Eindringversuche zu erkennen. Die signaturbasierte Erkennung analysiert den Netzwerkverkehr und die Daten und sucht nach bestimmten Mustern, die mit Eindringversuchen verbunden sind. Dies ähnelt herkömmlichen Virenschutzsystemen, die auf Virendefinitionen basieren. Die signaturbasierte Aufschaltungserkennung basiert auf Aufschaltungssignaturen oder -mustern. Der Hauptnachteil dieser Erkennungsmethode besteht darin, dass die richtigen Signaturen in die Software geladen werden müssen. Bei einer neuen Angriffsmethode dauert es normalerweise eine Weile, bis die Angriffssignaturen aktualisiert werden. Einige Anbieter können sehr schnell aktualisierte Angriffssignaturen bereitstellen, während andere viel langsamer sind. Wie oft und wie schnell Signaturen aktualisiert werden, ist ein wichtiger Faktor bei der Auswahl eines Anbieters.

Die Erkennung von Anomalien bietet einen besseren SchutzBei Zero-Day-Angriffen hatten diejenigen, die vor Erkennungssignaturen aufgetreten sind, eine Chance, aktualisiert zu werden. Der Prozess sucht nach Anomalien, anstatt zu versuchen, bekannte Einbruchsmuster zu erkennen. Beispielsweise würde es ausgelöst, wenn jemand mehrmals hintereinander versucht, mit einem falschen Kennwort auf ein System zuzugreifen, ein häufiges Anzeichen für einen Brute-Force-Angriff. Dies ist nur ein Beispiel. In der Regel gibt es Hunderte verschiedener verdächtiger Aktivitäten, die diese Systeme auslösen können. Beide Nachweismethoden haben Vor- und Nachteile. Die besten Tools sind diejenigen, die eine Kombination aus Signatur- und Verhaltensanalyse für den besten Schutz verwenden.

Das Erkennen eines Angriffsversuchs ist einer der ersten Teilevon ihnen zu verhindern. Einmal erkannt, arbeiten Intrusion Prevention-Systeme aktiv daran, die erkannten Aktivitäten zu stoppen. Diese Systeme können verschiedene Abhilfemaßnahmen ergreifen. Sie könnten beispielsweise Benutzerkonten sperren oder auf andere Weise deaktivieren. Eine andere typische Aktion ist das Blockieren der Quell-IP-Adresse des Angriffs oder das Ändern von Firewall-Regeln. Wenn böswillige Aktivitäten von einem bestimmten Prozess ausgehen, kann das Präventionssystem den Prozess abbrechen. Das Starten eines Schutzprozesses ist eine weitere häufige Reaktion. Im schlimmsten Fall können ganze Systeme heruntergefahren werden, um mögliche Schäden zu begrenzen. Eine weitere wichtige Aufgabe von Intrusion Prevention Systems besteht darin, Administratoren zu warnen, das Ereignis aufzuzeichnen und verdächtige Aktivitäten zu melden.

Passive Intrusion Prevention-Maßnahmen

Während Intrusion Prevention Systeme schützen könnenSie gegen zahlreiche Arten von Angriffen, nichts geht über gute, altmodische passive Intrusion Prevention-Maßnahmen. Das Erzwingen sicherer Kennwörter ist beispielsweise eine hervorragende Möglichkeit, sich vor vielen Eindringlingen zu schützen. Eine weitere einfache Schutzmaßnahme ist das Ändern der Standardkennwörter für Geräte. Während dies in Unternehmensnetzwerken seltener vorkommt - obwohl es nicht ungewöhnlich ist -, habe ich nur zu oft Internet-Gateways gesehen, die noch ihr Standard-Administratorkennwort hatten. Das Altern von Passwörtern ist ein weiterer konkreter Schritt, um Eindringversuche zu reduzieren. Jedes Passwort, auch das beste, kann mit genügend Zeit geknackt werden. Die Kennwortalterung stellt sicher, dass Kennwörter geändert werden, bevor sie geknackt wurden.

Der SolarWinds Log & Event Manager (KOSTENLOSE Testversion verfügbar)

SolarWinds ist ein bekannter Name in der Netzwerkadministration. Es genießt den guten Ruf, einige der besten Tools für die Netzwerk- und Systemadministration zu entwickeln. Sein Flaggschiffprodukt, das Netzwerkleistungsmonitor Passt durchweg zu den besten verfügbaren Tools zur Überwachung der Netzwerkbandbreite. SolarWinds ist auch bekannt für seine vielen kostenlosen Tools, die jeweils auf einen bestimmten Bedarf von Netzwerkadministratoren zugeschnitten sind. Das Kiwi Syslog Server oder der SolarWinds TFTP Sirren sind zwei hervorragende Beispiele für diese kostenlosen Tools.

