Este o junglă acolo! Persoanele cu intenție bolnavă sunt peste tot și sunt după tine. Ei bine, probabil nu tu personal, ci mai degrabă datele dumneavoastră. Nu mai suntem doar viruși pe care trebuie să-i protejăm, ci tot felul de atacuri care vă pot lăsa rețeaua - și organizația dvs. - într-o situație gravă. Datorită proliferării diferitelor sisteme de protecție, cum ar fi antivirusuri, firewall-uri și sisteme de detectare a intruziunilor, administratorii de rețea sunt acum inundați de informații pe care trebuie să le coreleze, încercând să le înțeleagă. Acesta este locul în care sistemele de informații de securitate și gestionare a evenimentelor (SIEM) vin la îndemână. Ei se ocupă cu cea mai mare parte a muncii înspăimântătoare de a trata prea multe informații. Pentru a vă face munca de selectare a unui SIEM mai ușor, vă prezentăm cele mai bune instrumente de informare de securitate și gestionare a evenimentelor (SIEM).
Astăzi, începem analiza discutând desprescena amenințării moderne. După cum am spus, nu mai sunt doar viruși. Apoi, vom încerca să explicăm mai bine care este exact SIEM și vom vorbi despre diferitele componente care formează un sistem SIEM. Unele dintre ele ar putea fi mai importante decât altele, dar importanța lor relativă ar putea fi diferită pentru diferite persoane. Și în sfârșit, vom prezenta selecția noastră dintre cele șase cele mai bune instrumente de informare de securitate și gestionare a evenimentelor (SIEM) și le vom revizui pe scurt.
Scena amenințărilor moderne
Securitatea computerului era doar despre virusprotecţie. În ultimii ani, însă, au fost descoperite mai multe tipuri diferite de atacuri. Ele pot lua forma de atacuri de refuz de serviciu (DoS), furt de date și multe altele. Și nu mai vin doar din afară. Multe atacuri provin din interiorul unei rețele. Deci, pentru protecția finală, au fost inventate diverse tipuri de sisteme de protecție. Pe lângă antivirusul și firewall-ul tradițional, avem acum sisteme de detectare a intruziunilor și de prevenire a pierderilor de date (IDS și DLP), de exemplu.
Desigur, cu cât adăugați mai multe sisteme, cu atât mai multemunca pe care le-ai gestionat. Fiecare sistem monitorizează niște parametri specifici pentru anomalii și le va înregistra și / sau declanșa alerte atunci când sunt descoperite. Nu ar fi frumos dacă monitorizarea tuturor acestor sisteme ar putea fi automatizată? Mai mult, unele tipuri de atacuri ar putea fi detectate de mai multe sisteme pe măsură ce trec prin diferite etape. Nu ar fi mult mai bine dacă ați putea răspunde la toate evenimentele conexe ca unul singur? Ei bine, acesta este exact ceea ce înseamnă SIEM.
Ce este SIEM, exact?
Numele spune totul. Informații de securitate și gestionarea evenimentelor este procesul de gestionare a informațiilor și evenimentelor de securitate. Concret, un sistem SIEM nu oferă nicio protecție. Scopul său principal este de a ușura viața administratorilor de rețea și de securitate. Ceea ce face într-adevăr un sistem tipic SIEM este să strângem informații din diferite sisteme de protecție și detectare, să coreleze toate aceste informații care să asume evenimente conexe și să reacționeze la evenimente semnificative în diverse moduri. Adesea, sistemele SIEM vor include, de asemenea, o formă de raportare și tablouri de bord.
Componentele esențiale ale unui sistem SIEM
Urmează să explorăm în detalii mai profundecomponentă majoră a unui sistem SIEM. Nu toate sistemele SIEM includ toate aceste componente și, chiar și atunci când funcționează, ar putea avea funcționalități diferite. Cu toate acestea, acestea sunt cele mai de bază componente pe care le-ar găsi de obicei, într-o formă sau alta, în orice sistem SIEM.
Colectarea și gestionarea jurnalului
Colecția și administrarea jurnalului este principalulcomponentă a tuturor sistemelor SIEM. Fără ea, nu există SIEM. Sistemul SIEM trebuie să achiziționeze date de jurnal dintr-o varietate de surse diferite. O poate trage sau diferite sisteme de detecție și protecție o pot împinge către SIEM. Deoarece fiecare sistem are propriul său mod de clasificare și înregistrare a datelor, revine SIEM să normalizeze datele și să le facă uniforme, indiferent de sursă.
