- - SolarWinds Log & Event Manager vs Splunk - Uma revisão comparativa

SolarWinds Log & Event Manager vs Splunk - Uma revisão comparativa

Um dos mais importantes - se não o maisimportante - os ativos de muitas das organizações de hoje são seus dados. É tão importante e valioso que muitos indivíduos ou organizações mal intencionados se esforçam ao máximo para roubar esses dados preciosos. Eles fazem isso usando uma vasta gama de técnicas e tecnologias para obter acesso não autorizado a redes e sistemas. O número de tais tentativas parece estar crescendo exponencialmente o tempo todo. Para evitar isso, sistemas chamados Intrusion Prevention Systems, ou IPS, estão sendo implantados por empresas que desejam proteger seus ativos de dados. o Gerenciador de log e eventos da SolarWinds assim como Splunk Existem dois produtos não convencionais nessa arena. Hoje, estamos comparando os dois.

Começaremos nossa exploração dando uma olhadaprevenção de intrusões em geral. Isso ajudará a arrumar a mesa para o que está por vir. Vamos tentar mantê-lo o mais não técnico possível. Nossa idéia não é fazer com que você seja um especialista em prevenção de intrusões, mas garantir que todos nós estamos na mesma página, à medida que exploramos os dois produtos. Falando em explorar os produtos, é isso que temos a seguir. Primeiro descreveremos os principais recursos do SolarWinds Log & Event Manager. Depois, veremos os pontos fortes e fracos do produto e seus prós e contras, conforme relatado pelos usuários da plataforma e concluiremos nossa visão geral. do produto, observando sua estrutura de preços e licenciamento. Em seguida, revisaremos o Splunk usando um formato idêntico aos recursos do produto, seus pontos fortes e fracos, seus prós e contras e estrutura de preços. Por fim, concluiremos com o que os usuários têm a dizer sobre os dois produtos.

Prevenção de intrusões - O que é isso tudo?

Anos atrás, os vírus eram praticamente os únicospreocupações dos administradores de sistema. Os vírus chegaram a um ponto em que eram tão comuns que a indústria reagiu desenvolvendo ferramentas de proteção contra vírus. Hoje, nenhum usuário sério, em sã consciência, pensaria em executar um computador sem proteção contra vírus. Enquanto não ouvimos mais muitos vírus, a invasão - ou o acesso não autorizado a seus dados por usuários mal-intencionados - é uma nova ameaça. Como os dados costumam ser o ativo mais importante de uma organização, as redes corporativas tornaram-se alvo de hackers mal intencionados, que se esforçam ao máximo para obter acesso aos dados. Assim como o software de proteção contra vírus foi a resposta para a proliferação de vírus, o Intrusion Prevention Systems é a resposta para ataques de invasores.

Os sistemas de prevenção de intrusões fazem basicamente duascoisas. Primeiro, eles detectam tentativas de invasão e, quando detectam atividades suspeitas, usam métodos diferentes para pará-lo ou bloqueá-lo. Existem duas maneiras diferentes pelas quais as tentativas de invasão podem ser detectadas. A detecção baseada em assinatura funciona analisando o tráfego e os dados da rede e procurando padrões específicos associados às tentativas de invasão. Isso é semelhante aos sistemas tradicionais de proteção contra vírus, que dependem das definições de vírus. A detecção de intrusão baseada em assinatura depende de assinaturas ou padrões de intrusão. A principal desvantagem desse método de detecção é que ele precisa que as assinaturas adequadas sejam carregadas no software. E quando um novo método de ataque, geralmente há um atraso antes da atualização das assinaturas de ataque. Alguns fornecedores são muito rápidos em fornecer assinaturas de ataque atualizadas, enquanto outros são muito mais lentos. Com que frequência e com que rapidez as assinaturas são atualizadas é um fator importante a ser considerado ao escolher um fornecedor.

A detecção baseada em anomalias oferece melhor proteçãocontra ataques de dia zero, aqueles que acontecem antes das assinaturas de detecção tiveram a chance de serem atualizados. O processo procura anomalias em vez de tentar reconhecer padrões de intrusão conhecidos. Por exemplo, seria acionado se alguém tentasse acessar um sistema com uma senha errada várias vezes seguidas, um sinal comum de um ataque de força bruta. Este é apenas um exemplo e normalmente existem centenas de atividades suspeitas diferentes que podem acionar esses sistemas. Ambos os métodos de detecção têm vantagens e desvantagens. As melhores ferramentas são aquelas que usam uma combinação de análise de assinatura e comportamento para obter a melhor proteção.

