- - SolarWinds Log & Event Manager vs Splunk - Przegląd porównawczy

SolarWinds Log & Event Manager vs Splunk - przegląd porównawczy

Jeden z najważniejszych - jeśli nie najważniejszyważne - zasobami wielu dzisiejszych organizacji są ich dane. Jest to tak ważne i cenne, że wiele złych intencji osób lub organizacji dołoży wszelkich starań, aby ukraść te cenne dane. Robią to, wykorzystując szeroką gamę technik i technologii w celu uzyskania nieautoryzowanego dostępu do sieci i systemów. Liczba takich prób wydaje się rosnąć wykładniczo przez cały czas. Aby temu zapobiec, przedsiębiorstwa zwane systemami zapobiegania włamaniom (IPS) są wdrażane przez przedsiębiorstwa, które chcą chronić swoje zasoby danych. The Menedżer dzienników i zdarzeń SolarWinds jak również Splunk to dwa niekonwencjonalne produkty na tej arenie. Dzisiaj porównujemy oba.

Rozpoczniemy naszą eksplorację od spojrzenia nazapobieganie włamaniom w ogóle. Pomoże to ustawić stół na nadchodzące wydarzenia. Postaramy się zachować jak najbardziej nietechniczny charakter. Naszym celem nie jest uczynienie Cię ekspertami w zakresie zapobiegania włamaniom, ale raczej upewnienie się, że wszyscy jesteśmy na tej samej stronie, gdy będziemy dalej badać oba produkty. Mówiąc o eksploracji produktów, właśnie to mamy dalej. Najpierw opiszemy główne funkcje Menedżera dzienników i zdarzeń SolarWinds, a następnie sprawdzimy siłę i słabości produktu oraz jego zalety i wady, zgłoszone przez użytkowników platformy, i podsumujemy nasz przegląd produktu, sprawdzając jego strukturę cen i licencji. Następnie dokonamy przeglądu Splunk przy użyciu identycznego formatu z cechami produktów, jego mocnymi i słabymi stronami, jego zaletami i wadami oraz strukturą cen. Na koniec podsumujemy, co użytkownicy mają do powiedzenia na temat tych dwóch produktów.

Zapobieganie włamaniom - o co w tym wszystkim chodzi?

Lata temu wirusy były właściwie jedyneobawy administratorów systemu. Wirusy doszły do ​​punktu, w którym były tak powszechne, że przemysł zareagował opracowaniem narzędzi do ochrony przed wirusami. Dzisiaj żaden poważny użytkownik przy zdrowych zmysłach nie pomyślałby o uruchomieniu komputera bez ochrony antywirusowej. Chociaż nie słyszymy już więcej o wirusach, wtargnięcie - lub nieautoryzowany dostęp do twoich danych przez złośliwych użytkowników - jest nowym zagrożeniem. Ponieważ dane często są najważniejszym zasobem organizacji, sieci korporacyjne stały się celem hakerów o złych zamiarach, którzy dołożą wszelkich starań, aby uzyskać dostęp do danych. Podobnie jak oprogramowanie antywirusowe było odpowiedzią na rozprzestrzenianie się wirusów, systemy zapobiegania włamaniom są odpowiedzią na ataki intruzów.

Systemy zapobiegania włamaniom zasadniczo wykonują dwarzeczy Po pierwsze, wykrywają próby włamań, a kiedy wykrywają podejrzane działania, używają różnych metod, aby je zatrzymać lub zablokować. Istnieją dwa różne sposoby wykrywania prób włamań. Wykrywanie oparte na sygnaturach polega na analizie ruchu sieciowego i danych oraz poszukiwaniu określonych wzorców związanych z próbami włamań. Jest to podobne do tradycyjnych systemów ochrony przed wirusami, które opierają się na definicjach wirusów. Wykrywanie włamań oparte na sygnaturach opiera się na sygnaturach lub wzorcach włamań. Główną wadą tej metody wykrywania jest to, że wymaga odpowiednich sygnatur, aby załadować ją do oprogramowania. A gdy nowa metoda ataku zwykle opóźnia się przed zaktualizowaniem sygnatur ataku. Niektórzy dostawcy bardzo szybko dostarczają zaktualizowane sygnatury ataków, podczas gdy inni są znacznie wolniejsi. Częstotliwość i szybkość aktualizacji podpisów jest ważnym czynnikiem, który należy wziąć pod uwagę przy wyborze dostawcy.

