Це джунглі там! Недоброзичливці є скрізь, і вони йдуть за вами. Ну, напевно, не ви особисто, а скоріше ваші дані. Ми захищаємо не лише віруси, а всілякі атаки, які можуть вивести вашу мережу та вашу організацію у важку ситуацію. Через розповсюдження різних систем захисту, таких як антивіруси, брандмауери та системи виявлення вторгнень, мережеві адміністратори переповнюються інформацією, яку вони мають співвіднести, намагаючись зрозуміти це. Ось тут корисні системи інформаційного забезпечення безпеки та управління подіями (SIEM). Вони впораються з більшою частиною жахливої роботи, пов’язаної з надмірною кількістю інформації. Щоб зробити вашу роботу з вибору SIEM простішою, ми представляємо вам найкращі засоби безпеки та управління подіями (SIEM).
Сьогодні ми розпочинаємо наш аналіз з обговореннясучасна сцена загрози. Як ми говорили, це вже не просто віруси. Потім ми спробуємо краще пояснити, що таке SIEM, і поговоримо про різні компоненти, які складають систему SIEM. Деякі з них можуть бути важливішими за інші, але їх відносна важливість може бути різною для різних людей. І, нарешті, ми представимо наш вибір шести найкращих інструментів управління інформацією про безпеку та події (SIEM) та коротко розглянемо кожен з них.
Сучасна сцена загрози
Комп'ютерна безпека стосувалася лише вірусузахист. Але в останні роки було виявлено кілька різних видів нападів. Вони можуть мати форму атак відмови в службі (DoS), крадіжок даних та багато іншого. І вони вже не просто приходять ззовні. Багато атак походять з мережі. Отже, для остаточного захисту були винайдені різні види систем захисту. Окрім традиційних антивірусних та брандмауерів, зараз у нас є системи виявлення вторгнень та запобігання втрат даних (IDS та DLP).
Звичайно, чим більше ви додаєте систем, тим більшеробота ви керуєте ними. Кожна система відслідковує деякі конкретні параметри для відхилень і записує їх та / або запускає сповіщення, коли вони виявляються. Не було б непогано, якби моніторинг усіх цих систем міг бути автоматизованим? Крім того, деякі типи атак можуть бути виявлені декількома системами, коли вони проходять різні етапи. Чи не було б набагато краще, якби ви могли відповісти на всі пов’язані події як один? Ну, саме про це SIEM.
Що таке SIEM, саме?
Назва говорить все це. Інформація про безпеку та управління подіями - це процес управління інформацією про безпеку та подіями. Конкретно, система SIEM не забезпечує жодного захисту. Його головне призначення - полегшити життя адміністраторів мережі та безпеки. Що типова система SIEM насправді - це збирати інформацію з різних систем захисту та виявлення, співвідносити всю цю інформацію, збираючи пов'язані події, і реагувати на значущі події різними способами. Часто системи SIEM також включатимуть певну форму звітності та інформаційні панелі.
Основні компоненти системи SIEM
Ми збираємось детальніше розглянути коженосновний компонент системи SIEM. Не всі системи SIEM включають усі ці компоненти, і навіть коли вони є, вони можуть мати різні функції. Однак вони є основними компонентами, які зазвичай можна знайти в тій чи іншій формі в будь-якій системі SIEM.
Збір та управління журналами
Збір та управління журналом - це головнескладова всіх систем SIEM. Без нього немає SIEM. Система SIEM має отримувати дані журналу з безлічі різних джерел. Він може або витягнути його, або різні системи виявлення та захисту можуть підштовхнути його до SIEM. Оскільки у кожної системи є свій спосіб категоризації та запису даних, SIEM повинен нормалізувати дані та зробити їх однорідними, незалежно від того, яке їх джерело.
