Тамо је џунгла! Злонамјерни појединци су свуда и они трагају за вама. Па, вероватно не лично, већ више своје податке. Нисмо више само од вируса од којих морамо заштитити, већ од свих врста напада који могу да доведу вашу мрежу - и вашу организацију - у тешку ситуацију. Због ширења различитих система заштите као што су антивирусни програми, заштитни зидови и системи за откривање упада, мрежни администратори су преплављени информацијама које морају да повезу, покушавајући да то смисле. Овде су корисни системи за безбедносне информације и управљање догађајима (СИЕМ). Они се баве већином грозног посла бавећи се превише информација. Да бисте олакшали посао одабира СИЕМ-а, представљамо вам најбоље алате за безбедносне информације и управљање догађајима (СИЕМ).
Данас започињемо нашу анализу дискусијом осавремена сцена претње. Као што смо рекли, то више нису само вируси. Затим ћемо покушати да објаснимо шта је СИЕМ тачно и разговараћемо о различитим компонентама које чине СИЕМ систем. Неки од њих могу бити важнији од других, али њихов релативни значај може бити различит за различите људе. И на крају, представићемо вам избор шест најбољих алата за безбедносне информације и управљање догађајима (СИЕМ) и укратко ћемо их прегледати.
Модерна сцена пријетње
Рачунарска сигурност некада се односила само на вирусзаштита. Али последњих година откривено је неколико различитих врста напада. Они могу бити у облику напада ускраћивања услуге (крађе услуге), крађе података и још много тога. И више не долазе само споља. Многи напади потичу из мреже. Дакле, за врхунску заштиту пронађени су различити типови система заштите. Поред традиционалног антивирусног и заштитног зида, на пример, имамо системе за спречавање провале и заштите података (ИДС и ДЛП).
Наравно, што више додајете системе, вишепосао којим управљате њима. Сваки систем прати неке специфичне параметре за неправилности и евидентира их и / или активира упозорења када буду откривени. Не би ли било лепо када би се надгледање свих ових система могло аутоматизовати? Поред тога, неке врсте напада могу се открити у неколико система док пролазе кроз различите фазе. Зар не би било далеко боље када бисте могли да реагујете на све повезане догађаје као једно? Па управо о томе се ради и СИЕМ.
Шта је СИЕМ, тачно?
Име све говори. Безбедносне информације и управљање догађајима је процес управљања безбедносним информацијама и догађајима. Конкретно, систем СИЕМ не пружа никакву заштиту. Његова основна сврха је олакшати живот мрежним и безбедносним администраторима. Оно што типично СИЕМ систем заиста ради је прикупљање информација из различитих система заштите и детекције, корелирање свих тих информација окупљању повезаних догађаја и реаговање на значајне догађаје на различите начине. Системи СИЕМ често укључују и неки облик извештавања и контролне табле.
Основне компоненте СИЕМ система
Свако ћемо детаљније истражитиглавна компонента СИЕМ система. Не укључује сваки СИЕМ систем све ове компоненте и, чак и када то ураде, они би могли имати различите функционалности. Међутим, то су најосновније компоненте које би се обично, у овом или оном облику, нашле у било којем СИЕМ систему.
Прикупљање и управљање дневницима
Прикупљање и управљање дневницима је главнокомпонента свих СИЕМ система. Без њега нема СИЕМ-а. СИЕМ систем мора да прикупља податке из дневника из различитих извора. Може га повући или га различити системи детекције и заштите могу довести до СИЕМ-а. С обзиром да сваки систем има свој начин категоризације и евидентирања података, на СИЕМ-у је да нормализује податке и да их учини уједначеним, без обзира на извор.
Након нормализације често ће бити евидентирани подациу поређењу са познатим обрасцима напада у покушају да се злонамјерно понашање што раније препозна. Подаци ће се такође често упоређивати са претходно прикупљеним подацима како би се помогло изградњи основне линије која ће додатно побољшати откривање ненормалних активности.
Одговор догађаја
Једном када се догађај открије, мора се нешто учинитио томе. О томе се ради у модулу одговора на догађаје за СИЕМ систем. Одговор догађаја може бити у различитим облицима. У својој најосновнијој имплементацији, генерише се порука упозорења на конзоли система. Често се могу генерирати и е-маил или СМС упозорења.
Али најбољи СИЕМ системи иду корак даље иће често покренути неки поступак санације. Опет, то је нешто што може попримити многе облике. Најбољи системи имају комплетан систем радног процеса реаговања на инцидент који се може прилагодити тако да пружи тачно одговор који желите. И као што се може очекивати, реакција на инцидент не мора бити једнолика и различити догађаји могу покренути различите процесе. Најбољи системи ће вам пружити потпуну контролу над током рада на инцидент.
Извештавање
Једном када прикупите и водите евиденцијуи успостављени системи одзива, следећи блок који вам је потребан је извештавање. Можда то још увек не знате, али ће вам требати извештаји. Горњем руководству ће требати да се сами увере да се њихова улагања у СИЕМ систем исплаћују. Можда ће вам требати и извештаји у сврхе усаглашености. У складу са стандардима као што су ПЦИ ДСС, ХИПАА или СОКС може се олакшати када ваш СИЕМ систем може да генерише извештаје о усаглашености.
