- - SolarWinds Log & Event Manager vs Splunk - En jämförande recension

SolarWinds Log & Event Manager vs Splunk - En jämförande recension

En av de viktigaste - om inte DE mestviktigt - tillgångar för många av dagens organisationer är deras data. Det är så viktigt och värdefullt att många dåligt avsedda individer eller organisationer kommer att göra mycket för att stjäla den värdefulla informationen. De gör så att man använder en mängd olika tekniker och tekniker för att få obehörig åtkomst till nätverk och system. Antalet sådana försök verkar växa exponentiellt hela tiden. För att förhindra det distribueras system som kallas Intrusion Prevention Systems eller IPS av företag som vill skydda sina datatillgångar. De SolarWinds Log & Event Manager såväl som Splunk är två okonventionella produkter på den arenan. Idag jämför vi de två.

Vi börjar utforskningen med att titta påintrångsförebyggande i allmänhet. Det hjälper till att sätta tabellen för vad som kommer. Vi försöker hålla det så tekniskt som möjligt. Vår idé är inte att göra er experter på intrångsförebyggande, utan snarare att se till att vi alla är på samma sida eftersom vi vidare utforskar båda produkterna. Prata om att utforska produkterna, det här är vad vi har nästa gång. Vi beskriver först huvudfunktionerna i SolarWinds Log & Event Manager, Vi följer med att titta på produktens styrka och svagheter och dess fördelar och nackdelar, som rapporterats av användare av plattformen och vi kommer att avsluta vår översikt av produkten genom att titta på dess prissättning och licensstruktur. Vi granskar sedan Splunk med ett identiskt format med produktens funktioner, dess styrkor och svagheter, dess fördelar och nackdelar och prissättningstruktur. Slutligen avslutar vi med vad användare har att säga om de två produkterna.

Förebyggande av intrång - Vad handlar det här om?

För år sedan var virus ganska mycket det endabekymmer från systemadministratörer. Virus kom till en punkt där de var så vanliga att industrin reagerade genom att utveckla virusskyddsverktyg. I dag skulle ingen seriös användare i sitt rätta sinne tänka på att köra en dator utan virusskydd. Även om vi inte hör mycket av virus längre, är intrång - eller obehörig åtkomst till dina data av skadliga användare - ett nytt hot. Eftersom data ofta är en organisations viktigaste tillgång har företagsnätverk blivit målet för hackare som inte är avsiktliga, vilket kommer att göra mycket för att få tillgång till data. Precis som virusskyddsprogram var svaret på spridning av virus, är intrångsförhindringssystem svaret på intrångsattacker.

System för förebyggande av intrång gör i huvudsak tvåsaker. Först upptäcker de intrångsförsök och när de upptäcker misstänkta aktiviteter använder de olika metoder för att stoppa eller blockera det. Det finns två olika sätt att intrångsförsök kan upptäckas. Signaturbaserad detektion fungerar genom att analysera nätverkstrafik och data och leta efter specifika mönster associerade med intrångsförsök. Detta liknar traditionella virusskyddssystem som bygger på virusdefinitioner. Signaturbaserad intrångsdetektering förlitar sig på intrångsignaturer eller -mönster. Den största nackdelen med denna detekteringsmetod är att den behöver rätt signaturer för att laddas in i programvaran. Och när en ny attackmetod finns det vanligtvis en fördröjning innan attackunderskrifter uppdateras. Vissa leverantörer är mycket snabba på att tillhandahålla uppdaterade attackunderskrifter medan andra är mycket långsammare. Hur ofta och hur snabba signaturer uppdateras är en viktig faktor att tänka på när du väljer en leverantör.

Anomali-baserad detektion erbjuder bättre skyddmot nolldagarsattacker har de som händer innan detektionsunderskrifter haft en chans att uppdateras. Processen letar efter avvikelser istället för att försöka känna igen kända intrångsmönster. Till exempel skulle det utlöses om någon försökte komma åt ett system med fel lösenord flera gånger i rad, ett vanligt tecken på en attack för brute force. Detta är bara ett exempel och det finns vanligtvis hundratals olika misstänkta aktiviteter som kan utlösa dessa system. Båda detektionsmetoderna har fördelar och nackdelar. De bästa verktygen är de som använder en kombination av signatur och beteendeanalys för bästa skydd.

