6 лучших средств обеспечения безопасности и управления событиями (SIEM), которые стоит проверить в 2018 году



Сегодня мы начинаем наш анализ, обсуждая современную сцену угроз. Это больше не просто вирусы. Затем мы попытаемся лучше объяснить, что такое SIEM, и поговорим о различных компонентах, которые делают систему SIEM. Некоторые из них могут быть важнее других, но их относительная значимость может отличаться для разных людей. И, наконец, мы представим наш выбор из шести лучших инструментов безопасности и управления событиями (SIEM) и кратко рассмотрим каждый из них.

Современная угроза


Безопасность компьютера обычно была связана с защитой от вирусов. Но в последние годы было обнаружено несколько различных видов атак. Они могут принимать форму атак типа отказ в обслуживании (DoS), кражи данных и многих других. И они больше не приходят извне. Многие атаки происходят из сети. Таким образом, для максимальной защиты были изобретены различные типы систем защиты. Например, в дополнение к традиционным антивирусам и брандмауэрам мы теперь, например, имеем системы обнаружения вторжений и предотвращения потери данных (IDS и DLP).

Конечно, чем больше вы добавляете системы, тем больше у вас работы. Каждая система контролирует некоторые специфические параметры для аномалий и регистрирует их и / или запускает предупреждения, когда они будут обнаружены. Было бы неплохо, если бы мониторинг всех этих систем мог быть автоматизирован? Кроме того, некоторые типы атак могут быть обнаружены несколькими системами, поскольку они проходят разные этапы. Не было бы намного лучше, если бы вы могли ответить на все связанные события как на один? Ну, это именно то, о чем говорит SIEM.

Что такое SIEM?

Имя говорит само за себя. Информация о безопасности и управление событиями - это процесс управления информацией и событиями безопасности. Конкретно, система SIEM не обеспечивает никакой защиты. Его основная цель - облегчить жизнь администраторам сетей и безопасности. Типичная система SIEM действительно выполняет сбор информации из различных систем защиты и обнаружения, коррелирует все эти события, связанные с сборкой информации, и реагирует на осмысленные события различными способами. Часто системы SIEM также включают в себя некоторые формы отчетности и информационные панели.

Основные компоненты системы SIEM


Мы собираемся более подробно изучить каждый важный компонент системы SIEM. Не все системы SIEM включают в себя все эти компоненты, и даже когда они это делают, они могут иметь разные функциональные возможности. Тем не менее, они являются наиболее базовыми компонентами, которые обычно можно найти в той или иной форме в любой системе SIEM.
Сбор и управление журналами

Сбор и управление журналами являются основным компонентом всех систем SIEM. Без этого нет SIEM. Система SIEM должна получать данные журнала из разных источников. Она может либо вытащить его, либо различные системы обнаружения и защиты могут подтолкнуть его к SIEM. Так как каждая система имеет свой собственный способ классификации и записи данных, то SIEM может нормализовать данные и сделать их равномерными, независимо от того, что их источник.

После нормализации регистрируемые данные часто сравниваются с известными шаблонами атаки в попытке распознать вредоносное поведение как можно раньше. Данные также часто сравниваются с ранее собранными данными, чтобы помочь построить базовый уровень, который еще больше улучшит обнаружение ненормальной активности.

Ответ на событие


Как только событие обнаружено, что-то нужно сделать по этому поводу. Это то, что касается модуля реакции событий для системы SIEM. Ответ на событие может принимать разные формы. В своей самой основной реализации на консоли системы будет создано предупреждающее сообщение. Часто также могут генерироваться сообщения электронной почты или SMS.

Но лучшие системы SIEM идут дальше и часто инициируют какой-то процесс исправления. Опять же, это то, что может принимать разные формы. Лучшие системы имеют полную систему документооборота с учетом инцидентов, которая может быть настроена так, чтобы обеспечить именно тот ответ, который вы хотите. И, как и следовало ожидать, ответ на инцидент не обязательно должен быть однородным, а различные события могут инициировать различные процессы. Лучшие системы позволят вам полностью контролировать рабочий процесс реагирования на инциденты.