Wykrywanie oparte na anomalii zapewnia lepszą ochronęw przypadku ataków zero-day te, które miały miejsce przed podpisaniem wykrycia, miały szansę zostać zaktualizowane. Proces szuka anomalii, zamiast próbować rozpoznać znane wzorce włamań. Na przykład byłby uruchamiany, gdyby ktoś próbował uzyskać dostęp do systemu z niewłaściwym hasłem kilka razy z rzędu, co jest powszechną oznaką ataku siłowego. To tylko przykład i zazwyczaj istnieją setki różnych podejrzanych działań, które mogą uruchomić te systemy. Obie metody wykrywania mają zalety i wady. Najlepsze narzędzia to takie, które wykorzystują połączenie analizy sygnatur i zachowania w celu zapewnienia najlepszej ochrony.

Wykrywanie próby włamania jest jedną z pierwszych częścizapobiegać im. Po wykryciu, systemy zapobiegania włamaniom aktywnie działają w celu zatrzymania wykrytych działań. Systemy te mogą podejmować kilka różnych działań zaradczych. Mogą na przykład zawiesić lub w inny sposób dezaktywować konta użytkowników. Inną typową czynnością jest blokowanie źródłowego adresu IP ataku lub modyfikowanie reguł zapory. Jeśli złośliwe działanie pochodzi z określonego procesu, system zapobiegania może go zabić. Rozpoczęcie procesu ochrony to kolejna częsta reakcja, aw najgorszych przypadkach można zamknąć całe systemy, aby ograniczyć potencjalne szkody. Innym ważnym zadaniem systemów zapobiegania włamaniom jest ostrzeganie administratorów, rejestrowanie zdarzeń i zgłaszanie podejrzanych działań.

Pasywne środki zapobiegania włamaniom

Podczas gdy systemy zapobiegania włamaniom mogą chronićprzeciwko licznym rodzajom ataków, nic nie przebije dobrych, staromodnych pasywnych środków zapobiegania włamaniom. Na przykład, wprowadzenie silnych haseł jest doskonałym sposobem ochrony przed wieloma włamaniami. Innym łatwym środkiem ochronnym jest zmiana domyślnych haseł urządzenia. Chociaż jest to rzadsze w sieciach korporacyjnych - choć nie jest to niespotykane - widziałem tylko zbyt często bramy internetowe, które wciąż miały swoje domyślne hasło administratora. W przypadku haseł starzenie się haseł jest kolejnym konkretnym krokiem, który można wprowadzić w celu ograniczenia prób włamań. Każde hasło, nawet najlepsze, może zostać złamane, mając wystarczająco dużo czasu. Starzenie się haseł gwarantuje, że hasła zostaną zmienione, zanim zostaną złamane.

Menedżer dzienników i zdarzeń SolarWinds (DARMOWA wersja próbna dostępna)

SolarWinds jest dobrze znaną nazwą w administracji sieci. Cieszy się dobrą reputacją dzięki tworzeniu jednych z najlepszych narzędzi do zarządzania siecią i systemem. Jego sztandarowy produkt - Monitor wydajności sieci konsekwentnie plasuje się wśród najlepszych dostępnych narzędzi do monitorowania przepustowości sieci. SolarWinds słynie również z wielu bezpłatnych narzędzi, z których każde zaspokaja konkretne potrzeby administratorów sieci. The Serwer Kiwi Syslog albo SolarWinds TFTP S.erver to dwa doskonałe przykłady tych bezpłatnych narzędzi.

Nie pozwól Menedżer dzienników i zdarzeń SolarWindsImię cię zwiedzie. Jest o wiele więcej niż na pierwszy rzut oka. Niektóre zaawansowane funkcje tego produktu kwalifikują go jako system wykrywania włamań i zapobiegania, podczas gdy inne umieszczają go w zakresie informacji o bezpieczeństwie i zarządzania zdarzeniami (SIEM). Na przykład narzędzie oferuje korelację zdarzeń w czasie rzeczywistym i działania naprawcze w czasie rzeczywistym.