Att upptäcka intrångsförsök är den första delenatt förhindra dem. När det har upptäckts fungerar intrångsförebyggande system aktivt för att stoppa de upptäckta aktiviteterna. Flera olika avhjälpande åtgärder kan genomföras av dessa system. De kan till exempel stänga av eller på annat sätt inaktivera användarkonton. En annan typisk åtgärd är att blockera källens IP-adress för attacken eller ändra brandväggsregler. Om skadlig aktivitet kommer från en specifik process, kan det förebyggande systemet döda processen. Att starta en viss skyddsprocess är ytterligare en vanlig reaktion och i värsta fall kan hela system stängas av för att begränsa möjliga skador. En annan viktig uppgift för Intrusion Prevention Systems är att varna administratörer, spela in händelsen och rapportera misstänkta aktiviteter.

Passiva förebyggande åtgärder

Medan inbrottsförebyggande system kan skyddadu mot många typer av attacker, ingenting slår bra, gammaldags passiva förebyggande åtgärder. Till exempel är mandat med starka lösenord ett utmärkt sätt att skydda mot många intrång. En annan enkel skyddsåtgärd är att ändra standardlösenord för utrustning. Även om det är mindre ofta i företagsnätverk - även om det inte är okänt - har jag bara sett alltför ofta Internet-gateways som fortfarande hade sitt standardadministrationslösenord. Även om det är fråga om lösenord är åldrande av lösenord ytterligare ett konkret steg som kan vidtas för att minska intrångsförsök. Alla lösenord, även det bästa, kan så småningom knäckas, tillräckligt med tid. Åldrande av lösenord garanterar att lösenord ändras innan de har knäckts.

SolarWinds Log & Event Manager (GRATIS prövning tillgänglig)

Solarwinds är ett välkänt namn inom nätverksadministration. Det har ett gott rykte för att göra några av de bästa verktygen för nätverks- och systemadministration. Dess flaggskeppsprodukt, Network Performance Monitor konsekvent poäng bland de bästa tillgängliga verktygen för övervakning av bandbredd för nätverk. SolarWinds är också känt för sina många gratisverktyg, var och en svarar mot ett specifikt behov av nätverksadministratörer. De Kiwi Syslog Server eller den SolarWinds TFTP Server är två utmärkta exempel på dessa gratis verktyg.

Låt inte det SolarWinds Log & Event ManagerNamn lurar dig. Det finns mycket mer än att träffa ögat. Vissa av de avancerade funktionerna i denna produkt kvalificerar den som ett intrångsdetekterings- och förebyggande system medan andra sätter den i säkerhetsinformation och händelseshantering (SIEM). Verktyget har till exempel korrelation i realtid och korrigering i realtid.

SolarWinds LEM - Dashboard

  • GRATIS PRÖVNING: SolarWinds Log & Event Manager
  • Nedladdningslänk: https://www.solarwinds.com/log-event-manager-software/registration

De SolarWinds Log & Event Manager kan skryta med omedelbar upptäckt av misstänktaktivitet (en funktion för intrångsdetektering) och automatiserade svar (en funktion för förebyggande av intrång). Detta verktyg kan också användas för att utföra utredningar av säkerhetshändelser och kriminaltekniker. Det kan användas för att minska och följa efterlevnaden. Verktyget har revisionsprövad rapportering som också kan användas för att visa överensstämmelse med olika regelverk som HIPAA, PCI-DSS och SOX. Verktyget har också övervakning av filintegritet och övervakning av USB-enheter. Alla avancerade funktioner i programvaran gör det mer till en integrerad säkerhetsplattform än bara logg- och händelseshanteringssystemet som dess namn skulle få dig att tro.

Funktioner för förebyggande av intrång i SolarWinds Log & Event Manager fungerar genom att implementera åtgärder som kallas AktivSvar närhelst hot upptäcks. Olika svar kan kopplas till specifika varningar. Till exempel kan systemet skriva till brandväggstabeller för att blockera nätverkets åtkomst till en käll-IP-adress som har identifierats som utför misstänkta aktiviteter. Verktyget kan också stänga av användarkonton, stoppa eller starta processer och stänga av system. Du kommer ihåg hur det här är exakt de åtgärdsåtgärder vi identifierade tidigare.

Styrkor och svagheter

Enligt Gartner, Solarwinds Log & Event Manager "Erbjuder en välintegrerad lösning som är ensärskilt bra passform för små och medelstora företag tack vare sin enkla arkitektur, enkla licensiering och robusta out-of-the-box innehåll och funktioner ”. Verktyget flera händelsekällor, och erbjuder viss hotinneslutning och karantänkontrollfunktion som inte vanligtvis finns tillgängliga från konkurrerande produkter.

