- - SolarWinds Log & Event Manager vs Splunk - O revizuire comparativă

SolarWinds Log & Event Manager vs Splunk - O revizuire comparativă

Una dintre cele mai importante - dacă nu chiar cele mai multeimportante - activele multor organizații de astăzi sunt datele lor. Este atât de important și de valoros încât mulți indivizi sau organizații prost intenționate vor merge la distanțe mari pentru a fura aceste date prețioase. Acestea fac astfel încât folosind o gamă vastă de tehnici și tehnologii pentru a obține acces neautorizat la rețele și sisteme. Numărul acestor încercări pare să crească exponențial tot timpul. Pentru a preveni acest lucru, sistemele numite Sisteme de prevenire a intruziunilor sau IPS sunt implementate de întreprinderi care doresc să-și protejeze activele de date. SolarWinds Log & Event Manager precum și Splunk sunt două produse neconvenționale în arena respectivă. Astăzi, le comparăm pe cele două.

Vom începe explorarea noastră aruncând o privireprevenirea intruziunilor în general. Va ajuta la stabilirea mesei pentru ceea ce urmează. Vom încerca să o păstrăm cât mai ne-tehnic. Ideea noastră nu este să vă facem experți în prevenirea intruziunii, ci mai degrabă să ne asigurăm că suntem toți pe aceeași pagină, în timp ce explorăm în continuare ambele produse. Vorbind despre explorarea produselor, aceasta este ceea ce avem în continuare. Vom descrie mai întâi principalele caracteristici ale SolarWinds Log & Event Manager, urmăm să aruncăm o privire la puterea și slăbiciunile produsului și avantajele și avantajele sale, așa cum au raportat utilizatorii platformei și vom încheia o imagine de ansamblu a produsului aruncând o privire asupra prețurilor și a structurii sale de licențiere. Vom revizui apoi Splunk folosind un format identic cu caracteristicile produselor, punctele sale forte și punctele slabe, avantajele și avantajele sale și structura prețurilor. În cele din urmă, vom încheia cu ce au de spus utilizatorii despre cele două produse.

Prevenirea intruziunilor - despre ce este vorba?

Cu ani în urmă, virușii erau aproape singuriipreocupările administratorilor de sistem. Virusurile au ajuns într-un punct în care au fost atât de comune încât industria a reacționat dezvoltând instrumente de protecție împotriva virusului. Astăzi, niciun utilizator serios în mintea sa dreaptă nu s-ar gândi să ruleze un computer fără protecție împotriva virusului. Deși nu mai auzim mai multe despre viruși, intruziunea - sau accesul neautorizat la datele dvs. de către utilizatorii răuvoitori - reprezintă o nouă amenințare. Deoarece datele sunt adesea cel mai important atu al unei organizații, rețelele corporative au devenit ținta hackerilor cu intenție proastă, care vor merge foarte mult pentru a avea acces la date. La fel cum software-ul de protecție împotriva virusurilor a fost răspunsul la proliferarea de viruși, sistemele de prevenire a intruziunilor sunt răspunsul la atacurile intrusilor.

Sistemele de prevenire a intruziunilor fac în esență douălucruri. În primul rând, detectează încercări de intruziune și atunci când detectează orice activități suspecte, folosesc diferite metode pentru a opri sau bloca. Există două moduri diferite de încercare a intruziei. Detectarea bazată pe semnături funcționează prin analizarea traficului și a datelor din rețea și căutarea unor tipare specifice asociate încercărilor de intruziune. Acest lucru este similar cu sistemele tradiționale de protecție împotriva virusurilor care se bazează pe definițiile virusului. Detectarea pe bază de intruziune bazată pe semnături se bazează pe semnături sau modele de intruziune. Dezavantajul principal al acestei metode de detectare este că are nevoie de semnături adecvate pentru a fi încărcate în software. Și atunci când există o nouă metodă de atac, există de obicei o întârziere înainte de actualizarea semnăturilor de atac. Unii furnizori sunt foarte rapizi la furnizarea de semnături de atac actualizate, în timp ce alții sunt mult mai lent. Cât de des și cât de rapid sunt actualizate semnăturile este un factor important de luat în considerare atunci când alegeți un furnizor.

