- - SolarWinds Log & Event Manager vs Splunk - En sammenlignende anmeldelse

SolarWinds Log & Event Manager vs Splunk - En sammenlignende anmeldelse

Noe av det viktigste - om ikke DE mestviktig - eiendeler til mange av dagens organisasjoner er dataene deres. Det er så viktig og verdifullt at mange personer eller organisasjoner som ikke har til hensikt, vil gjøre stor for å stjele dyrebare data. De gjør det slik at de bruker en lang rekke teknikker og teknologier for å få uautorisert tilgang til nettverk og systemer. Antallet slike forsøk ser ut til å vokse eksponentielt hele tiden. For å forhindre det blir systemer som kalles Intrusion Prevention Systems, eller IPS, distribuert av bedrifter som ønsker å beskytte dataene sine. De SolarWinds Log & Event Manager i tillegg til Splunk er to ukonvensjonelle produkter på den arenaen. I dag sammenligner vi de to.

Vi begynner utforskningen vår med å se påforebygging av inntrenging generelt. Det vil bidra til å sette bordet for hva som kommer. Vi vil prøve å holde det så ikke-teknisk som mulig. Ideen vår er ikke å gjøre deg til eksperter for forebygging av inntrenging, men snarere å sikre at vi alle er på samme side da vi utforsker begge produktene videre. Snakker om å utforske produktene, det er dette vi har neste gang. Vi skal først beskrive hovedfunksjonene i SolarWinds Log & Event Manager, vi følger etter ved å se på produktets styrke og svakheter og dens fordeler og ulemper, som rapportert av brukere av plattformen, og vi vil avslutte vår oversikt av produktet ved å se på pris- og lisensstrukturen. Vi vil deretter gjennomgå Splunk ved å bruke et identisk format med produktfunksjonene, dens styrker og svakheter, dens fordeler og ulemper og prisstruktur. Til slutt vil vi konkludere med hva brukere har å si om de to produktene.

Forebygging av inntrenging - Hva handler dette om?

For mange år siden var virus stort sett de enestebekymringer fra systemadministratorer. Virus kom til et punkt hvor de var så vanlige at industrien reagerte ved å utvikle virusbeskyttelsesverktøy. I dag ville ingen seriøs bruker i hans rette sinn tenke på å kjøre en datamaskin uten virusbeskyttelse. Selv om vi ikke hører mye av virus lenger, er inntrenging - eller uautorisert tilgang til dataene dine fra ondsinnede brukere - en ny trussel. Med data som ofte er organisasjonens viktigste ressurs, har bedriftsnettverk blitt målet for hackere som ikke har til hensikt å legge til rette for å få tilgang til data. Akkurat som virusbeskyttelsesprogramvare var svaret på spredning av virus, er Intrusion Prevention Systems svaret på inntrengerangrep.

Innbruddsforebyggende systemer gjør i hovedsak totingene. Først oppdager de innbruddsforsøk, og når de oppdager mistenkelige aktiviteter, bruker de forskjellige metoder for å stoppe eller blokkere det. Det er to forskjellige måter inntrengningsforsøk kan oppdages. Signaturbasert deteksjon fungerer ved å analysere nettverkstrafikk og data og lete etter spesifikke mønstre assosiert med inntrengningsforsøk. Dette ligner tradisjonelle virusbeskyttelsessystemer som er avhengige av virusdefinisjoner. Signaturbasert intrusjonsdeteksjon er avhengig av intrusjonssignaturer eller -mønstre. Den største ulempen med denne deteksjonsmetoden er at den trenger de riktige signaturene som skal lastes inn i programvaren. Og når en ny angrepsmetode, er det vanligvis en forsinkelse før angrepsunderskrifter blir oppdatert. Noen leverandører er veldig raske med å gi oppdaterte angrepsunderskrifter, mens andre er mye tregere. Hvor ofte og hvor raskt signaturer blir oppdatert, er en viktig faktor du må ta i betraktning når du velger en leverandør.

Anomali-basert deteksjon gir bedre beskyttelsemot angrep på null dager, har de som skjer før deteksjonsunderskrifter hatt en sjanse til å bli oppdatert. Prosessen ser etter anomalier i stedet for å prøve å gjenkjenne kjente inntrengningsmønstre. For eksempel ville det blitt utløst hvis noen prøvde å få tilgang til et system med galt passord flere ganger på rad, et vanlig tegn på et angrep fra brute force. Dette er bare et eksempel, og det er vanligvis hundrevis av forskjellige mistenkelige aktiviteter som kan utløse disse systemene. Begge deteksjonsmetodene har fordeler og ulemper. De beste verktøyene er de som bruker en kombinasjon av signatur og atferdsanalyse for den beste beskyttelsen.