Після нормалізації часто зареєстровані дані будутьпорівняно з відомими схемами нападів у спробі якнайшвидше визнати шкідливу поведінку. Дані також часто порівнюватимуться із зібраними раніше даними, щоб допомогти створити базову лінію, що сприятиме подальшому виявленню аномальних активностей.
Відповідь на подію
Після виявлення події щось треба зробитипро це. Це те, про що йдеться у модулі реагування на події для системи SIEM. Відповідь на подію може приймати різні форми. У своїй основній реалізації, на консолі системи буде створено попереджувальне повідомлення. Часто також можна отримувати сповіщення електронною поштою чи SMS.
Але найкращі системи SIEM йдуть на крок далічасто ініціює якийсь процес виправлення. Знову ж таки, це щось, що може приймати багато форм. Найкращі системи мають повну систему робочого процесу реагування на інциденти, яку можна налаштувати, щоб забезпечити саме ту відповідь, яку ви хочете. І як можна було очікувати, реакція на інцидент не повинна бути рівномірною, і різні події можуть викликати різні процеси. Найкращі системи дадуть вам повний контроль над процесом реагування на інцидент.
Звітність
Після того, як ви отримаєте колекцію та керування журналома створені системи реагування наступним необхідним будівельним блоком є звітування. Ви, можливо, ще не знаєте цього, але вам знадобляться звіти. Вищому керівництву знадобиться, щоб вони самі переконалися, що їх інвестиції в систему SIEM окупаються. Вам також можуть знадобитися звіти для відповідності. Дотримання стандартів, таких як PCI DSS, HIPAA або SOX, може бути полегшене, коли ваша система SIEM може генерувати звіти про відповідність.
Звіти можуть не бути основою системи SIEMале все-таки це одна важлива складова. І часто звітність буде головним диференціюючим фактором між конкуруючими системами. Звіти схожі на цукерки, їх ніколи не може бути занадто багато. І звичайно, найкращі системи дозволять вам створювати власні звіти.
Інформаційна панель
Не в останню чергу, панель приладів буде вашоювікно в стан вашої системи SIEM. І навіть може бути декілька інформаційних панелей. Оскільки різні люди мають різні пріоритети та інтереси, ідеальна панель інструментів для мережевого адміністратора відрізнятиметься від адміністратора безпеки. І керівництву також знадобиться зовсім інший.
Хоча ми не можемо оцінити систему SIEM за допомогоюкількість інформаційних панелей на ньому, вам потрібно вибрати таку, яка містить усі необхідні інформаційні панелі. Це, безумовно, ви хочете пам’ятати, оцінюючи постачальників. І так само, як і у звітах, найкращі системи дозволять вам будувати спеціалізовані інформаційні панелі на свій смак.
Наші топ-6 інструментів SIEM
Є багато систем SIEM там. Насправді занадто багато, щоб мати можливість їх переглянути тут. Отже, ми здійснили пошук на ринку, порівняли системи та склали список тих, що виявились шістьма найкращими інструментами безпеки та управління безпекою (SIEM). Ми перераховуємо їх у порядку вподобання, і ми коротко розглянемо кожну з них. Але, незважаючи на їх замовлення, усі шість є чудовими системами, які ми можемо лише порекомендувати спробувати для себе.
Ось які найкращі 6 найкращих інструментів SIEM
- Журнал SolarWinds & Менеджер подій
- Splunk Enterprise Security
- RSA NetWitness
- ArcSight Enterprise Security Manager
- Менеджер безпеки McAfee Enterprise
- IBM QRadar SIEM
1. Журнал SolarWinds & Менеджер подій (БЕЗКОШТОВНИЙ ПРОБЛЕМ 30 днів)
SolarWinds - загальна назва в мережімоніторинг світу. Їх флагманський продукт - Мережевий показник ефективності мережі - один з найкращих інструментів моніторингу SNMP. Компанія також відома своїми численними безкоштовними інструментами, такими як їх підсеть калькулятор або SFTP-сервер.