Detectarea bazată pe anomalii oferă o protecție mai bunăîmpotriva atacurilor de zile zero, cele care se întâmplă înainte de semnăturile de detectare au avut șansa de a fi actualizate. Procesul caută anomalii în loc să încerce să recunoască tiparele de intruziune cunoscute. De exemplu, acesta ar fi declanșat dacă cineva ar încerca să acceseze un sistem cu o parolă greșită de mai multe ori la rând, un semn comun al unui atac de forță brută. Acesta este doar un exemplu și există de obicei sute de activități suspecte diferite care pot declanșa aceste sisteme. Ambele metode de detectare au avantaje și dezavantaje. Cele mai bune instrumente sunt cele care utilizează o combinație de semnătură și analiză de comportament pentru cea mai bună protecție.

Detectarea încercării de intruziune este prima partede prevenire a acestora. Odată detectate, sistemele de prevenire a intruziunilor funcționează activ la oprirea activităților detectate. Mai multe acțiuni de remediere diferite pot fi întreprinse de aceste sisteme. Acestea ar putea, de exemplu, să suspende sau să dezactiveze altfel conturile de utilizator. O altă acțiune tipică este blocarea adresei IP sursă a atacului sau modificarea regulilor firewallului. Dacă activitatea dăunătoare provine dintr-un proces specific, sistemul de prevenire ar putea ucide procesul. Începerea unui proces de protecție este o altă reacție comună și, în cele mai grave cazuri, sistemele întregi pot fi închise pentru a limita daunele potențiale. O altă sarcină importantă a sistemelor de prevenire a intruziunilor este alertarea administratorilor, înregistrarea evenimentului și raportarea activităților suspecte.

Măsuri de prevenire a intruziunilor pasive

În timp ce sistemele de prevenire a intruziunilor pot protejatu împotriva numeroaselor tipuri de atacuri, nimic nu bate măsuri bune, de modă veche, de prevenire a intruziunilor. De exemplu, mandarea parolelor puternice este un mod excelent de protejare împotriva multor intruziuni. O altă măsură de protecție ușoară este schimbarea parolelor implicite ale echipamentelor. Deși este mai puțin frecvent în rețelele corporative - deși nu este încă necunoscut - am văzut doar prea des gateway-uri de Internet care aveau încă parola de administrare implicită. În ceea ce privește parolele, îmbătrânirea parolelor este un alt pas concret care poate fi pus în aplicare pentru a reduce încercările de intruziune. Orice parolă, chiar și cea mai bună, poate fi în cele din urmă fisurată, având suficient timp. Îmbătrânirea parolelor asigură modificarea parolelor înainte de a fi fisurate.

SolarWinds Log & Event Manager (Disponibil încercare GRATUITĂ)

SolarWinds este un nume bine cunoscut în administrarea rețelei. Se bucură de o reputație solidă pentru a face unele dintre cele mai bune instrumente de administrare a rețelei și a sistemului. Produsul său emblematic, Monitorizarea performanței rețelei scoruri constante printre cele mai bune instrumente de monitorizare a lățimii de bandă disponibile. SolarWinds este, de asemenea, renumit pentru numeroasele sale instrumente gratuite, fiecare adresându-se unei nevoi specifice a administratorilor de rețea. Kiwi Syslog Server sau SolarWinds TFTP Server sunt două exemple excelente ale acestor instrumente gratuite.

Nu lăsa SolarWinds Log & Event ManagerNumele te păcălește. Există mult mai mult decât satisface ochiul. Unele dintre caracteristicile avansate ale acestui produs îl califică drept un sistem de detecție și prevenire a intruziunilor, în timp ce altele îl plasează în gama de informații de securitate și gestionare a evenimentelor (SIEM). Instrumentul, de exemplu, prezintă corelație de evenimente în timp real și remediere în timp real.