După normalizare, datele înregistrate vor fi adeseacomparativ cu tiparele de atac cunoscute, în încercarea de a recunoaște cât mai devreme comportamentul rău intenționat. De asemenea, datele vor fi deseori comparate cu datele colectate anterior pentru a ajuta la construirea unei linii de bază care va spori și mai mult detectarea anormală a activității.
Răspuns eveniment
Odată detectat un eveniment, trebuie făcut cevadespre. Este vorba despre modulul de răspuns la evenimentul sistemului SIEM. Răspunsul la eveniment poate lua diferite forme. În implementarea sa de bază, va fi generat un mesaj de alertă pe consola sistemului. Deseori, de asemenea, pot fi generate alerte prin e-mail sau SMS.
Dar cele mai bune sisteme SIEM merg cu un pas mai departe șiva iniția adesea un anumit proces de remediere. Din nou, acesta este ceva care poate lua multe forme. Cele mai bune sisteme au un sistem complet de flux de lucru cu răspuns la incidente care poate fi personalizat pentru a oferi exact răspunsul dorit. Și așa cum ne-am aștepta, răspunsul la incidente nu trebuie să fie uniform și evenimentele diferite pot declanșa diferite procese. Cele mai bune sisteme vă vor oferi un control complet asupra fluxului de lucru cu răspunsul la incident.
Raportarea
Odată ce ai colectarea și gestionarea jurnaluluiși sistemele de răspuns în vigoare, următorul bloc de construcții de care aveți nevoie este raportarea. Poate că nu îl știți încă, dar veți avea nevoie de rapoarte. Conducerea superioară va avea nevoie de ei să vadă de la sine că investiția lor într-un sistem SIEM plătește. De asemenea, este posibil să aveți nevoie de rapoarte pentru scopuri de conformitate. Respectarea standardelor precum PCI DSS, HIPAA sau SOX poate fi ușurată atunci când sistemul SIEM poate genera rapoarte de conformitate.
Rapoartele pot să nu fie în centrul unui sistem SIEMdar totuși, este o componentă esențială. Și deseori, raportarea va fi un factor major de diferențiere între sistemele concurente. Rapoartele sunt ca niște bomboane, nu poți avea niciodată prea multe. Și, desigur, cele mai bune sisteme vă vor permite să creați rapoarte personalizate.
Tabloul de bord (s)
Nu în ultimul rând, tabloul de bord va fi al tăufereastra în starea sistemului dvs. SIEM. Și chiar ar putea exista mai multe tablouri de bord. Deoarece persoane diferite au priorități și interese diferite, tabloul de bord perfect pentru un administrator de rețea va fi diferit de cel al unui administrator de securitate. Și un executiv va avea nevoie de unul complet diferit.
În timp ce nu putem evalua un sistem SIEM până lanumărul de tablouri de bord pe care le are, trebuie să alegeți unul care are toate tablourile de bord de care aveți nevoie. Acesta este cu siguranță un lucru pe care veți dori să îl țineți cont atunci când evaluați furnizorii. La fel ca în cazul rapoartelor, cele mai bune sisteme vă vor permite să creați tablouri de bord personalizate după bunul plac.
Principalele noastre 6 instrumente SIEM
Există o mulțime de sisteme SIEM acolo. Mult prea multe, de fapt, pentru a le putea revizui pe toate aici. Așadar, am căutat pe piață, am comparat sisteme și am creat o listă cu ceea ce am considerat că sunt cele șase cele mai bune instrumente de informare și gestionare a securității (SIEM). Le enumerăm în ordinea preferințelor și le vom revizui pe scurt. Dar, în ciuda comenzii lor, toate cele șase sunt sisteme excelente pe care vă putem recomanda doar să le încercați singur.
Iată care sunt principalele noastre 6 instrumente SIEM
- SolarWinds Log & Event Manager
- Splunk Enterprise Security
- RSA NetWitness
- ArcSight Enterprise Security Manager
- McAfee Enterprise Security Manager
- IBM QRadar SIEM
1. SolarWinds Log & Event Manager (TRIAL GRATUIT de 30 de zile)
SolarWinds este un nume comun în rețealume de monitorizare. Produsul lor principal, Network Performance Monitor este unul dintre cele mai bune instrumente de monitorizare SNMP disponibile. Compania este cunoscută și pentru numeroasele sale instrumente gratuite, cum ar fi Calculatorul de subrețea sau serverul SFTP.
