Один з найважливіших - якщо не ТОЙ самийважливо - активність багатьох сьогоднішніх організацій - це їх дані. Це настільки важливо і цінно, що багато недоброзичливих людей чи організації намагаються вкрасти цінні дані. Вони роблять так, що використовуючи широкий набір методів і технологій для отримання несанкціонованого доступу до мереж і систем. Здається, кількість таких спроб весь час експоненціально зростає. Щоб цього не допустити, підприємства, які бажають захистити свої дані, розгортають системи під назвою Системи запобігання вторгнень або IPS. The Журнал SolarWinds & Менеджер подій так добре як Сплин є двома нетрадиційними продуктами на цій арені. Сьогодні ми порівнюємо їх.
Ми розпочнемо наше дослідження, ознайомившисьзапобігання вторгненням взагалі. Це допоможе встановити таблицю для того, що буде. Ми спробуємо зберегти це якомога нетехнічно. Наша ідея полягає не в тому, щоб ви стали фахівцями з профілактики вторгнень, а переконалися, що ми всі на одній сторінці, коли ми надалі вивчаємо обидві продукти. Говорячи про дослідження продуктів, ось що ми маємо далі. Ми спочатку опишемо основні особливості журналу SolarWinds Log & Event Manager. Далі будемо ознайомитись із сильними та слабкими сторонами продукту та його плюсами та мінусами, як повідомляли користувачі платформи, і закінчимо наш огляд продукту, ознайомившись із структурою його ціноутворення та ліцензування. Потім ми розглянемо Splunk, використовуючи ідентичний формат із характеристиками продукції, її сильними та слабкими сторонами, її плюсами та мінусами та структурою ціноутворення. Нарешті ми закінчимо, що користувачі мають сказати про ці два продукти.
Профілактика вторгнень - що це все?
Роки тому віруси були майже єдинимипроблеми системних адміністраторів. Віруси дійшли до того, що вони були настільки поширені, що галузь відреагувала, розробивши засоби захисту від вірусів. Сьогодні жоден серйозний користувач з розумом не подумає запустити комп'ютер без захисту від вірусів. Хоча ми більше не чуємо багато вірусів, вторгнення - або несанкціонований доступ до ваших даних зловмисними користувачами - є новою загрозою. Оскільки дані часто є найважливішим активом організації, корпоративні мережі стали об'єктом ненавмисних хакерів, які будуть надто довго отримувати доступ до даних. Так само, як програмне забезпечення для захисту від вірусів було відповіддю на розповсюдження вірусів, Система запобігання вторгнень - це відповідь на напади зловмисників.
Системи запобігання вторгненням по суті роблять дваречі. По-перше, вони виявляють спроби вторгнення, а коли виявляють будь-які підозрілі дії, використовують різні методи, щоб зупинити або заблокувати його. Є два різні способи виявлення спроб вторгнення. Визначення на основі підписів працює за допомогою аналізу мережевого трафіку та даних та пошуку конкретних зразків, пов’язаних із спробами вторгнення. Це схоже на традиційні системи захисту від вірусів, які спираються на визначення вірусів. Визначення вторгнення на основі підпису покладається на підписи або шаблони вторгнення. Основним недоліком цього способу виявлення є те, що для його завантаження в програмне забезпечення потрібні відповідні підписи. А при новому методі атаки зазвичай виникає затримка перед оновленням підписів атаки. Деякі постачальники дуже швидко надають оновлені підписи атаки, а інші набагато повільніше. Як часто і як швидко підписуються підписи, важливий фактор, який слід враховувати при виборі постачальника.
Виявлення на основі аномалії забезпечує кращий захистпроти атак з нульовим днем, ті, що трапляються перед підписами виявлення, мали шанс бути оновленими. Процес шукає аномалії замість спроб розпізнати відомі схеми вторгнення. Наприклад, це може спрацювати, якби хтось кілька разів поспіль намагався отримати доступ до системи з неправильним паролем, що є загальною ознакою нападу грубої сили. Це лише приклад, і зазвичай є сотні різних підозрілих дій, які можуть викликати ці системи. Обидва способи виявлення мають свої переваги та недоліки. Найкращі інструменти - це ті, які використовують комбінацію аналізу підписів та поведінки для найкращого захисту.