SolarWinds LEM - Panou de bord

  • ÎNCERCARE GRATUITĂ: SolarWinds Log & Event Manager
  • Link de descărcare: https://www.solarwinds.com/log-event-manager-software/registration

În SolarWinds Log & Event Manager se mândrește cu detectarea instantanee a suspectuluiactivitate (o funcționalitate de detectare a intruziunilor) și răspunsuri automatizate (o funcționalitate de prevenire a intruziunilor). Acest instrument poate fi folosit și pentru a efectua investigarea evenimentelor de securitate și criminalistică. Poate fi utilizat pentru atenuare și conformitate. Instrumentul prezintă raportări dovedite de audit, care pot fi, de asemenea, utilizate pentru a demonstra conformitatea cu diverse cadre de reglementare, cum ar fi HIPAA, PCI-DSS și SOX. Instrumentul are, de asemenea, monitorizarea integrității fișierelor și monitorizarea dispozitivului USB. Toate caracteristicile avansate ale software-ului îl fac mai mult o platformă de securitate integrată decât doar sistemul de gestionare a jurnalelor și evenimentelor pe care numele său te-ar conduce să crezi.

Caracteristicile de prevenire a intruziunilor din SolarWinds Log & Event Manager funcționează prin implementarea acțiunilor numite ActiveRăspunsuri ori de câte ori sunt detectate amenințări. Răspunsuri diferite pot fi asociate cu alerte specifice. De exemplu, sistemul poate scrie în tabelele de firewall pentru a bloca accesul la rețea al unei adrese IP sursă care a fost identificată ca realizând activități suspecte. Instrumentul poate, de asemenea, să suspende conturile de utilizator, să oprească sau să înceapă procesele și să oprească sistemele. Veți reaminti cum sunt exact acțiunile de remediere pe care le-am identificat înainte.

Punctele forte și punctele slabe

Potrivit lui Gartner, SolarWinds Log & Event Manager „Oferă o soluție bine integrată care estese potrivesc deosebit de bine pentru întreprinderile mici și mijlocii, datorită arhitecturii sale simple, licențierii ușoare și a conținutului și a caracteristicilor robuste din dotare ”. Instrumentul are mai multe surse de evenimente și oferă unele funcționalități de contenție a amenințărilor și control de carantină care nu sunt disponibile în mod obișnuit de la produsele concurente.

Cu toate acestea, firma de cercetare constată, de asemenea, că acest lucruprodusul este un ecosistem închis, ceea ce face o provocare a integrării cu soluții de securitate terțe precum detecția avansată a amenințărilor, fluxurile de informații despre amenințări și instrumentele UEBA. După cum a scris firma: „Integrările cu instrumentele de service sunt limitate la conectivitate unidirecțională prin e-mail și SNMP”.

Mai mult, monitorizarea mediilor SaaSnu este acceptat de produs, iar monitorizarea IaaS este limitată. Clienții care doresc să-și extindă monitorizarea la rețele și aplicații trebuie să achiziționeze alte produse SolarWinds.

SolarWinds LEM - Rapoarte de conformitate

  • ÎNCERCARE GRATUITĂ: SolarWinds Log & Event Manager
  • Link de descărcare: https://www.solarwinds.com/log-event-manager-software/registration

Argumente pro şi contra

Am reunit cele mai semnificative argumente pro și contra pe care le-au raportat utilizatorii managerilor de jurnal și evenimente SolarWinds. Iată ce au de spus.

Pro-uri

  • Produsul este incredibil de ușor de configurat. Acesta a fost implementat și a avut sursele de jurnal indicate către acesta și a efectuat corelații de bază într-o zi.
  • Răspunsurile automatizate care sunt disponibile după implementarea agentului vă oferă un control incredibil pentru a răspunde la evenimentele din rețeaua dvs.
  • Interfața instrumentului este ușor de utilizat. Unele produse concurente pot fi descurajante să învețe cum să folosești și să te obișnuiești, dar SolarWinds Log & Event Manager are un aspect intuitiv și este foarte ușor de ridicat și utilizat.