Å oppdage inntrengningsforsøk er den første delenå forhindre dem. Når det er oppdaget, fungerer innbruddsforebyggende systemer aktivt for å stoppe de oppdagede aktivitetene. Flere forskjellige utbedringshandlinger kan utføres av disse systemene. De kan for eksempel suspendere eller på annen måte deaktivere brukerkontoer. En annen typisk handling er å blokkere kildens IP-adresse til angrepet eller endre brannmurregler. Hvis skadelig aktivitet kommer fra en spesifikk prosess, kan forebyggingssystemet drepe prosessen. Å starte en viss beskyttelsesprosess er en annen vanlig reaksjon, og i verste tilfeller kan hele systemer stenges ned for å begrense potensiell skade. En annen viktig oppgave for Intrusion Prevention Systems er å varsle administratorer, spille inn hendelsen og rapportere mistenkelige aktiviteter.

Passive tiltak for forebygging av inntrenging

Mens inntrengningsforebyggende systemer kan beskyttedeg mot mange typer angrep, ingenting slår gode, gammeldagse passive forebyggingstiltak. For eksempel er det å gi sterke passord en utmerket måte å beskytte mot mange inntrengninger. Et annet enkelt beskyttelsestiltak er å endre standardpassord for utstyr. Selv om det er sjeldnere i bedriftsnettverk - selv om det ikke er uhørt - har jeg bare sett for ofte internettportaler som fremdeles hadde standardadministrasjonspassord. Mens det er snakk om passord, er aldring av passord et konkret skritt som kan settes i verk for å redusere inntrengningsforsøk. Ethvert passord, også det beste, kan til slutt bli sprukket, gitt nok tid. Aldring av passord sikrer at passord blir endret før de har blitt sprukket.

SolarWinds Log & Event Manager (GRATIS prøveversjon tilgjengelig)

Solarwinds er et kjent navn innen nettverksadministrasjon. Det har et solid omdømme for å lage noen av de beste verktøyene for nettverk og systemadministrasjon. Dets flaggskip produkt, Network Performance Monitor jevnlig scorer blant de beste verktøyene for overvåkning av båndbredde i nettverket. SolarWinds er også kjent for sine mange gratis verktøy, som hver for seg imøtekommer et spesifikt behov hos nettverksadministratorer. De Kiwi Syslog Server eller SolarWinds TFTP Server er to gode eksempler på disse gratis verktøyene.

Ikke la SolarWinds Log & Event ManagerNavnet lure deg. Det er mye mer enn det som møter øyet. Noen av de avanserte funksjonene i dette produktet kvalifiserer det som et inntrengingsdeteksjons- og forebyggingssystem, mens andre legger det inn i SIEM (Security Information and Event Management) -området. Verktøyet har for eksempel sanntidshendelseskorrelasjon og sanntidsoppretting.

SolarWinds LEM - Dashbord

  • GRATIS PRØVEPERIODE: SolarWinds Log & Event Manager
  • Last ned lenke: https://www.solarwinds.com/log-event-manager-software/registration

De SolarWinds Log & Event Manager kan skryte av øyeblikkelig oppdagelse av mistenkeligaktivitet (en funksjon for inntrengingsdeteksjon) og automatiserte svar (en funksjon for forebygging av inntrenging). Dette verktøyet kan også brukes til å utføre etterforskning av sikkerhetshendelser og kriminalteknikk. Det kan brukes til avbøtnings- og etterlevelsesformål. Verktøyet har revisjonsprøvd rapportering, som også kan brukes til å demonstrere samsvar med forskjellige regelverk som HIPAA, PCI-DSS og SOX. Verktøyet har også overvåking av filintegritet og overvåkning av USB-enheter. Alle de avanserte funksjonene i programvaren gjør det mer til en integrert sikkerhetsplattform enn bare logg- og hendelsesstyringssystemet som navnet vil føre deg til å tro.

Funksjonene for forebygging av inntrenging av SolarWinds Log & Event Manager fungerer ved å implementere handlinger kalt AktivSvar når trusler oppdages. Ulike svar kan kobles til spesifikke varsler. For eksempel kan systemet skrive til brannmurstabeller for å blokkere nettverkstilgangen til en kilde-IP-adresse som er identifisert som å utføre mistenkelige aktiviteter. Verktøyet kan også stoppe brukerkontoer, stoppe eller starte prosesser og slå av systemer. Du vil huske hvordan dette nettopp er saneringshandlingene vi identifiserte før.

Styrker og svakheter

I følge Gartner er Solarwinds Logg & Event Manager "Tilbyr en godt integrert løsning som er enspesielt god passform for små og mellomstore bedrifter, takket være den enkle arkitekturen, enkle lisenser og robuste innhold og funksjoner utenfor boksen. Verktøyet flere hendelseskilder, og tilbyr en viss trusselinneslutning og karantene-kontrollfunksjonalitet som ikke ofte er tilgjengelig fra konkurrerende produkter.