SolarWinds LEM - pulpit nawigacyjny

  • BEZPŁATNA WERSJA PRÓBNA: Menedżer dzienników i zdarzeń SolarWinds
  • Link do pobrania: https://www.solarwinds.com/log-event-manager-software/registration

The Menedżer dzienników i zdarzeń SolarWinds oferuje natychmiastowe wykrywanie podejrzanychaktywność (funkcja wykrywania włamań) i automatyczne odpowiedzi (funkcja zapobiegania włamaniom). Tego narzędzia można również użyć do przeprowadzenia dochodzenia w sprawie zdarzenia dotyczącego bezpieczeństwa i kryminalistyki. Można go wykorzystać do celów łagodzenia i zgodności. Narzędzie oferuje sprawdzone raporty, które można również wykorzystać do wykazania zgodności z różnymi ramami regulacyjnymi, takimi jak HIPAA, PCI-DSS i SOX. Narzędzie ma również monitorowanie integralności plików i monitorowanie urządzeń USB. Wszystkie zaawansowane funkcje oprogramowania sprawiają, że jest to bardziej zintegrowana platforma bezpieczeństwa niż tylko system zarządzania logami i zdarzeniami, w który jego nazwa mogłaby uwierzyć.

Funkcje zapobiegania włamaniom Menedżer dzienników i zdarzeń SolarWinds działa poprzez wdrożenie działań o nazwie ActiveOdpowiedzi na każde wykrycie zagrożenia. Różne odpowiedzi mogą być powiązane z określonymi alertami. Na przykład system może zapisywać w tabelach zapory, aby zablokować dostęp do sieci źródłowego adresu IP, który został zidentyfikowany jako wykonujący podejrzane działania. Narzędzie może także zawieszać konta użytkowników, zatrzymywać lub uruchamiać procesy oraz zamykać systemy. Przypomnisz sobie, jak dokładnie to zidentyfikowaliśmy wcześniej.

Mocne i słabe strony

Według Gartnera SolarWinds Menedżer dziennika i zdarzeń „Oferuje dobrze zintegrowane rozwiązanieszczególnie dobrze nadaje się dla małych i średnich firm, dzięki prostej architekturze, łatwemu licencjonowaniu oraz solidnej gotowej zawartości i funkcjom ”. Narzędzie zawiera wiele źródeł zdarzeń i oferuje funkcje ograniczania zagrożeń i kontroli kwarantanny, które nie są powszechnie dostępne w konkurencyjnych produktach.

Jednak firma badawcza zauważa również, że toprodukt jest zamkniętym ekosystemem, co utrudnia integrację z rozwiązaniami bezpieczeństwa innych firm, takimi jak zaawansowane wykrywanie zagrożeń, źródła informacji o zagrożeniach i narzędzia UEBA. Jak napisała firma: „Integracja z narzędziami Service Desk ogranicza się również do jednokierunkowej łączności za pośrednictwem poczty elektronicznej i SNMP”.

Ponadto monitorowanie środowisk SaaSnie jest obsługiwany przez produkt, a monitorowanie IaaS jest ograniczone. Klienci, którzy chcą rozszerzyć swoje monitorowanie na sieci i aplikacje, muszą kupić inne produkty SolarWinds.

SolarWinds LEM - Raporty zgodności

  • BEZPŁATNA WERSJA PRÓBNA: Menedżer dzienników i zdarzeń SolarWinds
  • Link do pobrania: https://www.solarwinds.com/log-event-manager-software/registration

Plusy i minusy

Zebraliśmy najważniejsze zalety i wady zgłoszone przez użytkowników menedżerów dzienników i zdarzeń SolarWinds. Oto, co mają do powiedzenia.

Plusy

  • Produkt jest niezwykle łatwy w konfiguracji. Został wdrożony i wskazywał na niego źródła dzienników, a w ciągu jednego dnia dokonywał podstawowych korelacji.
  • Automatyczne odpowiedzi, które są dostępne po wdrożeniu agenta, dają niesamowitą kontrolę nad reagowaniem na zdarzenia w sieci.
  • Interfejs narzędzia jest przyjazny dla użytkownika. Niektóre konkurencyjne produkty mogą być zniechęcające, aby nauczyć się korzystać z nich i zaaklimatyzować, ale Menedżer dzienników i zdarzeń SolarWinds ma intuicyjny układ i jest bardzo łatwy do pobrania i użycia.