Detectar tentativa de intrusão é a primeira partede impedi-los. Uma vez detectados, os Sistemas de Prevenção de Intrusões trabalham ativamente para interromper as atividades detectadas. Várias ações corretivas diferentes podem ser realizadas por esses sistemas. Eles poderiam, por exemplo, suspender ou desativar as contas de usuário. Outra ação típica é bloquear o endereço IP de origem do ataque ou modificar as regras do firewall. Se a atividade maliciosa vier de um processo específico, o sistema de prevenção poderá interromper o processo. Iniciar algum processo de proteção é outra reação comum e, nos piores casos, sistemas inteiros podem ser desligados para limitar possíveis danos. Outra tarefa importante da Intrusion Prevention Systems é alertar os administradores, registrar o evento e relatar atividades suspeitas.

Medidas passivas de prevenção de intrusões

Embora os sistemas de prevenção contra intrusões possam protegercontra vários tipos de ataques, nada supera as boas e antiquadas medidas de prevenção de intrusões passivas. Por exemplo, exigir senhas fortes é uma excelente maneira de se proteger contra muitas invasões. Outra medida de proteção fácil é alterar as senhas padrão do equipamento. Embora seja menos frequente nas redes corporativas - embora não seja algo inédito -, tenho visto com muita frequência gateways da Internet que ainda possuem a senha de administrador padrão. Enquanto o assunto das senhas, o envelhecimento da senha é outro passo concreto que pode ser implementado para reduzir as tentativas de invasão. Qualquer senha, mesmo a melhor, pode eventualmente ser quebrada, com tempo suficiente. A duração da senha garante que as senhas sejam alteradas antes de serem quebradas.

O SolarWinds Log & Event Manager (Avaliação gratuita disponível)

SolarWinds é um nome conhecido na administração de rede. Goza de uma sólida reputação por criar algumas das melhores ferramentas de administração de rede e sistema. Seu principal produto, o Monitor de desempenho de rede pontua consistentemente entre as principais ferramentas de monitoramento de largura de banda de rede disponíveis. O SolarWinds também é famoso por suas muitas ferramentas gratuitas, cada uma abordando uma necessidade específica de administradores de rede. o Servidor Kiwi Syslog ou o SolarWinds TFTP Server são dois excelentes exemplos dessas ferramentas gratuitas.

Não deixe o Gerenciador de log e eventos da SolarWindsO nome engana você. Há muito mais do que aparenta. Alguns dos recursos avançados deste produto o qualificam como um sistema de detecção e prevenção de intrusões, enquanto outros o colocam na faixa de Gerenciamento de informações e eventos de segurança (SIEM). A ferramenta, por exemplo, apresenta correlação de eventos em tempo real e correção em tempo real.

SolarWinds LEM - Painel

  • TESTE GRÁTIS: Gerenciador de log e eventos da SolarWinds
  • Link para Download: https://www.solarwinds.com/log-event-manager-software/registration

o Gerenciador de log e eventos da SolarWinds possui detecção instantânea de suspeitaatividade (uma funcionalidade de detecção de intrusões) e respostas automatizadas (uma funcionalidade de prevenção de intrusões). Essa ferramenta também pode ser usada para executar investigação e forense de eventos de segurança. Pode ser usado para fins de mitigação e conformidade. A ferramenta apresenta relatórios comprovados por auditoria que também podem ser usados ​​para demonstrar conformidade com várias estruturas regulatórias, como HIPAA, PCI-DSS e SOX. A ferramenta também possui monitoramento de integridade de arquivos e monitoramento de dispositivos USB. Todos os recursos avançados do software o tornam mais uma plataforma de segurança integrada do que apenas o sistema de gerenciamento de logs e eventos em que o nome levaria você a acreditar.

Os recursos de Prevenção de intrusões do Gerenciador de log e eventos da SolarWinds funciona implementando ações chamadas ActiveRespostas sempre que ameaças são detectadas. Respostas diferentes podem ser vinculadas a alertas específicos. Por exemplo, o sistema pode gravar em tabelas de firewall para bloquear o acesso à rede de um endereço IP de origem que foi identificado como executando atividades suspeitas. A ferramenta também pode suspender contas de usuário, interromper ou iniciar processos e desligar sistemas. Você se lembrará de como essas são precisamente as ações de correção que identificamos antes.

Forças e fraquezas

Segundo o Gartner, o SolarWinds Gerente de Logs e Eventos "Oferece uma solução bem integrada que é umaparticularmente adequado para pequenas e médias empresas, graças à sua arquitetura simples, licenciamento fácil e conteúdo e recursos robustos e prontos para uso ”. A ferramenta oferece várias fontes de eventos e oferece algumas funcionalidades de controle de quarentena e contenção de ameaças que não são comumente disponíveis em produtos concorrentes.