Men forskningsföretaget konstaterar också att dettaprodukt är ett stängt ekosystem, vilket gör det utmanande att integrera med tredjeparts säkerhetslösningar som avancerad hotdetektering, hot intelligens feeds och UEBA verktyg. Som företaget skrev: ”Integrationer med servicebordverktyg är också begränsade till enkelriktad anslutning via e-post och SNMP”.

Dessutom övervakning av SaaS-miljöerstöds inte av produkten och övervakningen av IaaS är begränsad. Kunder som vill utvidga sin övervakning till nätverk och applikationer måste köpa andra SolarWinds-produkter.

SolarWinds LEM - efterlevnadsrapporter

  • GRATIS PRÖVNING: SolarWinds Log & Event Manager
  • Nedladdningslänk: https://www.solarwinds.com/log-event-manager-software/registration

Fördelar och nackdelar

Vi har samlat de viktigaste fördelarna och nackdelarna som användare av SolarWinds Log & Event Managers har rapporterat. Det här är vad de har att säga.

Pros

  • Produkten är otroligt enkel att installera. Det distribuerades och loggkällor pekade på det och utförde grundläggande korrelationer inom en dag.
  • De automatiserade svaren som är tillgängliga efter att agenten har distribuerats ger dig otrolig kontroll för att svara på händelser i ditt nätverk.
  • Verktygets gränssnitt är användarvänligt. Vissa konkurrerande produkter kan vara skrämmande att lära sig använda och få anpassning till, men SolarWinds Log & Event Manager har en intuitiv layout och är mycket lätt att hämta och använda.

Nackdelar

  • Produkten har ingen anpassad tolkare. Det kommer oundvikligen att finnas en produkt i ditt nätverk som The SolarWinds Log & Event Manager vet inte hur man ska tolkas. Vissa konkurrerande lösningar utnyttjar anpassade tolkare av detta skäl. Den här produkten har inte stöd för att skapa anpassade parsers, så okända loggformat förblir oparade.
  • Verktyget kan ibland vara för grundläggande. Det är ett utmärkt verktyg för att utföra grundläggande korrelationer i en liten till medelstor miljö. Men om du försöker bli för avancerad med de korrelationer du försöker utföra kan du bli frustrerad över verktygets brist på funktionalitet som främst beror på hur det analyserar data.

Prissättning och licensiering

Prissättning för SolarWinds Log & Event Managervarierar beroende på antalet övervakade noder. Priserna börjar på 4585 $ för upp till 30 övervakade noder och licenser för upp till 2500 noder kan köpas med flera licensnivåer däremellan, vilket gör produkten mycket skalbar. Om du vill ta produkten för en testkörning och själv se om den är rätt för dig, finns en gratis full-featured 30-dagars testversion tillgänglig.

Splunk

Splunk är kanske ett av de mest populära systemen för förebyggande av intrång. Det finns i flera olika utgåvor med olika funktioner. Splunk Enterprise Security-eller Splunk ES, som det ofta kallas - är vad du behöver för santförebyggande av intrång. Och det här är vad vi tittar på idag. Programvaran övervakar ditt systems data i realtid och letar efter sårbarheter och tecken på onormal aktivitet. Även om dess mål att förebygga intrång liknar Solarwinds', Hur det uppnås är annorlunda.

Splunk - Deep Dive Screenshot

Säkerhetssvar är ett av SplunkÄr starka kostymer och det är det som gör det till ett system för förebyggande av intrång och ett alternativ till Solarwinds produkt just granskad. Den använder det som säljaren kallar Anpassningsresponsram (ARF). Verktyget integreras med utrustning från mer än 55 säkerhetsleverantörer och kan utföra automatiskt svar, påskynda manuella uppgifter och ge en snabbare reaktion. Kombinationen av automatiserad sanering och manuell intervention ger dig de bästa chanserna att snabbt få överhanden. Verktyget har ett enkelt och oklart användargränssnitt, vilket skapar en vinnande lösning. Andra intressanta skyddsfunktioner inkluderar "Betydande”-Funktion som visar larm som kan anpassas av användaren och“Tillgångsundersökare”För att flagga skadliga aktiviteter och förhindra ytterligare problem.

Styrkor och svagheter

Splunk'S stora partnerekosystem ger integration och Splunk-specifikt innehåll genom Splunkbase app store. Leverantörens fulla paket med lösningar gör det också lätt för användare att växa till plattformen över tid, och avancerade analysfunktioner finns tillgängliga på olika sätt genom hela Splunk ekosystem.