Cons

  • Produkt nie ma niestandardowego analizatora składni. Nieuchronnie będzie w Twojej sieci produkt, który Menedżer dzienników i zdarzeń SolarWinds nie będzie wiedział, jak analizować. Z tego powodu niektóre konkurencyjne rozwiązania wykorzystują niestandardowe analizatory składni. Ten produkt nie obsługuje tworzenia niestandardowych analizatorów składni, dlatego nieznane formaty dziennika pozostają nieprzetworzone.
  • Narzędzie może czasem być zbyt podstawowe. Jest to doskonałe narzędzie do wykonywania podstawowych korelacji w środowisku od małych do średnich. Jeśli jednak próbujesz uzyskać zbyt zaawansowane korelacje, które próbujesz wykonać, możesz być sfrustrowany brakiem funkcjonalności narzędzia, która wynika głównie ze sposobu, w jaki analizuje dane.

Ceny i licencjonowanie

Ceny Menedżera dzienników i zdarzeń SolarWindsróżni się w zależności od liczby monitorowanych węzłów. Ceny zaczynają się od 4585 USD za maksymalnie 30 monitorowanych węzłów, a licencje na maksymalnie 2500 węzłów można kupić z kilkoma warstwami licencyjnymi pomiędzy nimi, dzięki czemu produkt jest wysoce skalowalny. Jeśli chcesz wziąć produkt na próbę i przekonać się, czy jest on odpowiedni dla Ciebie, dostępna jest bezpłatna 30-dniowa wersja próbna.

Splunk

Splunk jest prawdopodobnie jednym z najpopularniejszych systemów zapobiegania włamaniom. Jest dostępny w kilku różnych edycjach z różnymi zestawami funkcji. Splunk Enterprise Security-lub Splunk ES, jak się często nazywa - jest tym, czego potrzebujesz, aby być prawdziwymzapobieganie włamaniu. I na to dzisiaj patrzymy. Oprogramowanie monitoruje dane Twojego systemu w czasie rzeczywistym, szukając luk w zabezpieczeniach i oznak nieprawidłowej aktywności. Chociaż jego cel polegający na zapobieganiu wtargnięciom jest podobny SolarWinds”Sposób, w jaki to osiąga, jest inny.

Splunk - zrzut ekranu z głębokiego nurkowania

Reakcja bezpieczeństwa jest jedną z SplunkMocne kolory i to sprawia, że ​​jest to system zapobiegania włamaniom i alternatywa dla SolarWinds produkt właśnie sprawdzony. Wykorzystuje to, co sprzedawca nazywa Adaptacyjne ramy reakcji (ARF). Narzędzie integruje się ze sprzętem ponad 55 dostawców zabezpieczeń i może wykonywać automatyczną reakcję, przyspieszając ręczne zadania i zapewniając szybszą reakcję. Połączenie zautomatyzowanych środków zaradczych i ręcznej interwencji daje największe szanse szybkiego zdobycia przewagi. Narzędzie ma prosty i przejrzysty interfejs użytkownika, dzięki czemu jest zwycięskim rozwiązaniem. Inne interesujące funkcje ochrony obejmują „Znani”, Która pokazuje konfigurowalne przez użytkownika alerty i„Asset Investigator”Do oznaczania złośliwych działań i zapobiegania dalszym problemom.

Mocne i słabe strony

SplunkEkosystem dużego partnera zapewnia integrację i Splunk-specyficzne treści za pośrednictwem Splunkbase sklep z aplikacjami. Pełny zestaw rozwiązań dostawcy ułatwia użytkownikom rozwój platformy wraz z upływem czasu, a zaawansowane funkcje analityczne są dostępne na różne sposoby w całym Splunk ekosystem.

Minusem Splunk nie oferuje wersji urządzenia, a klienci Gartner zgłosili obawy dotyczące modelu licencjonowania i kosztów wdrożenia - w odpowiedzi, Splunk wprowadził nowe metody licencjonowania, w tym umowę o adopcji przedsiębiorstwa (EAA).

Splunk - Screenshot wyniku zdrowotnego

Plusy i minusy

Tak jak w przypadku poprzedniego produktu, oto lista najważniejszych zalet i wad zgłoszonych przez użytkowników Splunk.

Plusy

  • Narzędzie bardzo dobrze zbiera logi z prawie wszystkich typów maszyn - większość alternatywnych produktów również tego nie robi.
  • Splunk zapewnia grafikę dla użytkownika, umożliwiając mu przekształcenie logów w elementy wizualne, takie jak wykresy kołowe, wykresy, tabele itp.
  • Jest bardzo szybki w zgłaszaniu i ostrzeganiu o anomaliach. Opóźnienie jest niewielkie.