Contra

  • Produsul nu are un analizor personalizat. În mod inevitabil, va exista un produs în rețeaua dvs. pe care The SolarWinds Log & Event Manager nu va ști să analizeze. Unele soluții concurente utilizează analize personalizate din acest motiv. Acest produs nu are suport pentru crearea unor analizoare personalizate, astfel încât formate de jurnal necunoscute rămân neparate.
  • Uneori instrumentul poate fi uneori prea de bază. Este un instrument excelent pentru realizarea corelațiilor de bază într-un mediu de dimensiuni mici până la mijlocii. Cu toate acestea, dacă încercați să vă avansați prea mult cu corelațiile pe care încercați să le efectuați, este posibil să vă frustrați de lipsa funcționalității instrumentului, care se datorează în principal modului în care analizează datele.

Prețuri și licențe

Prețuri pentru SolarWinds Log & Event Managervariază în funcție de numărul de noduri monitorizate. Prețurile încep de la 4.585 USD pentru până la 30 de noduri monitorizate și licențele pentru până la 2500 de noduri pot fi achiziționate cu mai multe niveluri de licență între ele, ceea ce face ca produsul să fie extrem de scalabil. Dacă doriți să luați produsul pentru o probă de testare și să vedeți dacă este potrivit pentru dvs., este disponibilă o probă gratuită completă de 30 de zile.

Splunk

Splunk este posibil unul dintre cele mai populare sisteme de prevenire a intruziunilor. Este disponibil în mai multe ediții diferite, prezentând diferite seturi de caracteristici. Splunk Enterprise Security-sau Splunk ES, cum este adesea numit - este ceea ce ai nevoie pentru adevăratprevenirea intruziunilor. Și la asta ne uităm astăzi. Software-ul monitorizează datele sistemului în timp real, căutând vulnerabilități și semne de activitate anormală. Deși scopul său de a preveni intruziunile sunt similare cu SolarWinds„, Modul în care îl realizează este diferit.

Captura de ecran Splunk - Deep Dive

Răspunsul de securitate este unul dintre SplunkCostume potrivite și este ceea ce îl face un sistem de prevenire a intruziunilor și o alternativă la SolarWinds produs recent revizuit. Utilizează ceea ce vânzătorul numește Cadrul de răspuns adaptativ (ARF). Instrumentul se integrează cu echipamente de la peste 55 de furnizori de securitate și poate efectua răspuns automat, grăbind sarcinile manuale și oferind o reacție mai rapidă. Combinația de remediere automată și intervenție manuală vă oferă cele mai bune șanse de a câștiga rapid mâna superioară. Instrumentul are o interfață de utilizator simplă și neclintită, creând o soluție câștigătoare. Alte caracteristici de protecție interesante includ „notabilii”Funcție care afișează alerte personalizabile și„Investigator de active”Pentru semnalizarea activităților dăunătoare și prevenirea unor probleme suplimentare.

Punctele forte și punctele slabe

SplunkEcosistemul partener mare asigură integrare și Splunk-conținut specific prin Splunkbase magazin de aplicații. Suita completă de soluții a furnizorului facilitează de asemenea utilizatorii să se dezvolte în platformă de-a lungul timpului, iar funcțiile de analiză avansată sunt disponibile într-o varietate de moduri de-a lungul Splunk ecosistem.

Pe dezavantaj, Splunk nu oferă o versiune a aparatului a soluției, iar clienții Gartner și-au exprimat îngrijorarea cu privire la modelul de licență și costul implementării - ca răspuns, Splunk a introdus noi abordări de acordare a licențelor, inclusiv Acordul privind adoptarea întreprinderilor (EAA).

Captura de ecran Splunk - Scor de sănătate

Argumente pro şi contra

La fel ca și în cazul produsului anterior, iată o listă a celor mai importante pro și contra, raportate de utilizatorii site-ului Splunk.

Pro-uri

  • Instrumentul adună foarte bine jurnalele de la aproape toate tipurile de mașini - majoritatea produselor alternative nu fac acest lucru la fel de bine.
  • Splunk ofera vizual vizualizatorului utilizatorului, oferindu-le posibilitatea de a transforma jurnalele în elemente vizuale, cum ar fi grafice, grafice, tabele etc.
  • Este foarte rapid în raportarea și alertarea asupra anomaliilor. Există mici întârzieri.