No entanto, a empresa de pesquisa também observa que esseO produto é um ecossistema fechado, o que torna difícil a integração com soluções de segurança de terceiros, como detecção avançada de ameaças, feeds de inteligência de ameaças e ferramentas UEBA. Como a empresa escreveu: “As integrações com as ferramentas do service desk também estão limitadas à conectividade unidirecional por email e SNMP”.

Além disso, o monitoramento de ambientes SaaSnão é suportado pelo produto e o monitoramento de IaaS é limitado. Os clientes que desejam estender seu monitoramento para redes e aplicativos devem adquirir outros produtos SolarWinds.

SolarWinds LEM - Relatórios de conformidade

  • TESTE GRÁTIS: Gerenciador de log e eventos da SolarWinds
  • Link para Download: https://www.solarwinds.com/log-event-manager-software/registration

Prós e contras

Reunimos os prós e contras mais significativos que os usuários dos Gerentes de log e eventos da SolarWinds relataram. Aqui está o que eles têm a dizer.

Prós

  • O produto é incrivelmente fácil de configurar. Ele foi implantado e tinha fontes de log apontadas para ele e estava executando correlações básicas em um dia.
  • As respostas automatizadas que estão disponíveis após a implantação do agente oferecem um controle incrível para responder a eventos na sua rede.
  • A interface da ferramenta é fácil de usar. Alguns produtos concorrentes podem ser assustadores para aprender a usar e se acostumar, mas o Gerenciador de log e eventos da SolarWinds possui um layout intuitivo e é muito fácil de pegar e usar.

Contras

  • O produto não possui analisador personalizado. Inevitavelmente, haverá na sua rede um produto que o The Gerenciador de log e eventos da SolarWinds não saberá analisar. Algumas soluções concorrentes utilizam analisadores personalizados por esse motivo. Este produto não tem suporte para a criação de analisadores personalizados, portanto, formatos de log desconhecidos permanecem sem análise.
  • Às vezes, a ferramenta pode ser muito básica. É uma excelente ferramenta para executar correlações básicas em um ambiente de pequeno a médio porte. No entanto, se você tentar ficar muito avançado com as correlações que está tentando executar, poderá ficar frustrado com a falta de funcionalidade da ferramenta, principalmente devido à maneira como ela analisa os dados.

Preços e Licenciamento

Preços do SolarWinds Log & Event Managervaria de acordo com o número de nós monitorados. Os preços começam em US $ 4.585 para até 30 nós monitorados e as licenças para até 2500 nós podem ser adquiridas com várias camadas de licenciamento, tornando o produto altamente escalável. Se você deseja levar o produto para uma execução de teste e verificar se é adequado para você, está disponível uma avaliação gratuita de 30 dias com todos os recursos.

Splunk

Splunk é possivelmente um dos mais populares sistemas de prevenção de intrusões. Está disponível em várias edições diferentes, com diferentes conjuntos de recursos. Splunk Enterprise Security-ou Splunk ES, como costuma ser chamado - é o que você precisa para uma verdadeiraprevenção de intrusões. E é isso que estamos vendo hoje. O software monitora os dados do seu sistema em tempo real, procurando vulnerabilidades e sinais de atividade anormal. Embora seu objetivo de prevenir invasões seja semelhante ao SolarWinds', A maneira como ela alcança é diferente.

Splunk - Captura de tela do Deep Dive

A resposta de segurança é um dos SplunkSão os fatos fortes e é o que o torna um Sistema de Prevenção de Intrusões e uma alternativa ao SolarWinds produto acabado de revisar. Ele usa o que o fornecedor chama de Estrutura de Resposta Adaptativa (ARF) A ferramenta se integra a equipamentos de mais de 55 fornecedores de segurança e pode executar respostas automatizadas, agilizando tarefas manuais e fornecendo uma reação mais rápida. A combinação de correção automatizada e intervenção manual oferece as melhores chances de ganhar rapidamente a vantagem. A ferramenta possui uma interface de usuário simples e organizada, criando uma solução vencedora. Outros recursos interessantes de proteção incluem o "Notáveis", Que mostra alertas personalizáveis ​​pelo usuário e os"Investigador de ativos”Por sinalizar atividades maliciosas e evitar outros problemas.

Forças e fraquezas

SplunkO grande ecossistema de parceiros oferece integração e Splunkespecífico por meio do Splunkbase loja de aplicativos. O conjunto completo de soluções do fornecedor também facilita o crescimento dos usuários na plataforma ao longo do tempo, e os recursos avançados de análise estão disponíveis de várias maneiras em todo o mundo. Splunk ecossistema.