Instrumentul SIEM al SolarWinds, Managerul de jurnal și evenimente(LEM) este cel mai bine descris ca un sistem SIEM entry-level. Dar este posibil unul dintre cele mai competitive sisteme la nivel de intrare de pe piață. LEM SolarWinds are tot ceea ce vă puteți aștepta de la un sistem SIEM. Are funcții excelente de gestionare și corelare lungă și un motor impresionant de raportare.
În ceea ce privește caracteristicile de răspuns la evenimentul instrumentului, acesteanu lasa nimic de dorit. Sistemul de răspuns detaliat în timp real va reacționa activ la fiecare amenințare. Și din moment ce se bazează pe comportament și nu pe semnătură, sunteți protejat împotriva amenințărilor necunoscute sau viitoare.
Panoul de bord al instrumentului este probabil cel mai bunactiv. Cu un design simplu, nu veți avea probleme în identificarea rapidă a anomaliilor. Începând cu aproximativ 4 500 USD, instrumentul este mai mult decât accesibil. Și dacă doriți să o încercați mai întâi, o versiune de încercare gratuită complet funcțională de 30 de zile este disponibilă pentru descărcare.
2. Splunk Enterprise Security
Posibil unul dintre cele mai populare sistem SIEM,Splunk Enterprise Security - sau Splunk ES, cum este adesea numit - este deosebit de faimos pentru capacitățile sale de analiză. Splunk ES monitorizează datele sistemului dvs. în timp real, căutând vulnerabilități și semne de activitate anormală.
Răspunsul la securitate este unul dintre cele mai puternice Splunk EScostume. Sistemul folosește ceea ce Splunk numește Adaptive Response Framework (ARF) care se integrează cu echipamente de la mai mult de 55 de furnizori de securitate. ARF efectuează răspuns automat, grăbind sarcinile manuale. Acest lucru vă va permite să câștigați rapid mâna superioară. Adăugați la aceasta o interfață de utilizator simplă și neclintită și aveți o soluție câștigătoare. Alte caracteristici interesante includ funcția Notables, care afișează alerte personalizabile pentru utilizator și Investigatorul de active pentru semnalizarea activităților dăunătoare și prevenirea problemelor suplimentare.
Splunk ES este cu adevărat un produs de calitate a întreprinderiiși vine cu o marcă de preț de dimensiune întreprindere. Nici măcar nu puteți obține informații despre prețuri de pe site-ul web al Splunk. Pentru a obține un preț, trebuie să contactați departamentul de vânzări. În ciuda prețului său, acesta este un produs excelent și poate doriți să contactați Splunk și să profitați de o probă gratuită.
3. RSA NetWitness
Din 20016, NetWitness sa concentrat pe produsesprijinirea „conștientizării situației în rețea în timp real și a unui răspuns agil în rețea”. După ce a fost achiziționată de EMC, care apoi a fuzionat cu Dell, afacerea Newitness este acum parte a filialei RSA a corporației. Și aceasta este o veste bună RSA este un nume celebru în domeniul securității.
RSA NetWitness este ideal pentru organizațiile care cautăo soluție completă de analiză a rețelei. Instrumentul încorporează informații despre afacerea dvs. care ajută la prioritizarea alertelor. Potrivit RSA, sistemul „colectează date în mai multe puncte de captare, platforme de calcul și surse de informații amenințătoare decât alte soluții SIEM”. Există, de asemenea, detectarea avansată a amenințărilor care combină analiza comportamentală, tehnici de știință a datelor și informații despre amenințări. Și în sfârșit, sistemul avansat de răspuns are funcții de orchestrare și automatizare pentru a ajuta la eliminarea amenințărilor înainte de a vă afecta afacerea.
Unul dintre dezavantajele principale ale RSA NetWitness estecă nu este cel mai ușor de utilizat și configurat. Cu toate acestea, există o documentație completă disponibilă care vă poate ajuta la configurarea și utilizarea produsului. Acesta este un alt produs de calitate întreprinderii și va trebui să contactați vânzările pentru a obține informații despre prețuri.
