Det er en jungel der ute! Personer med dårlig intensjon er overalt, og de er etter deg. Vel, sannsynligvis ikke deg personlig, men heller dataene dine. Det er ikke lenger bare virus vi må beskytte mot, men alle slags angrep som kan forlate nettverket ditt - og din organisasjon - i en alvorlig situasjon. På grunn av spredning av forskjellige beskyttelsessystemer som antivirus, brannmurer og inntrengingsdeteksjonssystemer, oversvømmes nå nettverksadministratorer med informasjon som de må korrelere, og prøver å forstå det. Det er her SIEM-systemer (Security Information and Event Management) er nyttige. De takler det meste av det grusomme arbeidet med å håndtere for mye informasjon. For å gjøre jobben din med å velge en SIEM enklere, presenterer vi deg de beste verktøyene for sikkerhetsinformasjon og hendelsesstyring (SIEM).
I dag begynner vi analysen med å diskuteremoderne trusselscene. Som vi sa, det er ikke lenger bare virus lenger. Deretter vil vi prøve å forklare hva SIEM er nøyaktig og snakke om de forskjellige komponentene som lager et SIEM-system. Noen av dem kan være viktigere enn andre, men deres relative betydning kan være forskjellig for forskjellige mennesker. Og til slutt presenterer vi vårt utvalg av de seks beste SIEM-verktøyene (Security Information and Event Management) og kort gjennomgår hvert av dem.
Den moderne trusselscenen
Datasikkerhet pleide å være omtrent virusbeskyttelse. Men de siste årene har flere forskjellige typer angrep blitt avdekket. De kan ta form av angrep på tjenestenektesak, datatyveri og mange flere. Og de kommer ikke lenger bare utenfra. Mange angrep stammer fra et nettverk. Så for den ultimate beskyttelsen er det blitt oppfunnet forskjellige typer beskyttelsessystemer. I tillegg til det tradisjonelle antivirus- og brannmuren har vi nå for eksempel systemer for inntrenging av deteksjon og datatap (IDS og DLP).
Selvfølgelig, jo mer du legger til systemer, jo merarbeid du har å administrere dem. Hvert system overvåker noen spesifikke parametere for abnormiteter og vil logge dem og / eller utløse varsler når de blir oppdaget. Ville det ikke være fint om overvåkingen av alle disse systemene kunne automatiseres? Videre kan noen typer angrep oppdages av flere systemer når de går gjennom forskjellige stadier. Ville det ikke være mye bedre hvis du da kunne svare på alle relaterte hendelser som en? Dette er akkurat hva SIEM handler om.
Hva er SIEM, nøyaktig?
Navnet sier alt. Sikkerhetsinformasjon og hendelsesstyring er prosessen med å håndtere sikkerhetsinformasjon og hendelser. Konkret gir ikke et SIEM-system noen beskyttelse. Dets primære formål er å gjøre livet til nettverks- og sikkerhetsadministratorer enklere. Hva et typisk SIEM-system virkelig gjør er å samle informasjon fra forskjellige beskyttelses- og deteksjonssystemer, korrelere all denne informasjonen som samler relaterte hendelser, og reagerer på meningsfylte hendelser på forskjellige måter. Ofte vil SIEM-systemer også inkludere en form for rapportering og dashbord.
De essensielle komponentene i et SIEM-system
Vi er i ferd med å utforske i dypere detaljer hverhovedkomponent i et SIEM-system. Ikke alle SIEM-system inkluderer alle disse komponentene, og selv når de gjør det, kan de ha forskjellige funksjoner. Imidlertid er de de mest grunnleggende komponentene som man vanligvis vil finne, i en eller annen form, i ethvert SIEM-system.
Loggsamling og styring
Loggsamling og styring er det viktigstekomponent i alle SIEM-systemer. Uten det er det ingen SIEM. SIEM-systemet må skaffe loggdata fra en rekke forskjellige kilder. Den kan enten trekke den, eller forskjellige deteksjons- og beskyttelsessystemer kan skyve den til SIEM. Siden hvert system har sin egen måte å kategorisere og registrere data, er det opp til SIEM å normalisere data og gjøre dem enhetlige, uansett hva kilden er.
