Je tam džungľa! Neplánovaní jednotlivci sú všade a sú za vami. Pravdepodobne nie vy osobne, ale skôr vaše údaje. Nie sú to len vírusy, proti ktorým musíme chrániť, ale všetky druhy útokov, ktoré môžu opustiť vašu sieť - a vašu organizáciu - v nepriaznivej situácii. Kvôli množeniu rôznych ochranných systémov, ako sú antivírusy, firewally a systémy detekcie narušenia, sú správcovia sietí teraz zaplavení informáciami, ktoré musia korelovať, a snažia sa to pochopiť. Tam sa hodia systémy informačného zabezpečenia a správy udalostí (SIEM). Zvládajú väčšinu príšernej práce s príliš veľkým množstvom informácií. Aby sme vám uľahčili prácu pri výbere SIEM, predstavujeme vám tie najlepšie nástroje pre správu informácií a udalostí (SIEM).
Dnes začneme s analýzou diskutovanímmoderná hrozebná scéna. Ako sme už povedali, už to nie sú len vírusy. Potom sa pokúsime lepšie vysvetliť, čo je to SIEM, a hovoriť o rôznych komponentoch, ktoré tvoria systém SIEM. Niektoré z nich môžu byť dôležitejšie ako iné, ale ich relatívny význam sa môže líšiť pre rôznych ľudí. A nakoniec predstavíme náš výber zo šiestich najlepších nástrojov na správu informácií a udalostí (SIEM) a každý z nich krátko preskúmame.
Moderná hrozebná scéna
Počítačová bezpečnosť bývala iba o vírusochochrana. Ale v posledných rokoch bolo odhalených niekoľko rôznych druhov útokov. Môžu mať podobu útokov odmietnutia služby (DoS), krádeže údajov a mnoho ďalších. A už viac nepochádzajú zvonka. Mnoho útokov pochádza zo siete. Na účely konečnej ochrany boli vyvinuté rôzne typy ochranných systémov. Okrem tradičných antivírusových programov a brány firewall máme teraz napríklad systémy detekcie narušenia bezpečnosti a ochrany údajov (IDS a DLP).
Čím viac samozrejme pridávate systémy, tým viac samozrejmeprácu, ktorú spravujete. Každý systém monitoruje niektoré špecifické parametre abnormalít a po ich zistení ich zaznamená a / alebo spustí výstrahy. Nebolo by pekné, keby bolo možné monitorovať všetky tieto systémy? Niektoré systémy mohli navyše zistiť rôzne typy útokov, keď prechádzajú rôznymi fázami. Nebolo by oveľa lepšie, keby ste potom mohli reagovať na všetky súvisiace udalosti ako jednu? To je presne o čom je SIEM.
Čo je to presne SIEM?
Názov hovorí za všetko. Správa bezpečnostných informácií a udalostí je proces správy bezpečnostných informácií a udalostí. Konkrétne, systém SIEM neposkytuje žiadnu ochranu. Jeho primárnym účelom je uľahčiť život správcom sietí a bezpečnosti. Typický systém SIEM skutočne zbiera informácie z rôznych ochranných a detekčných systémov, koreluje všetky tieto informácie spájajúce súvisiace udalosti a rôznymi spôsobmi reaguje na zmysluplné udalosti. Systémy SIEM často obsahujú aj určitú formu podávania správ a dashboardy.
Základné komponenty systému SIEM
Každý sa chystáme podrobnejšie preskúmaťhlavná súčasť systému SIEM. Nie všetky systémy SIEM obsahujú všetky tieto komponenty a aj keď áno, môžu mať odlišné funkcie. Sú však najzákladnejšími zložkami, ktoré by človek bežne našiel v akejkoľvek forme v akomkoľvek systéme SIEM.
Zber a správa protokolov
Zber a správa protokolov je hlavnásúčasť všetkých systémov SIEM. Bez nej neexistuje SIEM. Systém SIEM musí získavať údaje denníka z rôznych zdrojov. Môže ho buď vytiahnuť, alebo ho môžu rôzne detekčné a ochranné systémy posunúť do SIEM. Pretože každý systém má svoj vlastný spôsob kategorizácie a zaznamenávania údajov, je na SIEM, aby normalizoval údaje a urobil ich jednotnými bez ohľadu na to, aký je ich zdroj.