Lass das nicht zu SolarWinds Log & Event ManagerDer Name täuscht dich. Es steckt viel mehr dahinter als man denkt. Einige der fortschrittlichen Funktionen dieses Produkts qualifizieren es als System zur Erkennung und Verhinderung von Eindringlingen, während andere es in die SIEM-Produktreihe (Security Information and Event Management) aufnehmen. Das Tool bietet beispielsweise Echtzeit-Ereigniskorrelation und Echtzeit-Korrektur.

SolarWinds LEM - Dashboard

  • KOSTENLOSE TESTPHASE: SolarWinds Log & Event Manager
  • Download-Link: https://www.solarwinds.com/log-event-manager-software/registration

Das SolarWinds Log & Event Manager bietet sofortige Erkennung von verdächtigenAktivität (eine Intrusion Detection-Funktion) und automatisierte Reaktionen (eine Intrusion Prevention-Funktion). Mit diesem Tool können auch Sicherheitsereignisuntersuchungen und forensische Untersuchungen durchgeführt werden. Es kann zu Schadensbegrenzungs- und Compliance-Zwecken verwendet werden. Das Tool verfügt über revisionssichere Berichte, mit denen auch die Einhaltung verschiedener regulatorischer Rahmenbedingungen wie HIPAA, PCI-DSS und SOX nachgewiesen werden kann. Das Tool verfügt auch über die Überwachung der Dateiintegrität und des USB-Geräts. Alle fortschrittlichen Funktionen der Software machen sie mehr zu einer integrierten Sicherheitsplattform als nur zu einem Protokoll- und Ereignisverwaltungssystem, von dem Sie glauben, dass es sich um ein solches handelt.

Die Intrusion Prevention-Funktionen der SolarWinds Log & Event Manager funktioniert durch die Implementierung von Aktionen namens ActiveReagiert, wenn Bedrohungen erkannt werden. Unterschiedliche Antworten können mit bestimmten Warnungen verknüpft werden. Das System kann beispielsweise in Firewall-Tabellen schreiben, um den Netzwerkzugriff auf eine Quell-IP-Adresse zu blockieren, die als verdächtig eingestuft wurde. Das Tool kann auch Benutzerkonten sperren, Prozesse stoppen oder starten und Systeme herunterfahren. Sie werden sich erinnern, wie genau dies die zuvor identifizierten Korrekturmaßnahmen sind.

Stärken und Schwächen

Laut Gartner ist die SolarWinds Log & Event Manager "Bietet eine gut integrierte Lösung, die aAufgrund seiner einfachen Architektur, einfachen Lizenzierung und robusten, sofort einsatzbereiten Inhalte und Funktionen besonders gut für kleine und mittlere Unternehmen geeignet. “ Das Tool bietet mehrere Ereignisquellen sowie einige Funktionen zur Eindämmung von Bedrohungen und zur Quarantänesteuerung, die in Konkurrenzprodukten normalerweise nicht verfügbar sind.

Das Forschungsunternehmen stellt jedoch auch fest, dass dies der Fall istDas Produkt ist ein geschlossenes Ökosystem, das es schwierig macht, Sicherheitslösungen von Drittanbietern wie erweiterte Bedrohungserkennung, Bedrohungsdaten-Feeds und UEBA-Tools zu integrieren. Wie das Unternehmen schrieb: „Integrationen mit Service Desk-Tools sind auch auf eine Einweg-Konnektivität per E-Mail und SNMP beschränkt.“

Darüber hinaus die Überwachung von SaaS-Umgebungenwird vom Produkt nicht unterstützt und die Überwachung von IaaS ist begrenzt. Kunden, die ihre Überwachung auf Netzwerke und Anwendungen ausweiten möchten, müssen andere SolarWinds-Produkte erwerben.

SolarWinds LEM - Compliance-Berichte

  • KOSTENLOSE TESTPHASE: SolarWinds Log & Event Manager
  • Download-Link: https://www.solarwinds.com/log-event-manager-software/registration

Vor-und Nachteile

Wir haben die wichtigsten Vor- und Nachteile zusammengefasst, die Benutzer der SolarWinds Log & Event Manager gemeldet haben. Hier ist, was sie zu sagen haben.