Виявлення спроби вторгнення є першою частиноюзапобігання їм. Після виявлення систем запобігання вторгнень активно працюють над припиненням виявленої діяльності. Цими системами можна вжити декількох різних заходів з виправлення. Наприклад, вони можуть призупинити або іншим чином дезактивувати облікові записи користувачів. Ще одна типова дія - блокування вихідної IP-адреси атаки або зміна правил брандмауера. Якщо зловмисна діяльність походить від конкретного процесу, система запобігання може вбити процес. Запуск певного процесу захисту - це ще одна поширена реакція, і, в гірших випадках, цілі системи можуть бути вимкнені, щоб обмежити потенційні пошкодження. Ще одне важливе завдання системи запобігання вторгнень - попереджати адміністраторів, записувати події та повідомляти про підозрілі дії.
Заходи щодо запобігання пасивному вторгненню
У той час як системи запобігання вторгнень можуть захищативи проти численних видів нападів, нічого не перемагає хороших, старомодних пасивних заходів профілактики вторгнень. Наприклад, встановлення надійних паролів - це відмінний спосіб захисту від багатьох вторгнень. Ще одним простим заходом захисту є зміна паролів обладнання за замовчуванням. Хоча він і зустрічається рідше в корпоративних мережах, хоча це не чутно, я бачив лише занадто часто Інтернет-шлюзи, які все ще мали свій адміністративний пароль за замовчуванням. Щодо теми паролів, старіння пароля - це ще один конкретний крок, який можна зробити для зменшення спроб вторгнення. Будь-який пароль, навіть найкращий, врешті-решт може бути зламаний з урахуванням достатнього часу. Старіння пароля гарантує, що паролі будуть змінені, перш ніж вони були зламані.
Журнал і менеджер подій SolarWinds (Безкоштовна пробна версія)
Сонячні вітри - відоме ім'я в адміністрації мережі. Він користується надійною репутацією в створенні одних з найкращих інструментів мережевого та системного адміністрування. Його флагманський продукт, the Монітор ефективності роботи мережі послідовно забиває серед найкращих доступних інструментів контролю пропускної здатності мережі. SolarWinds також славиться багатьма безкоштовними інструментами, кожен з яких відповідає конкретним потребам мережевих адміністраторів. The Сервер Kiwi Syslog або SolarWinds TFTP Server - два чудових приклади цих безкоштовних інструментів.
Не пускайте Журнал SolarWinds & Менеджер подійЗвати тебе дурнем. На це набагато більше, ніж на очі. Деякі вдосконалені функції цього продукту відносять його до системи виявлення та запобігання вторгнень, інші ж відносять його до діапазону інформації про безпеку та управління подіями (SIEM). Наприклад, інструмент містить кореляцію подій у реальному часі та виправлення в реальному часі.
- БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД: Журнал SolarWinds & Менеджер подій
- Посилання для завантаження: https://www.solarwinds.com/log-event-manager-software/registration
The Журнал SolarWinds & Менеджер подій може похвалитися миттєвим виявленням підозрілихактивність (функція виявлення вторгнень) та автоматизовані реакції (функція запобігання вторгнень). Цей інструмент також може використовуватися для розслідування подій безпеки та криміналістики. Його можна використовувати для пом'якшення та дотримання норм. Інструмент містить перевірену аудитом звітність, яка також може бути використана для демонстрації відповідності різним регуляторним структурам, таким як HIPAA, PCI-DSS та SOX. Інструмент також має моніторинг цілісності файлів та моніторинг USB-пристроїв. Усі вдосконалені функції програмного забезпечення роблять його більш інтегрованою платформою безпеки, а не просто системою управління журналом та подіями, що її ім’я призведе до того, що ви повірите.
Особливості запобігання вторгнень Журнал SolarWinds & Менеджер подій працює, реалізуючи дії під назвою АктивніВідповіді, коли виявляються загрози. Різні відповіді можуть бути пов'язані з конкретними сповіщеннями. Наприклад, система може записувати в таблиці брандмауера, щоб блокувати мережевий доступ до вихідної ІР-адреси, яка була визначена як підозріла діяльність. Інструмент також може призупиняти облікові записи користувачів, зупиняти або запускати процеси та закривати системи. Ви згадаєте, як саме такі дії з виправлення ми визначали раніше.