Інструмент SIEM SolarWinds, менеджер журналів і подій(LEM) найкраще описати як систему SIEM початкового рівня. Але це, можливо, одна з найбільш конкурентоспроможних систем початкового рівня на ринку. LEM SolarWinds має все, що можна очікувати від системи SIEM. Він має чудові функції управління та кореляції та вражаючий механізм звітності.
Що стосується функцій реагування на події інструменту, вони єне залишати нічого бажаного. Детальна система реагування в режимі реального часу активно реагуватиме на кожну загрозу. А оскільки вона базується на поведінці, а не на підписі, ви захищені від невідомих чи майбутніх загроз.
Але інформаційна панель інструменту, можливо, найкращаактив. З простим дизайном у вас не буде проблем швидко визначити аномалії. Починаючи від $ 4 500, інструмент є більш ніж доступним. І якщо ви хочете спробувати його спочатку, для завантаження доступна безкоштовна повністю функціональна 30-денна пробна версія.
2. Безпека підприємства Splunk
Можливо, одна з найпопулярніших систем SIEM,Splunk Enterprise Security - або Splunk ES, як його часто називають - особливо відомий своїми можливостями аналітики. Splunk ES відстежує дані вашої системи в режимі реального часу, шукаючи вразливості та ознаки аномальної активності.
Відповідь безпеки є ще одним із сильних Splunk ESкостюми. Система використовує те, що Splunk називає Рамкою адаптивного реагування (ARF), яка інтегрується в обладнання більш ніж 55 постачальників безпеки. ARF виконує автоматизовану відповідь, прискорюючи ручні завдання. Це дозволить швидко отримати перевагу. Додайте до цього простий і незайманий користувальницький інтерфейс, і у вас є виграшне рішення. Інші цікаві функції включають функцію Notables, яка показує налаштовані користувачем сповіщення та слідчого активу для позначення шкідливих дій та запобігання подальшим проблемам.
Splunk ES - це справді продуктовий продукті він постачається з цінником цінних розмірів для підприємства. Ви навіть не можете отримати інформацію про ціни з веб-сайту Splunk. Щоб отримати ціну, потрібно зв’язатися з відділом продажу. Незважаючи на ціну, це чудовий продукт, і ви, можливо, захочете зв’язатися зі Splunk та скористатися безкоштовною пробною версією.
3. RSA NetWitness
З 20016 року NetWitness зосереджується на продуктахпідтримка "глибокої інформаційної ситуації в мережі в режимі реального часу та спритного реагування на мережу". Після придбання EMC, яка потім об'єдналася з Dell, бізнес Newitness тепер входить до відділення корпорації RSA. І це гарна новина RSA - відоме ім’я в галузі безпеки.
RSA NetWitness ідеально підходить для організацій, які шукаютьповне рішення мережевої аналітики. Інструмент містить інформацію про ваш бізнес, що допомагає визначити пріоритетні сповіщення. За інформацією RSA, система "збирає дані в більшій кількості точок захоплення, обчислювальних платформах та джерелах розвідки про загрози, ніж інші рішення SIEM". Існує також розширене виявлення загроз, яке поєднує в собі поведінковий аналіз, методи наукових даних та розвідку про загрози. І нарешті, вдосконалена система реагування може похвалитися оркестровкою та можливостями автоматизації, яка допоможе позбутися викорінення загроз, перш ніж вони вплинуть на ваш бізнес.
Один з головних недоліків RSA NetWitness - цещо це не найпростіший у використанні та налаштуваннях. Однак доступна вичерпна документація, яка може допомогти вам у налаштуванні та використанні продукту. Це ще один корпоративний продукт, і вам потрібно буде зв’язатися з продавцем, щоб отримати інформацію про ціни.
4. ArcSight Enterprise Security Manager
ArcSight Enterprise Security Manager допомагаєвиявляти та визначати пріоритети загроз безпеці, організовувати та відстежувати заходи реагування на інциденти та спрощувати діяльність з аудиту та дотримання правил. Раніше проданий під торговою маркою HP, тепер він об'єднався з Micro Focus, ще однією філією HP.