Imidlertid bemerker forskningsfirmaet at detteprodukt er et lukket økosystem, som gjør det utfordrende å integrere med tredjeparts sikkerhetsløsninger som avansert trusselregistrering, trusselinformasjonsfeeds og UEBA-verktøy. Som firmaet skrev: "Integrasjoner med service desk-verktøy er også begrenset til enveis tilkobling via e-post og SNMP".

Videre overvåking av SaaS-miljøerstøttes ikke av produktet, og overvåking av IaaS er begrenset. Kunder som ønsker å utvide overvåkningen til nettverk og applikasjoner, må kjøpe andre SolarWinds-produkter.

SolarWinds LEM - samsvarsrapporter

  • GRATIS PRØVEPERIODE: SolarWinds Log & Event Manager
  • Last ned lenke: https://www.solarwinds.com/log-event-manager-software/registration

Fordeler og ulemper

Vi har samlet de viktigste fordeler og ulemper som brukere av SolarWinds Log & Event Managers har rapportert. Dette er hva de har å si.

Pros

  • Produktet er utrolig enkelt å sette opp. Den ble distribuert og hadde loggkilder som pekte på den og utførte grunnleggende korrelasjoner i løpet av en dag.
  • De automatiserte svarene som er tilgjengelige etter distribusjon av agenten gir deg utrolig kontroll til å svare på hendelser i nettverket ditt.
  • Verktøyets grensesnitt er brukervennlig. Noen konkurrerende produkter kan være skremmende å lære å bruke og bli akklimatisert til, men SolarWinds Log & Event Manager har en intuitiv layout og er veldig enkel å plukke opp og bruke.

Ulemper

  • Produktet har ingen tilpasset parser. Det vil uunngåelig være et produkt i nettverket ditt som SolarWinds Log & Event Manager vil ikke vite hvordan jeg skal parse. Noen konkurrerende løsninger utnytter tilpassede analysører av denne grunn. Dette produktet har ikke støtte for å lage tilpassede parsers, så ukjente loggformater forblir uparsede.
  • Noen ganger kan verktøyet være for grunnleggende. Det er et utmerket verktøy for å utføre grunnleggende korrelasjoner i et lite til mellomstort miljø. Imidlertid, hvis du prøver å bli for avansert med korrelasjonene du prøver å utføre, kan du bli frustrert over verktøyets mangel på funksjonalitet, som hovedsakelig skyldes måten den analyserer data.

Pris og lisensiering

Priser for SolarWinds Log & Event Managervarierer basert på antall overvåkte noder. Prisene starter på $ 4585 for opptil 30 overvåkte noder, og lisenser for opptil 2500 noder kan kjøpes med flere lisensnivåer i mellom, noe som gjør produktet svært skalerbart. Hvis du vil ta produktet for en testkjøring og selv se om det stemmer for deg, er en gratis full-funksjons 30-dagers prøveversjon tilgjengelig.

Splunk

Splunk er muligens et av de mest populære innbruddsforebyggende systemene. Det er tilgjengelig i flere forskjellige utgaver med forskjellige funksjoner. Splunk Enterprise Security-eller Splunk ES, som det ofte kalles - er det du trenger for santforebygging av inntrenging. Og det er dette vi ser på i dag. Programvaren overvåker systemets data i sanntid og ser etter sårbarheter og tegn på unormal aktivitet. Selv om målet om å forhindre inntrenging ligner på Solarwinds', Måten det oppnår er forskjellig.

Splunk - Deep Dive Skjermbilde

Sikkerhetsrespons er en av SplunkEr sterke drakter, og det er det som gjør det til et innbruddsforebyggende system og et alternativ til Solarwinds produktet nettopp anmeldt. Den bruker det leverandøren kaller Adaptive Response Framework (ARF). Verktøyet integreres med utstyr fra mer enn 55 sikkerhetsleverandører og kan utføre automatisert respons, fremskynde manuelle oppgaver og gi en raskere reaksjon. Kombinasjonen av automatisert sanering og manuell intervensjon gir deg de beste sjansene for raskt å få overtaket. Verktøyet har et enkelt og ryddig brukergrensesnitt, noe som gir en vinnende løsning. Andre interessante beskyttelsesfunksjoner inkluderer “Notables”-Funksjonen som viser brukeranpassbare varsler og“Asset Investigator”For å flagge ondsinnede aktiviteter og forhindre ytterligere problemer.

Styrker og svakheter

Splunk'S store partnerøkosystem gir integrasjon og Splunk-spesifikt innhold gjennom Splunkbase app Store. Leverandørens komplette pakke med løsninger gjør det også enkelt for brukere å vokse inn i plattformen over tid, og avanserte analysefunksjoner er tilgjengelige på forskjellige måter gjennom Splunk økosystem.