På den negativa sidan, Splunk erbjuder inte en enhetsversion av lösningen, och Gartner-klienter har väckt oro över licensmodellen och kostnaden för implementering - som svar, Splunk har infört nya licensieringsmetoder, inklusive Enterprise Adoption Agreement (EAA).

Splunk - Skärmdump för hälsopoäng

Fördelar och nackdelar

Som vi gjorde med den föregående produkten, här är en lista över de viktigaste fördelarna och nackdelarna som rapporterats av användare av Splunk.

Pros

  • Verktyget samlar loggar mycket bra från nästan alla maskintyper - de flesta alternativa produkter gör det inte lika bra.
  • Splunk ger grafik till användaren, vilket ger dem möjlighet att omvandla loggar till visuella element såsom cirkeldiagram, grafer, tabeller osv.
  • Det är mycket snabbt att rapportera och varna om avvikelser. Det är liten försening.

Nackdelar

  • SplunkS sökspråk går mycket djupt. Att göra en del av mer avancerad formatering eller statistisk analys innebär dock lite av en inlärningskurva. Splunk utbildning är tillgänglig för att lära sig sökspråket och manipulera dina data men kan kosta allt från $ 500,00 till $ 1 500,00.
  • Verktygets instrumentpanelsfunktioner är ganska anständiga men för att göra mer spännande visualiseringar krävs lite utveckling med enkla XML, Javascript och CSS.
  • Leverantören släpper mindre revisioner mycket snabbt men på grund av det stora antalet buggar vi har stött på måste vi uppgradera vår miljö fyra gånger på nio månader.

Prissättning och licensiering

Splunk EnterprisePrissättningen är baserad på hur mycket total data du harskicka till det varje dag. Det börjar på $ 150 / månad på upp till 1 GB dagligen intagna data. Volymrabatter är tillgängliga. Detta pris inkluderar obegränsade användare, obegränsade sökningar, realtidssökning, analys och visualisering, övervakning och varning, standardstöd och mer. Du måste kontakta Splunks försäljning för att få en detaljerad offert. Liksom de flesta produkter i den typen av prisklasser finns en gratis provversion tillgänglig för dig som vill prova produkten.

Vad sägs om de två produkterna?

IT Central Station användare ger Solarwinds en 9 av 10 och Splunk en 8 av 10. Gartner Peer Insights-användare vänder emellertid ordningen och ger Splunk a 4,3 av 5 och Solarwinds en 4 av 5.

Jeffrey Robinette, systemingenjör på Foxhole Technology, skrev det Solarwinds"Out-the-box rapporter och instrumentpanelen är en nyckelstyrka och noterar att" Det gör att vi kan övervaka åtkomst och dra cyberrapporter snabbt. Inga fler söker igenom loggar på varje server. "

Jämfört med Splunk, Robinette sa det Solarwinds kräver inte mycket anpassning och prissättningen är lägre, medan han skrev om Splunk att du behöver en doktorsexamen om att anpassa rapporterna. ”

För Raul Lapaz, senior IT-säkerhetsverksamhet på Roche, medan Splunk är inte billig, dess användarvänlighet, skalbarhet, stabilitet, sökmotorns hastighet och kompatibilitet med en mängd olika datakällor gör det värt det.

Lapaz påpekade dock några brister,inklusive till exempel det faktum att klusterhantering bara kan göras via kommandoraden och att behörigheter inte är särskilt flexibla. Han skrev: "Det vore trevligt att ha fler granulära alternativ, till exempel dubbelfaktorautentisering".

Läs också

Filtrera och visa Windows- och SCOM-händelseloggar med Log Smith
6 bästa verktyg för loghantering för Linux 2019
SolarWinds Network Performance Monitor vs WhatsUp Gold - Jämförelseöversikt
7 bästa system för förebyggande av intrång (IPS) för 2019
6 bästa verktyg för säkerhetsinformation och evenemangshantering (SIEM) som är värda att kolla in 2019
SolarWinds åtkomsträttighetschef fördjupad granskning
Jämförande histogram i Excel 2010
Evite For Android: Skapa och skicka inbjudningskort för evenemang i bulk
Hur man kan bli av med inbjudningar till skräppost i kalenderappen [iOS]
Apple september 2015 Event Alla enhetsspecifikationer och priser
Hur man tittar på Apple Event september 2015
Säkerhetskopiera dina Android-aviseringar och granska dem efter att de har avslutats

kommentarer