Etter normalisering vil ofte loggførte data væresammenlignet med kjente angrepsmønstre i et forsøk på å gjenkjenne ondsinnet atferd så tidlig som mulig. Data vil også ofte bli sammenlignet med tidligere innsamlede data for å bidra til å bygge en grunnlinje som vil forbedre unormal aktivitetsdeteksjon ytterligere.
Hendelsesrespons
Når en hendelse er oppdaget, må noe gjøresom det. Dette er hva begivenhetsresponsmodulen for SIEM-systemet handler om. Arrangementsvaret kan ta forskjellige former. I sin mest grunnleggende implementering vil det bli generert en varselmelding på systemets konsoll. Ofte kan det også genereres e-post- eller SMS-varsler.
Men de beste SIEM-systemene går et skritt videre ogvil ofte starte noen utbedringsprosesser. Igjen, dette er noe som kan ta mange former. De beste systemene har et komplett arbeidsflytsystem for hendelsesrespons som kan tilpasses for å gi nøyaktig svaret du ønsker. Og som man kunne forvente, trenger ikke hendelsesrespons være ensartet og forskjellige hendelser kan utløse forskjellige prosesser. De beste systemene vil gi deg full kontroll over arbeidsflyten ved hendelsen.
rapportering
Når du har loggsamlingen og styringenog responssystemene på plass, rapporterer neste byggestein du trenger. Du vet kanskje ikke det ennå, men du trenger rapporter. Den øverste ledelsen vil trenge at de selv skal se at investeringene deres i et SIEM-system lønner seg. Du kan også trenge rapporter for samsvar. Å overholde standarder som PCI DSS, HIPAA eller SOX kan lettes når SIEM-systemet ditt kan generere samsvarsrapporter.
Rapporter er kanskje ikke kjernen i et SIEM-systemmen likevel er det en viktig komponent. Og ofte vil rapportering være en vesentlig skille faktor mellom konkurrerende systemer. Rapporter er som godteri, du kan aldri ha for mange. Og selvfølgelig vil de beste systemene la deg lage tilpassede rapporter.
Dashbord (s)
Sist, men ikke minst, vil dashbordet være dittvindu inn i statusen til SIEM-systemet. Og det kan til og med være flere dashboards. Fordi forskjellige personer har forskjellige prioriteringer og interesser, vil det perfekte dashbordet for en nettverksadministrator være forskjellig fra det som en sikkerhetsadministrator. Og en leder vil trenge en helt annen også.
Selv om vi ikke kan evaluere et SIEM-system avantall dashbord det har, må du velge et som har alle dashbordene du trenger. Dette er definitivt noe du vil huske når du vurderer leverandører. Og akkurat som med rapporter, vil de beste systemene la deg bygge tilpassede dashboards til din smak.
Våre topp 6 SIEM-verktøy
Det er mange SIEM-systemer der ute. Altfor mange for å kunne gjennomgå dem alle her. Så vi har søkt på markedet, sammenlignet systemer og bygget en liste over det vi fant å være de seks beste sikkerhetsinformasjons- og administrasjonsverktøyene (SIEM). Vi lister dem opp i rekkefølge, og vi vil gjennomgå en kort beskrivelse av dem. Men til tross for deres bestilling, er alle seks utmerkede systemer som vi bare kan anbefale deg å prøve selv.
Dette er hva våre topp 6 SIEM-verktøy er
- SolarWinds Log & Event Manager
- Splunk Enterprise Security
- RSA NetWitness
- ArcSight Enterprise Security Manager
- McAfee Enterprise Security Manager
- IBM QRadar SIEM
1. SolarWinds Log & Event Manager (GRATIS 30-DAGERS prøve)
SolarWinds er et vanlig navn i nettverketovervåkingsverden. Flaggskip-produktet deres, Network Performance Monitor, er et av de beste SNMP-overvåkingsverktøyene som er tilgjengelige. Selskapet er også kjent for sine mange gratis verktøy som Subnet Calculator eller deres SFTP-server.