Ulempen med, Splunk tilbyr ikke en enhetsversjon av løsningen, og Gartner-klienter har vakt bekymring for lisensmodellen og kostnadene for implementering - som svar, Splunk har introdusert nye lisens tilnærminger, inkludert Enterprise Adoption Agreement (EAA).

Splunk - Helsescore Skjermbilde

Fordeler og ulemper

Som vi gjorde med det forrige produktet, her er en liste over de viktigste fordeler og ulemper som rapportert av brukere av Splunk.

Pros

  • Verktøyet samler logger veldig bra fra nesten alle maskintyper - de fleste alternative produkter gjør ikke dette like bra.
  • Splunk gir grafikk til brukeren, og gir dem muligheten til å transformere logger til visuelle elementer som kakediagrammer, grafer, tabeller osv.
  • Det er veldig raskt når det gjelder rapportering og varsling om avvik. Det er liten forsinkelse.

Ulemper

  • SplunkSøkespråket går veldig dypt. Å gjøre noe av den mer avanserte formateringen eller statistiske analysene innebærer imidlertid litt av en læringskurve. Splunk trening er tilgjengelig for å lære søkespråket og manipulere dataene dine, men kan koste alt fra $ 500,00 til $ 1 500,00.
  • Verktøyets dashbordfunksjoner er ganske anstendige, men for å gjøre mer spennende visualiseringer krever litt utvikling ved å bruke enkle XML, Javascript og CSS.
  • Leverandøren slipper mindre revisjoner veldig raskt, men på grunn av det store antallet feil vi har opplevd, har vi måttet oppgradere miljøet fire ganger på ni måneder.

Pris og lisensiering

Splunk EnterprisePrisene er basert på hvor mye data du harsend til den hver dag. Det starter på $ 150 / måned på opptil 1 GB daglig inntatt data. Volumrabatter er tilgjengelige. Denne prisen inkluderer ubegrensede brukere, ubegrenset søk, søk i sanntid, analyse og visualisering, overvåking og varsling, standard support og mer. Du må kontakte Splunk's salg for å få et detaljert tilbud. Som de fleste produktene i den slags prisklasser, er en gratis prøveversjon tilgjengelig for de som ønsker å prøve produktet.

Hva er sagt om de to produktene?

Brukere av IT Central Station gir Solarwinds en 9 av 10 og Splunk en 8 av 10. Imidlertid reverserer brukere av Gartner Peer Insights ordren og gir Splunk en 4,3 av 5 og Solarwinds en 4 av 5.

Jeffrey Robinette, systemingeniør hos Foxhole Technology, skrev det Solarwinds‘Ut-av-boksen rapporter og dashbord er en nøkkelstyrke, og bemerker at“ Det gjør at vi kan overvåke tilgang og trekke cyberrapporter raskt. Ikke flere søk gjennom logger på hver server. "

Sammenlignet med Splunk, Robinette sa det Solarwinds krever ikke mye tilpasning, og prisfastsettelsen er lavere, mens han skrev om Splunk at “du trenger en doktorgrad. på å tilpasse rapportene. ”

For Raul Lapaz, senior IT-sikkerhetsdrift på Roche, samtidig som Splunk er ikke billig, dets brukervennlighet, skalerbarhet, stabilitet, søkemotorens hastighet og kompatibilitet med en rekke datakilder gjør det verdt det.

Lapaz påpekte imidlertid noen få mangler,inkludert for eksempel det faktum at klyngestyring bare kan gjøres via kommandolinjen, og at tillatelser ikke er veldig fleksible. Han skrev: "Det ville være fint å ha flere kornformede alternativer, for eksempel dobbelfaktorautentisering".

Les også

Filtrer og se Windows- og SCOM-hendelseslogger med Log Smith
6 Beste verktøy for logbehandling for Linux i 2019
SolarWinds Network Performance Monitor vs WhatsUp Gold - Comparative Review
7 beste systemer for forebygging av innbrudd (IPS) for 2019
6 beste verktøy for sikkerhetsinformasjon og hendelsesstyring (SIEM) som er verdt å sjekke ut i 2019
SolarWinds Access Rights Manager grundig gjennomgang
Sammenlignende histogram i Excel 2010
Evite For Android: Lag og send invitasjonskort til arrangementer i bulk
Hvordan bli kvitt invitasjoner til søppelhendelser i kalenderappen [iOS]
Apple september 2015 Event Alle enhetsspesifikasjoner og priser
Slik ser du Apple Event på nettet i september 2015
Sikkerhetskopier Android-varslene dine og se gjennom dem etter at de har blitt avvist

kommentarer