Vorteile

  • Das Produkt ist unglaublich einfach einzurichten. Es wurde bereitgestellt und es wurden Protokollquellen darauf verwiesen. Innerhalb eines Tages wurden grundlegende Korrelationen durchgeführt.
  • Die automatisierten Antworten, die nach der Bereitstellung des Agenten verfügbar sind, geben Ihnen eine unglaubliche Kontrolle darüber, wie Sie auf Ereignisse in Ihrem Netzwerk reagieren können.
  • Die Benutzeroberfläche des Tools ist benutzerfreundlich. Einige konkurrierende Produkte können entmutigend sein, um zu lernen, wie man sie benutzt und sich daran gewöhnt, aber die SolarWinds Log & Event Manager hat ein intuitives Layout und ist sehr einfach zu erlernen und zu verwenden.

Nachteile

  • Das Produkt hat keinen benutzerdefinierten Parser. Es wird unvermeidlich ein Produkt in Ihrem Netzwerk geben, das The SolarWinds Log & Event Manager Ich kann nicht analysieren. Einige konkurrierende Lösungen nutzen aus diesem Grund benutzerdefinierte Parser. Dieses Produkt unterstützt keine benutzerdefinierten Parser. Daher werden unbekannte Protokollformate nicht analysiert.
  • Das Tool kann manchmal zu einfach sein. Es ist ein hervorragendes Werkzeug zur Durchführung grundlegender Korrelationen in einer kleinen bis mittelgroßen Umgebung. Wenn Sie jedoch versuchen, mit den Korrelationen, die Sie ausführen möchten, zu weit zu kommen, sind Sie möglicherweise frustriert über die mangelnde Funktionalität des Tools, die hauptsächlich auf die Art und Weise zurückzuführen ist, in der es Daten analysiert.

Preise und Lizenzierung

Preise für den SolarWinds Log & Event Managervariiert je nach Anzahl der überwachten Knoten. Die Preise beginnen bei 4.585 USD für bis zu 30 überwachte Knoten, und Lizenzen für bis zu 2500 Knoten können mit mehreren Lizenzierungsstufen dazwischen erworben werden, wodurch das Produkt hoch skalierbar wird. Wenn Sie das Produkt für einen Testlauf verwenden und selbst prüfen möchten, ob es für Sie geeignet ist, steht eine kostenlose 30-Tage-Testversion mit vollem Funktionsumfang zur Verfügung.

Splunk

Splunk ist möglicherweise eines der beliebtesten Intrusion Prevention-Systeme. Es ist in verschiedenen Editionen mit unterschiedlichen Funktionen erhältlich. Splunk Enterprise Security-oder Splunk ES, wie es oft genannt wird, ist das, was Sie für wahr brauchenEinbruchsprävention. Und das ist es, worauf wir heute schauen. Die Software überwacht die Daten Ihres Systems in Echtzeit auf Schwachstellen und Anzeichen abnormaler Aktivitäten. Obwohl sein Ziel, Einbrüche zu verhindern, ähnlich ist SolarWindsIst die Art und Weise, wie es erreicht wird, anders.

Splunk - Deep Dive Screenshot

Sicherheitsantwort ist eine der SplunkIst ein starker Anzug und macht es zu einem Intrusion Prevention System und einer Alternative zum SolarWinds Produkt gerade überprüft. Es wird das verwendet, was der Anbieter als Adaptive Response Framework (ARF). Das Tool lässt sich in Geräte von mehr als 55 Sicherheitsanbietern integrieren und kann automatisiert reagieren, manuelle Aufgaben beschleunigen und eine schnellere Reaktion ermöglichen. Die Kombination aus automatisierter Korrektur und manuellem Eingriff bietet Ihnen die besten Chancen, schnell die Oberhand zu gewinnen. Das Tool verfügt über eine einfache und übersichtliche Benutzeroberfläche, die eine erfolgreiche Lösung darstellt. Weitere interessante Schutzfunktionen sind dieBemerkenswerte”Funktion, die vom Benutzer anpassbare Warnungen und die“Asset Investigator“Um böswillige Aktivitäten zu melden und weitere Probleme zu verhindern.

Stärken und Schwächen

SplunkDas große Partner-Ökosystem bietet Integration und Splunk-spezifische Inhalte durch die Splunkbase Appstore. Die gesamte Lösungssuite des Anbieters erleichtert es Benutzern, im Laufe der Zeit in die Plattform einzusteigen, und erweiterte Analysefunktionen stehen in der gesamten Plattform auf verschiedene Arten zur Verfügung Splunk Ökosystem.