SolarWinds 'SIEM-verktøy, Log- og Event Manager(LEM) beskrives best som et entry-level SIEM-system. Men det er muligens et av de mest konkurransedyktige etableringssystemene på markedet. SolarWinds LEM har alt du kan forvente av et SIEM-system. Den har utmerkede lange styrings- og korrelasjonsfunksjoner og en imponerende rapporteringsmotor.
Når det gjelder verktøyets hendelsesresponsfunksjoner, gjør de detla ingenting å være ønsket. Det detaljerte reaksjonssystemet i sanntid vil aktivt reagere på enhver trussel. Og siden det er basert på atferd snarere enn signatur, er du beskyttet mot ukjente eller fremtidige trusler.
Men verktøyets instrumentbord er muligens det besteressurs. Med en enkel design har du ingen problemer med å raskt identifisere avvik. Fra rundt 4 500 dollar er verktøyet mer enn rimelig. Og hvis du vil prøve det først, er en gratis fullt funksjonell 30-dagers prøveversjon tilgjengelig for nedlasting.
2. Splunk Enterprise Security
Muligens et av de mest populære SIEM-systemene,Splunk Enterprise Security - eller Splunk ES, som det ofte kalles - er spesielt kjent for sine analytiske evner. Splunk ES overvåker systemets data i sanntid og ser etter sårbarheter og tegn på unormal aktivitet.
Sikkerhetsrespons er en annen av Splunk ES 'sterkedrakter. Systemet bruker det Splunk kaller Adaptive Response Framework (ARF) som integreres med utstyr fra mer enn 55 sikkerhetsleverandører. ARF utfører automatisert respons og fremskynder manuelle oppgaver. Dette vil la deg raskt få overtaket. Legg til det et enkelt og ryddig brukergrensesnitt, så har du en vinnende løsning. Andre interessante funksjoner inkluderer Notables-funksjonen som viser brukeranpassbare varsler og Asset Investigator for å flagge ondsinnede aktiviteter og forhindre ytterligere problemer.
Splunk ES er virkelig et produkt i bedriftskvalitetog den kommer med en prislapp på størrelse med bedrifter. Du kan ikke en gang få prisinformasjon fra Splunk's nettsted. Du må kontakte salgsavdelingen for å få en pris. Til tross for prisen er dette et flott produkt, og det kan være lurt å kontakte Splunk og dra nytte av en gratis prøveperiode.
3. RSA NetWitness
Siden 20016 har NetWitness fokusert på produkterstøtte "dyp, sanntids nettverkssituasjonsbevissthet og smidig nettverksrespons". Etter å ha blitt kjøpt opp av EMC som deretter fusjonerte med Dell, er Newitness-virksomheten nå en del av RSA-filialen til selskapet. Og dette er gode nyheter RSA er et kjent navn i sikkerhet.
RSA NetWitness er ideell for organisasjoner som søkeren komplett nettverksanalyseløsning. Verktøyet inneholder informasjon om bedriften din som hjelper deg med å prioritere varsler. I følge RSA samler systemet inn data på flere fangstpunkter, databehandlingsplattformer og kilder til trusselintelligens enn andre SIEM-løsninger. Det er også avansert trusselregistrering som kombinerer atferdsanalyse, datavitenskapsteknikker og trusselintelligens. Og til slutt, det avanserte responssystemet kan skryte av orkestrering og automatisering evner for å bli kvitt utrydding av trusler før de påvirker virksomheten din.
En av de største ulempene med RSA NetWitness erat det ikke er det enkleste å bruke og konfigurere. Imidlertid er det omfattende dokumentasjon tilgjengelig som kan hjelpe deg med å sette opp og bruke produktet. Dette er et annet produkt i bedriftsklasse, og du må kontakte salg for å få prisinformasjon.
4. ArcSight Enterprise Security Manager
ArcSight Enterprise Security Manager hjelperidentifisere og prioritere sikkerhetstrusler, organisere og spore hendelsesresponsaktiviteter og forenkle revisjons- og etterlevelsesaktiviteter. Tidligere solgt under HP-merket, har det nå fusjonert med Micro Focus, et annet HP-datterselskap.