Cons

  • SplunkJęzyk wyszukiwania sięga bardzo głęboko. Jednak wykonanie bardziej zaawansowanego formatowania lub analizy statystycznej wymaga nieco krzywej uczenia się. Splunk dostępne jest szkolenie do nauki języka wyszukiwania i manipulowania danymi, ale może kosztować od 500,00 USD do 1 500,00 USD.
  • Możliwości tego pulpitu są całkiem przyzwoite, ale wykonanie bardziej ekscytujących wizualizacji wymaga nieco rozwoju przy użyciu prostego XML, Javascript i CSS.
  • Producent bardzo szybko wprowadza drobne poprawki, ale z powodu dużej liczby błędów, na które natrafiliśmy, musieliśmy aktualizować nasze środowisko cztery razy w ciągu dziewięciu miesięcy.

Ceny i licencjonowanie

Splunk EnterpriseCeny zależą od tego, ile łącznych danych maszwysłać do niego każdego dnia. Zaczyna się od 150 USD miesięcznie do 1 GB pobieranych danych dziennie. Dostępne są zniżki ilościowe. Cena ta obejmuje nieograniczoną liczbę użytkowników, nieograniczoną liczbę wyszukiwań, wyszukiwanie w czasie rzeczywistym, analizę i wizualizację, monitorowanie i alarmowanie, standardowe wsparcie i wiele innych. Musisz skontaktować się ze sprzedażą Splunk, aby uzyskać szczegółową wycenę. Podobnie jak większość produktów w tym przedziale cenowym, dostępna jest bezpłatna wersja próbna dla tych, którzy chcieliby wypróbować produkt.

Co powiedziano o tych dwóch produktach?

Użytkownicy centralnej stacji IT dają SolarWinds 9 na 10 i Splunk 8 na 10. Jednak użytkownicy Gartner Peer Insights odwracają kolejność, dając Splunk 4,3 na 5 oraz SolarWinds 4 z 5.

Napisał to Jeffrey Robinette, inżynier systemowy w Foxhole Technology SolarWinds„Gotowe raporty i pulpit są kluczową zaletą, zauważając, że„ Pozwala nam to monitorować dostęp i szybko pobierać raporty cybernetyczne. Nigdy więcej przeszukiwania dzienników na każdym serwerze. ”

W porównaniu do SplunkRobinette tak powiedziała SolarWinds nie wymaga wielu dostosowań, a jego cena jest niższa, podczas gdy o nim pisał Splunk że „potrzebujesz doktora na temat dostosowywania raportów. ”

Dla Raul Lapaz, starszy dział bezpieczeństwa IT w Roche, podczas Splunk nie jest tani, jego łatwość użycia, skalowalność, stabilność, szybkość wyszukiwarki i zgodność z szeroką gamą źródeł danych sprawiają, że warto.

Lapaz wskazał jednak na kilka niedociągnięć,w tym na przykład fakt, że zarządzanie klastrami można wykonać tylko za pomocą wiersza polecenia i że uprawnienia nie są zbyt elastyczne. Napisał: „Byłoby miło mieć bardziej szczegółowe opcje, takie jak uwierzytelnianie dwuskładnikowe”.

Przeczytaj także

Filtruj i przeglądaj dzienniki zdarzeń Windows i SCOM za pomocą Log Smith
6 najlepszych narzędzi do zarządzania logami dla systemu Linux w 2019 r
Monitor wydajności sieci SolarWinds vs WhatsUp Gold - przegląd porównawczy
7 najlepszych systemów zapobiegania włamaniom (IPS) na rok 2019
6 najlepszych narzędzi do zarządzania informacjami i zdarzeniami (SIEM), które warto sprawdzić w 2019 r
Szczegółowy przegląd SolarWinds Access Rights Manager
Histogram porównawczy w programie Excel 2010
Evite dla Androida: Twórz i wysyłaj zbiorczo zaproszenia na wydarzenia
Jak pozbyć się zaproszeń na wydarzenia ze spamem w aplikacji kalendarza [iOS]
Apple Wrzesień 2015 Wydarzenie Wszystkie specyfikacje i ceny urządzeń
Jak oglądać wydarzenie Apple we wrześniu 2015 r. W Internecie
Wykonaj kopię zapasową powiadomień na Androida i sprawdź je po ich odrzuceniu

Komentarze