Сильні і слабкі сторони
За словами Гартнера, Сонячні вітри Журнал і менеджер подій "Пропонує добре інтегроване рішення, яке єособливо добре підходить для малого та середнього бізнесу, завдяки своїй простій архітектурі, простому ліцензуванню та надійному нестандартному вмісту та можливостям ». Інструмент містить декілька джерел подій і пропонує певну функцію запобігання загрозам та функції карантинного контролю, які зазвичай не доступні для конкуруючих продуктів.
Однак дослідницька фірма також зазначає, що цепродукт - це закрита екосистема, що ускладнює інтеграцію із сторонніми рішеннями безпеки, такими як розширене виявлення загроз, канали розвідки про загрози та інструменти UEBA. Як писала фірма: «Інтеграція з інструментами сервісного столу також обмежена одностороннім зв’язком через електронну пошту та SNMP».
Крім того, моніторинг середовищ SaaSне підтримується продуктом, а моніторинг IaaS обмежений. Клієнти, які хочуть поширити свій моніторинг на мережі та додатки, повинні придбати інші продукти SolarWinds.
- БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД: Журнал SolarWinds & Менеджер подій
- Посилання для завантаження: https://www.solarwinds.com/log-event-manager-software/registration
Плюси і мінуси
Ми зібрали найбільш важливі плюси і мінуси, про які повідомили користувачі менеджерів журналів SolarWinds Log & Event. Ось що вони мають сказати.
Плюси
- Продукт неймовірно простий в налаштуванні. Він був розгорнутий і вказував на нього джерела журналів, і він здійснював основні кореляції протягом доби.
- Автоматизовані відповіді, доступні після розгортання агента, дають вам неймовірний контроль для реагування на події у вашій мережі.
- Інтерфейс інструменту зручний для користувачів. Деякі конкурентоспроможні продукти можуть бути непростими для того, щоб навчитися користуватися та призвичаїтися, але Журнал SolarWinds & Менеджер подій має інтуїтивно зрозумілий макет і його дуже легко підібрати та використовувати.
Мінуси
- У продукту немає спеціального аналізатора. У вашій мережі неминуче з'явиться продукт, який The Журнал SolarWinds & Менеджер подій не знатимеш, як розібратися З цієї причини деякі конкуруючі рішення використовують користувацькі парсери. Цей продукт не підтримує створення спеціальних аналізаторів, тому невідомі формати журналу залишаються нерозбірливими.
- Інструмент іноді може бути занадто простим. Це прекрасний інструмент для виконання основних співвідношень у невеликих та середніх розмірах. Однак, якщо ви намагаєтеся зробити занадто просунуте з кореляціями, які ви намагаєтеся виконати, ви можете засмутитися відсутністю функціоналу цього інструменту, що пов'язано головним чином з тим, як він аналізує дані.
Ціноутворення та ліцензування
Ціноутворення для журналу SolarWinds Log & Event Managerзмінюється залежно від кількості контрольованих вузлів. Ціни починаються від 4585 доларів на до 30 моніторизованих вузлів, а ліцензії на до 2500 вузлів можна придбати за допомогою декількох ліцензійних рівнів між ними, що робить продукт дуже масштабованим. Якщо ви хочете взяти продукт на пробний пробіг і переконатися, чи правильно він для вас, доступна безкоштовна повнофункціональна 30-денна пробна версія.
Сплин
Сплин можливо одна з найпопулярніших систем запобігання вторгнень. Він доступний у кількох різних виданнях із різними наборами функцій. Splunk Enterprise Security–Або Splunk ES, як його часто називають - це те, що вам потрібно для істинизапобігання інтрузії. І саме на це ми сьогодні дивимось. Програмне забезпечення в режимі реального часу відстежує дані вашої системи, шукаючи вразливості та ознаки аномальної активності. Хоча його мета запобігання вторгненням схожа на Сонячні вітри", Спосіб його досягнення є різним.
Реакція безпеки є одним із СплинСильні костюми, і саме це робить Систему попередження вторгнень і альтернативою Сонячні вітри продукт щойно переглянуто. Він використовує те, що називає постачальник Адаптивна рамка реагування (ARF). Інструмент інтегрується з обладнанням понад 55 постачальників безпеки і може виконувати автоматизовану відповідь, прискорюючи ручні завдання та забезпечуючи швидшу реакцію. Поєднання автоматизованого відновлення та ручного втручання дає найкращі шанси на швидке отримання переваги. Інструмент має простий і незайманий користувальницький інтерфейс, завдяки чому вигідне рішення. Інші цікаві функції захисту включають "Помітні", Яка показує налаштовані користувачем сповіщення та"Дослідник активів"Для позначення шкідливої діяльності та запобігання подальшим проблемам.