Po normalizácii budú často zaznamenávané údajev porovnaní so známymi vzormi útokov v snahe čo najskôr rozpoznať škodlivé správanie. Údaje sa tiež často porovnávajú s predtým zozbieranými údajmi, aby sa pomohlo vybudovať základnú líniu, ktorá ďalej zlepší detekciu abnormálnej aktivity.
Reakcia na udalosť
Po zistení udalosti sa musí niečo urobiťo tom. O tom je modul reakcie na udalosti pre systém SIEM. Reakcia na udalosť môže mať rôzne formy. Pri najzákladnejšej implementácii sa na konzole systému vygeneruje varovná správa. Často sa môžu generovať aj e-mailové alebo SMS upozornenia.
Najlepšie systémy SIEM však idú o krok ďalej ačasto iniciuje nejaký proces nápravy. Toto je opäť niečo, čo môže mať mnoho podôb. Najlepšie systémy majú kompletný systém workflow reakcií na incidenty, ktorý je možné prispôsobiť tak, aby poskytoval presne požadovanú odpoveď. Ako by sa dalo očakávať, reakcia na incidenty nemusí byť jednotná a rôzne udalosti môžu spustiť rôzne procesy. Najlepšie systémy vám poskytnú úplnú kontrolu nad pracovným tokom reakcie na incidenty.
hlásenie
Akonáhle budete mať log zber a správua zavedené systémy odpovedí, ďalším stavebným blokom, ktorý potrebujete, je podávanie správ. Možno to ešte nepoznáte, ale budete potrebovať správy. Vrcholový manažment ich bude musieť presvedčiť, že ich investície do systému SIEM sa vyplácajú. Možno budete potrebovať aj správy na účely zhody. Dodržiavanie noriem, ako sú PCI DSS, HIPAA alebo SOX, sa dá uľahčiť, keď váš systém SIEM dokáže generovať správy o zhode.
Správy nemusia byť jadrom systému SIEMstále je však jednou z hlavných zložiek. Podávanie správ bude často hlavným rozlišujúcim faktorom medzi konkurenčnými systémami. Správy sú ako cukríky, nikdy ich nemáte príliš veľa. Najlepšie systémy vám samozrejme umožnia vytvárať vlastné prehľady.
Prístrojová doska (y)
V neposlednom rade bude dashboard vášokno do stavu vášho systému SIEM. A mohlo by tam byť aj viac dashboardov. Pretože rôzni ľudia majú rôzne priority a záujmy, perfektný informačný panel pre správcu siete sa bude líšiť od správcu zabezpečenia. A výkonný pracovník bude potrebovať aj úplne iný.
Systém SIEM nedokážeme vyhodnotiť dopočet dashboardov, ktoré má, musíte vybrať ten, ktorý má všetky dashboardy, ktoré potrebujete. Toto je určite niečo, na čo by ste mali pamätať pri hodnotení dodávateľov. A rovnako ako v prípade prehľadov, aj tie najlepšie systémy vám umožnia zostaviť prispôsobené dashboardy podľa vašich predstáv.
Naše top 6 nástrojov SIEM
Existuje veľa systémov SIEM. Príliš veľa, aby ich bolo možné všetky skontrolovať tu. Preskúmali sme teda trh, porovnali systémy a zostavili zoznam toho, čo sme zistili ako šesť najlepších nástrojov na správu a správu informácií o bezpečnosti (SIEM). Zoznamy uvádzame v poradí podľa preferencie a každú z nich krátko preskúmame. Ale napriek ich poradiu je všetkých šesť vynikajúcich systémov, ktoré môžeme iba odporučiť a vyskúšať sami.
Tu je to, čo je našich najlepších 6 nástrojov SIEM
- Správca protokolov a udalostí SolarWinds
- Splunk Enterprise Security
- RSA NetWitness
- ArcSight Enterprise Security Manager
- McAfee Enterprise Security Manager
- IBM QRadar SIEM
1. Správca protokolov a udalostí SolarWinds (ZADARMO 30-DŇOVÝ SKÚŠKA)
SolarWinds je v sieti bežný názovmonitoring sveta. Sieťový monitor výkonu je ich vlajkovým produktom, jedným z najlepších dostupných monitorovacích nástrojov SNMP. Spoločnosť je známa aj mnohými bezplatnými nástrojmi, ako sú kalkulačka podsiete alebo ich server SFTP.
Nástroj SIEM spoločnosti SolarWinds, Správca protokolov a udalostí(LEM) sa najlepšie opíše ako vstupný systém SIEM. Je to však pravdepodobne jeden z najkonkurencieschopnejších systémov základnej úrovne na trhu. SolarWinds LEM má všetko, čo môžete od systému SIEM očakávať. Má vynikajúce dlhé funkcie správy a korelácie a pôsobivý mechanizmus podávania správ.