Извештаји можда нису у срцу СИЕМ системаали ипак, то је једна суштинска компонента. И често је извештавање главни фактор разликовања између конкурентских система. Извештаји су попут бомбона, никада их не можете имати превише. И наравно, најбољи системи ће вам омогућити да креирате прилагођене извештаје.
Контролна табла
Последње, али не најмање битно, надзорна плоча ће бити вашапрозор у статус вашег СИЕМ система. А чак може бити и више надзорних плоча. Будући да различити људи имају различите приоритете и интересе, савршена контролна табла за мрежног администратора биће другачија од оне за безбедносног администратора. А извршном директору ће такође требати потпуно другачији.
Иако не можемо да проценимо СИЕМ систем по системуброј надзорних плоча које имате, морате одабрати ону која ће имати све надзорне плоче (е) која су вам потребна. Ово је дефинитивно нешто што бисте желели имати на уму током процене добављача. И баш као што је случај са извештајима, најбољи системи ће вам омогућити да направите прилагођене надзорне плоче по вашој жељи.
Наших топ 6 СИЕМ алата
Тамо има пуно СИЕМ система. Заправо превише, да бисмо их могли прегледати овдје. Стога смо претражили тржиште, упоредили системе и направили листу онога што смо нашли као шест најбољих сигурносних алата за информације и управљање (СИЕМ). Наводимо их по редоследу и укратко ћемо их прегледати. Али упркос њиховом налогу, свих шест су одлични системи које можемо само препоручити да испробате сами.
Ево најбољих 6 СИЕМ алата
- СоларВиндс Лог & Евент Манагер
- Сплунк Ентерприсе Сецурити
- РСА НетВитнесс
- АрцСигхт Ентерприсе Сецурити Манагер
- Менаџер МцАфее Ентерприсе Сецурити-а
- ИБМ КРадар СИЕМ
1. СоларВиндс Лог & Евент Манагер (БЕСПЛАТНО СУЂЕЊЕ 30 ДАНА)
СоларВиндс је уобичајено име у мрежинадзор света. Њихов водећи производ, Нетворк Перформанце Монитор је један од најбољих СНМП монитора на располагању. Компанија је такође позната по бројним бесплатним алатима као што су њихов подмрежни калкулатор или њихов СФТП сервер.
СИЕМ алат СоларВиндс-а, Менаџер дневника и догађаја(ЛЕМ) је најбоље описати као улазни систем СИЕМ. Али то је вероватно један од најконкурентнијих система на нивоу нивоа на тржишту. СоларВиндс ЛЕМ има све што можете очекивати од СИЕМ система. Има одличне могућности управљања и корелације и импресиван мотор за извештавање.
Што се тиче карактеристика реаговања на алатку, оне имајуне остављају ништа пожелено. Детаљан систем реаговања у реалном времену активно ће реаговати на сваку претњу. А пошто се заснива на понашању, а не на потпису, заштићени сте од непознатих или будућих претњи.
Али надзорна плоча алата је вероватно најбољаимовина. Једноставним дизајном нећете имати проблема да брзо идентификујете аномалије. Почевши од око $ 500, алат је и више него приступачан. А ако желите прво испробати, за преузимање је доступна бесплатна потпуно функционална пробна верзија од 30 дана.
2. Сплунк Ентерприсе Сецурити
Вероватно један од најпопуларнијих система СИЕМ,Сплунк Ентерприсе Сецурити - или Сплунк ЕС, како се често назива - посебно је познат по својим аналитичким могућностима. Сплунк ЕС надгледа податке вашег система у реалном времену, тражећи рањивости и знакове ненормалне активности.
Сигурносни одговор је још један од снажних Сплунк ЕС-аодијела. Систем користи оно што Сплунк назива Адаптиве Респонсе Фрамеворк (АРФ) који се интегрише у опрему више од 55 произвођача безбедности. АРФ изводи аутоматизовани одговор, убрзавајући ручне задатке. Ово ће вам омогућити да брзо добијете предност. Додајте том једноставном и необузданом корисничком интерфејсу и имате победничко решење. Остале занимљиве карактеристике укључују функцију Нотаблес која приказује упозорења која се могу прилагодити кориснику и Испитивач имовине за означавање злонамерних активности и спречавање даљих проблема.
Сплунк ЕС је заиста корпоративни производи долази са ценовном ознаком величине предузећа. Информације о ценама не можете добити чак ни са веб локације Сплунк-а. Да бисте добили цену, требате контактирати одељење продаје. Упркос цени, ово је сјајан производ и можда ћете желети да се обратите компанији Сплунк и искористите бесплатно пробно време.
3. РСА НетВитнесс
Од 2001. године, НетВитнесс се фокусирао на производеподржавајући „дубоку мрежну свесност о ситуацији у реалном времену и брзи мрежни одговор“. Након што га је ЕМЦ преузео и који се тада спојио са Делл-ом, посао Невитнесс-а сада је део подружнице РСА-е. И то је добра вест РСА је познато име у безбедности.