No lado negativo, Splunk não oferece uma versão de solução da solução, e os clientes do Gartner levantaram preocupações sobre o modelo de licenciamento e o custo de implementação - em resposta, Splunk introduziu novas abordagens de licenciamento, incluindo o Enterprise Adoption Agreement (EAA).

Splunk - Screenshot da Pontuação de Saúde

Prós e contras

Como fizemos com o produto anterior, aqui está uma lista dos prós e contras mais importantes, conforme relatado pelos usuários de Splunk.

Prós

  • A ferramenta reúne registros muito bem de quase todos os tipos de máquinas - a maioria dos produtos alternativos não faz isso tão bem.
  • Splunk fornece recursos visuais ao usuário, permitindo a transformação de logs em elementos visuais, como gráficos de pizza, gráficos, tabelas, etc.
  • É muito rápido em relatar e alertar sobre anomalias. Há pouco atraso.

Contras

  • SplunkO idioma de pesquisa é muito profundo. No entanto, fazer algumas das análises avançadas de formatação ou estatística envolve um pouco de uma curva de aprendizado. Splunk está disponível treinamento para aprender o idioma de pesquisa e manipular seus dados, mas pode custar entre US $ 500,00 e US $ 1 500,00.
  • Os recursos do painel da ferramenta são bastante decentes, mas para realizar visualizações mais interessantes, é necessário um pouco de desenvolvimento usando XML, Javascript e CSS simples.
  • O fornecedor lança revisões menores muito rapidamente, mas devido ao grande número de erros em que encontramos, tivemos que atualizar nosso ambiente quatro vezes em nove meses.

Preços e Licenciamento

Splunk EnterpriseO preço é baseado na quantidade total de dados que vocêenvie para ele todos os dias. Ele começa em US $ 150 / mês com até 1 GB de dados ingeridos diariamente. Estão disponíveis descontos por volume. Esse preço inclui usuários ilimitados, pesquisas ilimitadas, pesquisa em tempo real, análise e visualização, monitoramento e alerta, suporte padrão e muito mais. Você precisará entrar em contato com as vendas da Splunk para obter uma cotação detalhada. Como a maioria dos produtos nesse tipo de faixa de preço, uma versão de avaliação gratuita está disponível para aqueles que desejam experimentar o produto.

O que foi dito sobre os dois produtos?

Os usuários da Estação Central de TI fornecem SolarWinds um 9 de 10 e Splunk 8 em 10. No entanto, os usuários do Gartner Peer Insights revertem a ordem, oferecendo Splunk um 4,3 de 5 e SolarWinds um 4 de 5.

Jeffrey Robinette, engenheiro de sistemas da Foxhole Technology, escreveu que SolarWindsReports Relatórios e painel prontos para uso são uma das principais forças, observando que “Ele nos permite monitorar o acesso e extrair relatórios cibernéticos rapidamente. Chega de pesquisar os logs em cada servidor. ”

Em comparação a SplunkRobinette disse que SolarWinds não exige muita personalização e seus preços são mais baixos, enquanto ele escreveu sobre Splunk que “você precisa de um Ph.D. na personalização dos relatórios ".

Para Raul Lapaz, as operações sênior de segurança de TI da Roche, enquanto Splunk não é barato, sua facilidade de uso, escalabilidade, estabilidade, a velocidade do mecanismo de pesquisa e a compatibilidade com uma ampla variedade de fontes de dados valem a pena.

Lapaz, no entanto, apontou algumas falhas,incluindo, por exemplo, o fato de que o gerenciamento de cluster só pode ser feito via linha de comando e que as permissões não são muito flexíveis. Ele escreveu: "Seria bom ter opções mais granulares, como autenticação de fator duplo".

Leia também

Filtrar e exibir logs de eventos do Windows e SCOM com o Log Smith
6 Melhores Ferramentas de Gerenciamento de Log para Linux em 2019
Monitor de desempenho de rede SolarWinds vs WhatsUp Gold - Revisão comparativa
7 Melhores Sistemas de Prevenção de Intrusões (IPS) em 2019
6 Melhores ferramentas de segurança da informação e gerenciamento de eventos (SIEM) que você precisa conhecer em 2019
Revisão detalhada do SolarWinds Access Rights Manager
Histograma Comparativo No Excel 2010
Evite For Android: criar e enviar cartões de convite para eventos em massa
Como se livrar de convites para eventos de spam no aplicativo Calendário [iOS]
Apple Setembro de 2015 Evento Todas as especificações e preços de dispositivos
Como assistir o evento da Apple de setembro de 2015 on-line
Faça backup de suas notificações do Android e analise-as após serem dispensadas

Comentários