Čo sa týka funkcií reakcie nástroja na udalosti, súnenechajte nič potrebné. Podrobný systém reakcie v reálnom čase bude aktívne reagovať na každú hrozbu. A keďže je založená skôr na správaní ako na podpise, ste chránení pred neznámymi alebo budúcimi hrozbami.
Prístrojová doska je však pravdepodobne najlepšiaaktív. Vďaka jednoduchému dizajnu nebudete mať žiadne problémy s rýchlou identifikáciou anomálií. Od približne 4 500 dolárov je tento nástroj viac ako cenovo dostupný. Ak ju chcete vyskúšať ako prvú, je k dispozícii bezplatná plne funkčná 30-dňová skúšobná verzia.
2. Splunk Enterprise Security
Možno jeden z najpopulárnejších systémov SIEM,Splunk Enterprise Security - alebo Splunk ES, ako sa často hovorí - je obzvlášť známy svojimi analytickými schopnosťami. Splunk ES monitoruje údaje vášho systému v reálnom čase a hľadá zraniteľné miesta a príznaky abnormálnej aktivity.
Bezpečnostná reakcia je ďalšou silnou stránkou Splunk ESobleky. Systém používa to, čo Splunk nazýva Adaptive Response Framework (ARF), ktorý sa integruje so zariadeniami od viac ako 55 dodávateľov zabezpečenia. ARF vykonáva automatickú reakciu a zrýchľuje ručné úlohy. To vám umožní rýchlo získať navrch. Pridajte k tomu jednoduché a prehľadné užívateľské rozhranie a máte víťazné riešenie. Medzi ďalšie zaujímavé funkcie patrí funkcia Notables, ktorá zobrazuje varovania prispôsobiteľné používateľom a Asset Investigator na označovanie škodlivých aktivít a predchádzanie ďalším problémom.
Splunk ES je skutočne produktom podnikovej triedya dodáva sa s cenovkou pre podniky. Na webovej stránke spoločnosti Splunk nemôžete získať ani informácie o cenách. Ak chcete získať cenu, musíte sa obrátiť na obchodné oddelenie. Napriek svojej cene je to skvelý produkt a možno budete chcieť kontaktovať spoločnosť Splunk a využiť bezplatnú skúšobnú verziu.
3. RSA NetWitness
Od roku 20016 sa NetWitness zameriava na produktypodpora „hlbokého uvedomenia si situačnej situácie v reálnom čase a pružnej reakcie na sieť“. Po získaní spoločnosťou EMC, ktorá sa potom zlúčila so spoločnosťou Dell, sa podnik Newitness stal súčasťou pobočky RSA spoločnosti. A to je dobrá správa RSA je známe meno v oblasti bezpečnosti.
RSA NetWitness je ideálna pre organizácie, ktoré hľadajúkompletné riešenie sieťovej analýzy. Tento nástroj obsahuje informácie o vašej firme, ktoré pomáhajú pri prioritách upozornení. Podľa RSA systém „zbiera údaje na viacerých miestach zachytenia, výpočtových platformách a zdrojoch informácií o hrozbách ako iné riešenia SIEM“. K dispozícii je tiež pokročilá detekcia hrozieb, ktorá kombinuje analýzu správania, techniky vedeckých údajov a spravodajstvo o hrozbách. A nakoniec, pokročilý systém odpovedí sa môže pochváliť funkciami orchestrácie a automatizácie, ktoré vám pomôžu zbaviť sa eradikovaných hrozieb skôr, ako ovplyvnia vaše podnikanie.
Jednou z hlavných nevýhod RSA NetWitness ježe nie je najjednoduchšie používať a konfigurovať. K dispozícii je však komplexná dokumentácia, ktorá vám môže pomôcť s nastavením a používaním produktu. Toto je ďalší produkt podnikovej triedy. Ak chcete získať informácie o cenách, musíte sa obrátiť na predaj.
4. ArcSight Enterprise Security Manager
Pomáha ArcSight Enterprise Security Manageridentifikovať a určovať priority bezpečnostných hrozieb, organizovať a sledovať činnosti v oblasti reakcie na incidenty a zjednodušiť audit a činnosti súvisiace s dodržiavaním predpisov. Pôvodne sa predávala pod značkou HP a teraz sa zlúčila s Micro Focus, ďalšou dcérskou spoločnosťou HP.