РСА НетВитнесс је идеалан за организације које тражекомплетно решење мрежне аналитике. Алат садржи информације о вашем предузећу које помажу у постављању приоритета упозорења. Према РСА, систем „прикупља податке преко више тачака хватања, рачунарских платформи и извора обавештајних претњи од осталих СИЕМ решења“. Такође постоји напредна детекција претњи која комбинује анализу понашања, технике науке о подацима и обавештајне податке о претњама. И на крају, напредни систем реаговања може се похвалити оркестрацијом и могућностима аутоматизације који ће вам помоћи да се ослободите искорјењивања пријетњи прије него што утичу на ваше пословање.
Један од главних недостатака РСА НетВитнесс једа није најлакше за употребу и подешавање. Међутим, постоји опсежна документација која вам може помоћи у подешавању и кориштењу производа. Ово је још један производ корпоративног квалитета и мораћете да се обратите продавцима да бисте добили информације о ценама.
4. АрцСигхт Ентерприсе Сецурити Манагер
АрцСигхт Ентерприсе Сецурити Манагер помажепрепознати и одредити приоритете безбедносних претњи, организовати и пратити активности реаговања на инциденте и поједноставити активности ревизије и поштовања правила. Раније се продавала под брендом ХП, а сада се спојила са Мицро Фоцусом, још једном ХП-овом подружницом.
Обитавајући више од петнаест година,АрцСигхт је још један од изузетно популарних алата СИЕМ. Прикупља податке дневника из различитих извора и врши обимну анализу података, тражећи знакове злонамјерне активности. Да бисте олакшали брзо препознавање претњи, можете видети резултате анализе реал0тме.
Ево претходних главних карактеристика производа. Има моћну расподељену корелацију података у реалном времену, аутоматизацију радних токова, безбедносну оркестрацију и безбедносни садржај вођен у заједници. Ентерприсе Сецурити Манагер такође се интегрише са другим АрцСигхт производима као што је АрцСигхт платформа података и Евент Брокер или АрцСигхт Инвестигате. Ово је још један производ корпоративног квалитета - попут готово свих квалитетних алата СИЕМ - за који ће бити потребно да се обратите АрцСигхт продајном тиму да бисте добили информације о ценама.
5. МцАфее Ентерприсе Сецурити Манагер
МцАфее је сигурно још једно име домаћинства уиндустрија безбедности. Међутим, познатији је по производима за заштиту од вируса. Ентерприсе Сецурити Манагер није само софтвер. То је заправо апарат. Можете је добити у виртуалном или физичком облику.
У погледу својих аналитичких могућностиМцАфее Ентерприсе Сецурити Манагер многи сматрају једним од најбољих СИЕМ-ових алата. Систем прикупља евиденције на широком распону уређаја. Што се тиче његових могућности нормализације, она је такође врхунска. Корелацијски механизам лако саставља различите изворе података, што олакшава откривање сигурносних догађаја како се догађају
Да будемо тачни, у МцАфее рјешењу има вишенего само његов Ентерприсе Сецурити Манагер. Да бисте добили комплетно СИЕМ решење такође су вам потребни Ентерприсе Лог Манагер и Пријемник догађаја. Срећом, сви производи се могу упаковати у један апарат. За оне од вас који ће можда желети да пробају производ пре него што га купе, доступна је бесплатна пробна верзија.
6. ИБМ КРадар
ИБМ, вероватно најпознатије име у ИТ-уиндустрија је успела да успостави своје СИЕМ решење, ИБМ КРадар један је од најбољих производа на тржишту. Алат омогућава аналитичарима безбедности да открију аномалије, открију напредне претње и уклоне лажне позитивне податке у реалном времену.
ИБМ КРадар може се похвалити пакетом управљања подацима и подацимафункције сакупљања, аналитике и откривања провале. Заједно помажу у одржавању и раду мрежне инфраструктуре. Постоји и аналитика за моделирање ризика која може симулирати потенцијалне нападе.
Неке од кључних карактеристика КРадара укључују могућностда се решење примени у локалном окружењу или у облаку. То је модуларно решење и може се брзо и јефтино додати више простора за обраду снаге. Систем користи обавјештајне податке ИБМ Кс-Форце и интегрира се са стотинама ИБМ-ових и не-ИБМ производа.
Будући да је ИБМ ИБМ, можете очекивати да ће платити премијску цену за њихово СИЕМ решење. Али ако вам треба један од најбољих СИЕМ алата на тржишту, КРадар би можда могао да вреди улагања.
У закључку
Једини проблем који ризикујете приликом куповинеза најбољи алат за безбедносне информације и надгледање догађаја (СИЕМ) је обиље одличних опција. Управо смо представили најбољих шест. Сви су они одлични избори. Она коју одаберете увелико ће зависити од ваших тачних потреба, вашег буџета и времена које сте вољни да уложите у његово постављање. Јао, почетна конфигурација је увек најтежи део и овде ствари могу поћи по злу ако СИЕМ алат није правилно конфигурисан, неће моћи да ради свој посао како треба.
Текст 50 - 2300
Коментари