Auf der Unterseite, Splunk bietet keine Appliance-Version der Lösung an, und Gartner-Kunden äußerten Bedenken hinsichtlich des Lizenzmodells und der Implementierungskosten. Splunk hat neue Lizenzierungsansätze eingeführt, einschließlich des Enterprise Adoption Agreement (EAA).

Splunk - Health Score Screenshot

Vor-und Nachteile

Wie beim vorherigen Produkt finden Sie hier eine Liste der wichtigsten Vor- und Nachteile von Splunk.

Vorteile

  • Das Werkzeug sammelt sehr gut Protokolle von fast allen Maschinentypen - die meisten alternativen Produkte tun dies nicht so gut.
  • Splunk Bietet dem Benutzer visuelle Elemente, mit denen er Protokolle in visuelle Elemente wie Tortendiagramme, Diagramme, Tabellen usw. umwandeln kann.
  • Es ist sehr schnell in der Meldung und Warnung bei Anomalien. Es gibt wenig Verspätung.

Nachteile

  • SplunkDie Suchsprache von geht sehr tief. Einige der fortgeschritteneren Formatierungen oder statistischen Analysen erfordern jedoch eine gewisse Lernkurve. Splunk Für das Erlernen der Suchsprache und die Bearbeitung Ihrer Daten stehen Schulungen zur Verfügung, die jedoch zwischen 500,00 USD und 1 500,00 USD kosten können.
  • Die Dashboard-Funktionen des Tools sind recht gut, aber um aufregendere Visualisierungen zu erstellen, ist eine gewisse Entwicklung mit einfachem XML, Javascript und CSS erforderlich.
  • Der Anbieter veröffentlicht kleinere Revisionen sehr schnell, aber aufgrund der schieren Anzahl von Fehlern, auf die wir gestoßen sind, mussten wir unsere Umgebung innerhalb von neun Monaten viermal aktualisieren.

Preise und Lizenzierung

Splunk EnterpriseDer Preis richtet sich danach, wie viele Daten Sie insgesamt habenSende es jeden Tag. Es beginnt bei 150 USD / Monat mit bis zu 1 GB täglich aufgenommenen Daten. Mengenrabatte sind verfügbar. Dieser Preis beinhaltet unbegrenzte Benutzer, unbegrenzte Suchvorgänge, Echtzeitsuche, Analyse und Visualisierung, Überwachung und Alarmierung, Standard-Support und vieles mehr. Sie müssen sich an den Vertrieb von Splunk wenden, um ein detailliertes Angebot zu erhalten. Wie die meisten Produkte in dieser Preisklasse gibt es auch für diejenigen, die das Produkt ausprobieren möchten, eine kostenlose Testversion.

Was wurde über die beiden Produkte gesagt?

IT Central Station Benutzer geben SolarWinds 9 von 10 und Splunk 8 von 10 Punkten. Benutzer von Gartner Peer Insights kehren die Reihenfolge jedoch um und geben an, Splunk a 4,3 von 5 und SolarWinds eine 4 von 5.

Jeffrey Robinette, ein Systemingenieur bei Foxhole Technology, hat das geschrieben SolarWinds"Out-of-the-Box-Berichte und Dashboards sind eine wichtige Stärke. Sie ermöglichen es uns, den Zugriff zu überwachen und Cyberberichte schnell abzurufen." Kein Durchsuchen der Protokolle auf jedem Server mehr. “

Im Vergleich zu SplunkRobinette hat das gesagt SolarWinds erfordert nicht viel Anpassung und die Preise sind niedriger, als er schrieb Splunk dass „Sie einen Doktortitel brauchen. zum Anpassen der Berichte. “

Für Raul Lapaz, leitender IT-Sicherheitsmitarbeiter bei Rochewährend Splunk ist nicht billig, seine Benutzerfreundlichkeit, Skalierbarkeit, Stabilität, die Geschwindigkeit der Suchmaschine und die Kompatibilität mit einer Vielzahl von Datenquellen sind es wert.

Lapaz wies jedoch auf einige Mängel hin,B. die Tatsache, dass die Clusterverwaltung nur über die Befehlszeile erfolgen kann und die Berechtigungen nicht sehr flexibel sind. Er schrieb: "Es wäre schön, detailliertere Optionen zu haben, wie die Double-Factor-Authentifizierung."

Bemerkungen