4. Manager ArcSight Enterprise Security
ArcSight Enterprise Security Manager vă ajutăidentifică și prioritizează amenințările de securitate, organizează și urmărește activitățile de răspuns la incidente și simplifică activitățile de audit și de conformitate. Vândută anterior sub marca HP, acum a fuzionat cu Micro Focus, o altă filială HP.
De mai bine de cincisprezece ani,ArcSight este un alt instrument SIEM extrem de popular. Compilează datele de jurnal din diverse surse și efectuează analize de date extinse, căutând semne de activitate dăunătoare. Pentru a facilita identificarea rapidă a amenințărilor, puteți vedea rezultatele analizei reale.
Iată o serie de caracteristici principale ale produselor. Are o corelație puternică distribuită în timp real, automatizare a fluxului de lucru, orchestrare de securitate și conținut de securitate bazat pe comunitate. Enterprise Security Manager se integrează, de asemenea, cu alte produse ArcSight, cum ar fi platforma de date ArcSight și Event Broker sau ArcSight Investigate. Acesta este un alt produs la nivel de întreprindere - cum ar fi aproape toate instrumentele SIEM de calitate - care va solicita să contactați echipa de vânzări ArcSight pentru a obține informații despre prețuri.
5. McAfee Enterprise Security Manager
McAfee este cu siguranță un alt nume al gospodăriei dinindustria de securitate. Cu toate acestea, este mai cunoscut pentru produsele sale de protecție împotriva virusurilor. Managerul de securitate Enterprise nu este doar software. Este de fapt un aparat. Puteți obține în formă virtuală sau fizică.
În ceea ce privește capacitățile sale de analiză,McAfee Enterprise Security Manager este considerat unul dintre cei mai buni instrumente SIEM de către mulți. Sistemul colectează jurnalele într-o gamă largă de dispozitive. În ceea ce privește capacitățile sale de normalizare, acesta este, de asemenea, de prim rang. Motorul de corelație compilează cu ușurință surse de date disparate, făcând mai ușor să detecteze evenimentele de securitate pe măsură ce se întâmplă
Pentru a fi adevărat, există mai multe soluții McAfeedecât doar Managerul său de securitate Enterprise. Pentru a obține o soluție SIEM completă, de asemenea, aveți nevoie de Managerul de jurnal Enterprise și Primitorul de evenimente. Din fericire, toate produsele pot fi ambalate într-un singur aparat. Pentru aceia dintre voi care ar putea dori să încerce produsul înainte de a-l cumpăra, este disponibil un proces gratuit.
6. IBM QRadar
IBM, posibil cel mai cunoscut nume din ITindustria a reușit să-și stabilească soluția SIEM, IBM QRadar este unul dintre cele mai bune produse de pe piață. Instrumentul dă posibilitatea analiștilor de securitate pentru a detecta anomalii, pentru a descoperi amenințări avansate și pentru a elimina falsele pozitive în timp real.
IBM QRadar are la dispoziție o suită de gestionare a jurnalelor, datecolecție, analize și funcții de detectare a intruziunilor. Împreună, vă ajută să vă mențineți infrastructura de rețea funcțională. Există, de asemenea, analize de modelare a riscurilor care pot simula atacurile potențiale.
Unele dintre caracteristicile cheie ale QRadar includ capacitateapentru a implementa soluția la fața locului sau într-un mediu cloud. Este o soluție modulară și se poate adăuga rapid și ieftin mai multă stocare a puterii de procesare. Sistemul folosește expertiza de informații de la IBM X-Force și se integrează perfect cu sute de produse IBM și non-IBM.
IBM fiind IBM, vă puteți aștepta să plătiți un preț premium pentru soluția lor SIEM. Dar dacă aveți nevoie de unul dintre cele mai bune instrumente SIEM de pe piață, QRadar ar putea foarte bine să merite investiția.
In concluzie
Singura problemă pe care riscați să o aveți atunci când faceți cumpărăturilepentru cel mai bun instrument de informare de securitate și monitorizare a evenimentelor (SIEM) este abundența de opțiuni excelente. Tocmai am introdus cele mai bune șase. Toate sunt alegeri excelente. Cel pe care îl veți alege va depinde în mare măsură de nevoile dvs. exacte, de bugetul dvs. și de timpul pe care doriți să îl configurați. Din păcate, configurația inițială este întotdeauna partea cea mai grea și de aici lucrurile pot merge prost dacă un instrument SIEM nu este configurat corect, nu își va putea face treaba corect.
Textul 50 - 2300
Comentarii