Contra

  • SplunkLimbajul de căutare merge foarte adânc. Totuși, efectuarea unor formate sau analize statistice mai avansate implică o curbă de învățare. Splunk instruirea este disponibilă pentru învățarea limbii de căutare și manipularea datelor dvs., dar poate costa oriunde de la 500,00 USD la 1 500,00 USD.
  • Funcțiile de bord ale instrumentului sunt destul de decente, dar pentru a face vizualizări mai interesante este nevoie de un pic de dezvoltare folosind XML, Javascript și CSS.
  • Vânzătorul lansează foarte repede reviziile, dar din cauza numărului mare de erori în care am fost confruntați, a trebuit să ne actualizăm mediul de patru ori în nouă luni.

Prețuri și licențe

Splunk EnterprisePrețul se bazează pe cât de multe date avețitrimiteți-o în fiecare zi. Începe de la 150 USD / lună până la 1 GB de date ingerate zilnic. Reduceri de volum sunt disponibile. Acest preț include utilizatori nelimitați, căutări nelimitate, căutare în timp real, analiză și vizualizare, monitorizare și alertare, asistență standard și multe altele. Va trebui să contactați vânzările lui Splunk pentru a obține o ofertă detaliată. La fel ca majoritatea produselor din acest tip de preț, o versiune de încercare gratuită este disponibilă pentru cei care ar dori să încerce produsul.

Ce s-a spus despre cele două produse?

Utilizatorii stației centrale IT dau SolarWinds un 9 din 10 și Splunk un 8 din 10. Cu toate acestea, utilizatorii Gartner Peer Insights inversează comanda, oferind Splunk un 4.3 din 5 și SolarWinds un 4 din 5.

Jeffrey Robinette, inginer de sistem la Foxhole Technology, a scris asta SolarWinds„Rapoartele și tabloul de bord fără caracter sunt un element esențial, menționând că„ Ne permite să monitorizăm accesul și să tragem rapid rapoarte informatice. Nu mai căutați prin jurnalele de pe fiecare server. "

În comparație cu Splunk, Robinette a spus asta SolarWinds nu necesită multă personalizare, iar prețul acesteia este mai scăzut, în timp ce a scris Splunk că „aveți nevoie de un doctorat. la personalizarea rapoartelor. "

Pentru Raul Lapaz, operațiuni senior de securitate IT la Roche, in timp ce Splunk nu este ieftin, ușurința de utilizare, scalabilitatea, stabilitatea, viteza motorului de căutare și compatibilitatea cu o mare varietate de surse de date îl merită.

Cu toate acestea, Lapaz a arătat câteva deficiențe,inclusiv, de exemplu, faptul că gestionarea clusterului se poate face doar prin linia de comandă și că permisiunile nu sunt foarte flexibile. El a scris: „Ar fi frumos să avem mai multe opțiuni granulare, cum ar fi autentificarea dublu factor”.

Citește și

Filtrează și vizualizează jurnalele de evenimente Windows și SCOM cu Log Smith
6 cele mai bune instrumente de gestionare a jurnalelor pentru Linux în 2019
SolarWinds Network Performance Monitor vs WhatsUp Gold - Review comparativ
7 cele mai bune sisteme de prevenire a intruziunilor (IPS) pentru anul 2019
6 cele mai bune instrumente de informare și gestionare a evenimentelor de securitate (SIEM), demne de verificat în 2019
SolarWinds Drepturi de Acces Manager Revizuire în profunzime
Histogramă comparativă în Excel 2010
Evite pentru Android: Creați și trimiteți carduri de invitație la eveniment în vrac
Cum să scapi de invitații la evenimente spam în aplicația Calendar [iOS]
Apple Septembrie 2015 Evenimente Toate specificațiile și prețurile dispozitivelor
Cum să vizionezi online evenimentul Apple din septembrie 2015
Backup Notificări și revizuire Android După ce au fost respinse

Comentarii