Etter å ha eksistert i mer enn femten år,ArcSight er et utrolig populært SIEM-verktøy. Den samler loggdata fra forskjellige kilder og utfører omfattende dataanalyse, og leter etter tegn på ondsinnet aktivitet. For å gjøre det enkelt å identifisere trusler raskt, kan du se de virkelige analyseresultatene.
Her er en oversikt over hovedfunksjonene til produktene. Den har kraftig distribuert sanntids datakorrelasjon, automatisering av arbeidsflyt, sikkerhetsorkestring og samfunnsstyrt sikkerhetsinnhold. Enterprise Security Manager integrerer også med andre ArcSight-produkter som ArcSight Data Platform og Event Broker eller ArcSight Investigate. Dette er et annet enterprise-produkt - som stort sett alle SIEM-verktøy av høy kvalitet - som krever at du kontakter ArcSights salgsteam for å få prisinformasjon.
5. McAfee Enterprise Security Manager
McAfee er absolutt et annet husholdningsnavn isikkerhetsbransjen. Imidlertid er det bedre kjent for sine virusbeskyttelsesprodukter. Enterprise sikkerhetssjef er ikke bare programvare. Det er faktisk et apparat. Du kan få det i virtuell eller fysisk form.
Når det gjelder analysefunksjonene, erMcAfee Enterprise Security Manager regnes som et av de beste SIEM-verktøyene av mange. Systemet samler logger over et bredt spekter av enheter. Når det gjelder normaliseringsfunksjonene, er det også helt topp. Korrelasjonsmotoren kompilerer enkelt forskjellige datakilder, noe som gjør det lettere å oppdage sikkerhetshendelser når de skjer
For å være sant, er det mer med McAfee-løsningenenn bare Enterprise Security Manager. For å få en komplett SIEM-løsning trenger du også Enterprise Log Manager og hendelsesmottaker. Heldigvis kan alle produktene pakkes i et enkelt apparat. For deg som kanskje vil prøve produktet før du kjøper det, er en gratis prøveversjon tilgjengelig.
6. IBM QRadar
IBM, muligens det mest kjente navnet på ITindustri har klart å etablere sin SIEM-løsning, IBM QRadar er et av de beste produktene på markedet. Verktøyet gir sikkerhetsanalytikere mulighet til å oppdage avvik, avdekke avanserte trusler og fjerne falske positiver i sanntid.
IBM QRadar kan skryte av en serie loggadministrasjon, datafunksjoner for innsamling, analyse og inntrenging. Sammen hjelper de å holde nettverksinfrastrukturen i gang. Det er også risikomodellerende analyser som kan simulere potensielle angrep.
Noen av QRadars viktigste funksjoner inkluderer mulighetenå distribuere løsningen på stedet eller i et skymiljø. Det er en modulløs løsning, og man kan raskt og billig legge til mer lagring av prosessorkraft. Systemet bruker etterretningskompetanse fra IBM X-Force og integreres sømløst med hundrevis av IBM og ikke-IBM-produkter.
IBM er IBM, kan du forvente å betale en premiumpris for SIEM-løsningen deres. Men hvis du trenger et av de beste SIEM-verktøyene på markedet, kan QRadar meget vel være verdt investeringen.
For å konkludere
Det eneste problemet du risikerer å ha når du handlerfor det beste SIEM-verktøyet (Security Information and Event Monitoring) er det mange gode alternativer. Vi har akkurat introdusert de seks beste. Alle av dem er utmerkede valg. Den du velger vil i stor grad avhenge av dine eksakte behov, budsjettet og tiden du er villig til å sette i gang med å sette det opp. Akk, den innledende konfigurasjonen er alltid den vanskeligste delen, og det er her ting kan gå galt for hvis et SIEM-verktøy ikke er riktig konfigurert, vil det ikke kunne gjøre jobben sin ordentlig.
Tekst 50 - 2300
kommentarer