Сильні і слабкі сторони
СплинРосійська партнерська екосистема забезпечує інтеграцію та Сплин-специфічний зміст через Splunkbase App Store. Повний набір рішень постачальника також дозволяє користувачам легко перерости в платформу з часом, а розширені можливості аналітики доступні різними способами в усьому Сплин екосистема.
Знизу, Сплин не пропонує версію рішення щодо пристрою, і клієнти Gartner висловлюють занепокоєння щодо моделі ліцензування та вартості впровадження - у відповідь, Сплин запровадив нові підходи до ліцензування, включаючи Угоду про прийняття підприємств (EAA).
Плюси і мінуси
Як і в попередньому продукті, ось список найважливіших плюсів і мінусів, про які повідомили користувачі Сплин.
Плюси
- Інструмент дуже добре збирає журнали майже з усіх типів машин - більшість альтернативних продуктів це не так добре.
- Сплин надає візуальні зображення користувачеві, надаючи їм можливість перетворювати журнали у візуальні елементи, такі як кругові діаграми, графіки, таблиці тощо.
- Це дуже швидко в повідомленні та оповіщенні про аномалії. Затримка невелика.
Мінуси
- СплинМова пошуку йде дуже глибоко. Однак виконання деяких більш вдосконалених форматів або статистичного аналізу передбачає трохи кривої навчання. Сплин навчання доступне для вивчення мови пошуку та маніпулювання вашими даними, але може коштувати від 500,00 до 1 500,00 дол.
- Можливості інструментальної панелі інструменту досить пристойні, але для більш захоплюючих візуалізацій потрібно трохи розробити за допомогою простих XML, Javascript та CSS.
- Постачальник випускає незначні зміни дуже швидко, але через велику кількість помилок, з якими ми зіткнулися, нам довелося оновити своє середовище чотири рази за дев'ять місяців.
Ціноутворення та ліцензування
Splunk EnterpriseЦінова вартість базується на тому, скільки загальних даних ви маєтенадсилайте до нього щодня. Він починається від $ 150 / місяць до 1 ГБ щоденно вживаних даних. Знижки на обсяг доступні. Ця ціна включає необмежених користувачів, необмежену кількість пошуків, пошук у режимі реального часу, аналіз та візуалізацію, моніторинг та оповіщення, стандартну підтримку та багато іншого. Вам потрібно буде зв’язатися з продажами Splunk, щоб отримати детальну пропозицію. Як і більшість товарів у такому ціновому діапазоні, для тих, хто хотів би спробувати продукт, доступна безкоштовна пробна версія.
Що було сказано про два продукти?
Користувачі Центрального вокзалу IT дають Сонячні вітри a 9 з 10 і Сплин 8 з 10. Однак користувачі Gartner Peer Insights відміняють замовлення, віддаючи Сплин 4,3 з 5 і Сонячні вітри a 4 з 5.
Про це написав Джеффрі Робінетт, системний інженер Foxhole Technology Сонячні вітри"Звіти про нестандартну скриньку та інформаційну панель є ключовою силою, зазначаючи, що" Це дозволяє нам відстежувати доступ та швидко отримувати кіберзвіти. Більше не потрібно шукати журнали на кожному сервері. "
У порівнянні з Сплин, Робінет сказала це Сонячні вітри не вимагає особливих налаштувань, і ціна його нижче, поки він писав про Сплин що “вам потрібен доктор наук. про налаштування звітів. "
Для Рауля Лапаза, старшого оператора ІТ-безпеки в Рош, поки Сплин це недешево, простота у використанні, масштабованість, стабільність, швидкість роботи пошукової системи та сумісність із різноманітними джерелами даних роблять це вартим.
Однак Лапаз вказав на деякі недоліки,включаючи, наприклад, той факт, що управління кластером можна здійснювати лише за допомогою командного рядка, і що дозволи не є дуже гнучкими. Він написав: "Було б непогано мати більш детальні варіанти, такі як двофакторна аутентифікація".
Коментарі