Po viac ako pätnástich rokoch,ArcSight je ďalší nesmierne populárny nástroj SIEM. Zostavuje údaje denníka z rôznych zdrojov a vykonáva rozsiahlu analýzu údajov a hľadá príznaky škodlivej činnosti. Aby ste uľahčili rýchlu identifikáciu hrozieb, môžete si pozrieť výsledky analýzy real0tme.
Tu je prehľad hlavných funkcií produktov. Má výkonnú distribuovanú koreláciu údajov v reálnom čase, automatizáciu pracovných postupov, organizáciu zabezpečenia a obsah zabezpečenia riadený komunitou. Enterprise Security Manager sa tiež integruje s inými produktmi ArcSight, ako je dátová platforma ArcSight a Event Broker alebo ArcSight Investigate. Toto je ďalší produkt podnikovej triedy - ako takmer všetky kvalitné nástroje SIEM -, ktorý bude vyžadovať kontaktovanie obchodného tímu ArcSight, aby ste získali informácie o cenách.
5. McAfee Enterprise Security Manager
McAfee je určite ďalšie meno domácnosti v USAbezpečnostný priemysel. Je však lepšie známy pre svoje antivírusové produkty. Manažér zabezpečenia podniku nie je len softvér. Je to vlastne prístroj. Môžete ho získať vo virtuálnej alebo fyzickej podobe.
Pokiaľ ide o analytické schopnosti,McAfee Enterprise Security Manager je mnohými považovaný za jeden z najlepších nástrojov SIEM. Systém zhromažďuje denníky na širokom spektre zariadení. Pokiaľ ide o jeho normalizačné schopnosti, je to tiež prvotriedny zárez. Korelačný modul ľahko zostavuje rôzne zdroje údajov, čo uľahčuje zisťovanie bezpečnostných udalostí pri ich výskyte
Je pravda, že riešenie McAfee má viacako iba jeho Enterprise Security Manager. Na získanie kompletného riešenia SIEM potrebujete tiež Enterprise Log Manager a Event Receiver. Našťastie môžu byť všetky výrobky balené do jedného zariadenia. Pre tých z vás, ktorí si budú chcieť vyskúšať produkt pred jeho zakúpením, je k dispozícii bezplatná skúšobná verzia.
6. IBM QRadar
IBM, pravdepodobne najznámejší názov v ITpriemyslu sa podarilo zaviesť svoje riešenie SIEM, IBM QRadar je jedným z najlepších produktov na trhu. Tento nástroj umožňuje analytikom v oblasti bezpečnosti zisťovať anomálie, odhaľovať pokročilé hrozby a odstraňovať falošné poplachy v reálnom čase.
IBM QRadar sa môže pochváliť balíkom správy protokolov a dátfunkcie zhromažďovania, analýzy a detekcie narušenia. Spoločne pomáhajú udržiavať sieťovú infraštruktúru v prevádzke. Existuje aj analytika modelovania rizika, ktorá môže simulovať potenciálne útoky.
Medzi kľúčové vlastnosti QRadaru patrí schopnosťnasadenie riešenia v priestoroch alebo v cloudovom prostredí. Je to modulárne riešenie a je možné rýchlo a lacno pridať viac pamäte na spracovanie. Systém využíva expertízu inteligencie od spoločnosti IBM X-Force a bez problémov sa integruje so stovkami produktov IBM a non-IBM.
Keďže IBM je IBM, môžete očakávať, že za svoje riešenie SIEM zaplatíte prémiovú cenu. Ak však potrebujete jeden z najlepších nástrojov spoločnosti SIEM na trhu, môže sa stať, že za túto investíciu určite bude stáť QRadar.
Na záver
Jediný problém, ktorý riskujete pri nákupenajlepším nástrojom bezpečnostných informácií a monitorovania udalostí (SIEM) je množstvo vynikajúcich možností. Práve sme predstavili tých najlepších šesť. Všetky z nich sú vynikajúcou voľbou. Ten, ktorý si vyberiete, bude vo veľkej miere závisieť od vašich konkrétnych potrieb, vášho rozpočtu a času, ktorý ste ochotní venovať jeho nastaveniu. Bohužiaľ, počiatočná konfigurácia je vždy najťažšia časť a tu sa môžu veci pokaziť, ak nástroj SIEM nie je správne nakonfigurovaný, nebude schopný správne vykonávať svoju prácu.
Text 50 - 2300
Komentáre