Пробувши вже більше п'ятнадцяти років,ArcSight - ще один надзвичайно популярний інструмент SIEM. Він збирає дані журналу з різних джерел і виконує обширний аналіз даних, шукаючи ознаки шкідливої діяльності. Щоб легко визначити загрози, ви можете переглянути результати аналізу real0tme.
Ось основні характеристики продуктів. Він має потужну розподілену корекцію даних у режимі реального часу, автоматизацію робочого процесу, охорону оркестрування та вміст безпеки, керований спільнотою. Enterprise Security Manager також інтегрується з іншими продуктами ArcSight, такими як платформа даних ArcSight та Broker подій або ArcSight Investigate. Це ще один корпоративний продукт - як і майже всі якісні інструменти SIEM - для отримання інформації про ціноутворення потрібно звернутися до торгової групи ArcSight.
5. McAfee Enterprise Security Manager
McAfee, безумовно, ще одне домашнє ім'я вгалузь безпеки. Однак він більше відомий своїми засобами захисту від вірусів. Менеджер безпеки підприємства - це не лише програмне забезпечення. Це насправді прилад. Ви можете отримати його у віртуальній чи фізичній формі.
Що стосується своїх можливостей для аналітики, тоMcAfee Enterprise Security Manager вважається багатьма найкращим інструментом SIEM. Система збирає журнали на широкому діапазоні пристроїв. Що стосується її можливостей нормалізації, то це також найкраще. Кореляційний механізм легко збирає різні джерела даних, що полегшує виявлення подій безпеки в міру їх виникнення
Правда, у рішенні McAfee є більшеніж просто його Enterprise Security Manager. Для отримання повного рішення SIEM вам також потрібен менеджер журналів підприємств та приймач подій. На щастя, всі товари можна упакувати в один прилад. Для тих із вас, хто, можливо, захоче спробувати товар перед його придбанням, доступна безкоштовна пробна версія.
6. IBM QRadar
IBM, можливо, найвідоміше ім'я в ІТпромисловості вдалося створити своє рішення SIEM, IBM QRadar - один з найкращих продуктів на ринку. Інструмент дає можливість аналітикам безпеки виявляти аномалії, виявляти розширені загрози та видаляти помилкові позитиви в режимі реального часу.
IBM QRadar може похвалитися набором управління журналами та данимифункції збирання, аналізу та виявлення вторгнень. Разом вони допомагають підтримувати мережеву інфраструктуру та працювати. Існує також аналітика моделювання ризиків, яка може імітувати потенційні атаки.
Деякі з ключових особливостей QRadar включають цю здатністьдля розгортання рішення на місцях або в хмарному середовищі. Це модульне рішення, і ви можете швидко і недорого додати більше сховища процесорної потужності. Система використовує розвідувальні знання від IBM X-Force та інтегрується з сотнями продуктів IBM та інших не IBM.
Якщо IBM є IBM, ви можете розраховувати заплатити преміальну ціну за рішення SIEM. Але якщо вам потрібен один з найкращих інструментів SIEM на ринку, QRadar цілком може коштувати інвестицій.
У висновку
Єдина проблема, яку ви ризикуєте мати під час покупкинайкращим інструментом інформації про безпеку та моніторинг подій (SIEM) є безліч відмінних варіантів. Ми щойно представили кращі шість. Усі вони - чудовий вибір. Вибір, який ви оберете, значною мірою залежатиме від ваших точних потреб, бюджету та часу, який ви готові вкласти. На жаль, початкова конфігурація завжди є найважчою складовою, і ось тут ситуація може піти не так, якщо інструмент SIEM не буде правильно налаштований, він не зможе виконати свою роботу належним чином.
Текст 50 - 2300
Коментарі