Составление отчетов


После того, как у вас есть коллекция журналов и управление, а также системы реагирования, следующий блок, который вам нужен, сообщает. Возможно, вы еще этого не знаете, но вам понадобятся отчеты. Высшее руководство будет нуждаться в них, чтобы убедиться в том, что их инвестиции в систему SIEM окупаются. Вам также могут потребоваться отчеты для целей соответствия. Соответствие стандартам, таким как PCI DSS, HIPAA или SOX, может быть уменьшено, если ваша система SIEM может генерировать отчеты о соответствии.

Отчеты, возможно, не лежат в основе системы SIEM, но все же это один из важных компонентов. И часто, отчетность будет основным фактором дифференциации между конкурирующими системами. Отчеты похожи на конфеты, у вас никогда не будет слишком много. И, конечно же, лучшие системы позволят вам создавать собственные отчеты.

Панель(и)


И последнее, но не менее важное: панель управления будет вашим окном в состояние вашей системы SIEM. И даже может быть несколько панелей. Поскольку разные люди имеют разные приоритеты и интересы, идеальная панель мониторинга для сетевого администратора будет отличаться от настройки администратора безопасности. И руководителю понадобится совсем другое.

Несмотря на то, что мы не можем оценить систему SIEM по количеству панелей, которые она имеет, вам нужно выбрать тот, у которого есть все необходимые панели инструментов. Это определенно то, что вы хотите иметь в виду, когда оцениваете поставщиков. Как и в случае с отчетами, лучшие системы позволят вам создавать индивидуальные панели управления по своему вкусу.

Наши лучшие 6 инструментов SIEM


Существует множество систем SIEM. На самом деле слишком много, чтобы иметь возможность просмотреть их все здесь. Итак, мы прошерстили рынок, сравнивали системы и составили список того, что мы обнаружили как шесть лучших инструментов безопасности и управления (SIEM). Мы перечисляем их в порядке предпочтения, и мы кратко рассмотрим каждый из них. Но, несмотря на их порядок, все шесть отличные системы, которые мы можем рекомендовать вам попробовать сами.

Вот наши лучшие 6 инструментов SIEM


  1. SolarWinds Log & Event Manager
  2. Splunk Enterprise Security
  3. RSA NetWitness 
  4. ArcSight Enterprise Security Manager 
  5. McAfee Enterprise Security Manager
  6. IBM QRadar SIEM

1. 
SolarWinds Log & Event Manager
 ( БЕСПЛАТНЫЙ 30-дневный пробный курс)

SolarWinds - это общее имя в мире мониторинга сети. Их флагманский продукт - Network Performance Monitor - один из лучших доступных инструментов мониторинга SNMP. Компания также известна своими многочисленными бесплатными инструментами, такими как их калькулятор подсети или их SFTP-сервер.

Инструмент SIEMA SolarWinds, менеджер журналов и событий (LEM) лучше всего описывается как система SIEM начального уровня. Но это, возможно, одна из самых конкурентоспособных систем начального уровня на рынке. В SolarWinds LEM есть все, что можно ожидать от системы SIEM. Он обладает прекрасными функциями управления и корреляции и впечатляющим механизмом отчетности.



Что касается функций реагирования на события инструмента, они не оставляют желать лучшего. Детальная система реагирования в реальном времени будет активно реагировать на каждую угрозу. И поскольку он основан на поведении, а не подписи, вы защищены от неизвестных или будущих угроз.

Но приборная панель инструмента, возможно, является его лучшим активом. С простой конструкцией вам не составит труда быстро определить аномалии. Начиная с около $ 4 500, этот инструмент более чем доступен. И если вы хотите попробовать сначала, доступна бесплатная полнофункциональная 30-дневная пробная версия.

2. 
Splunk Enterprise Security

Возможно, одна из самых популярных систем SIEM, Splunk Enterprise Security - или Splunk ES, как ее часто называют, - особенно известна своими возможностями аналитики. Splunk ES контролирует данные вашей системы в режиме реального времени, ищет уязвимости и признаки ненормальной активности.

Ответ на безопасность - это еще один пример сильных костюмов Splunk ES. Система использует то, что Splunk вызывает Adaptive Response Framework (ARF), которая интегрируется с оборудованием более чем 55 поставщиков безопасности. ARF выполняет автоматический ответ, ускоряя ручные задачи. Это позволит вам быстро одержать верх. Добавьте к этому простой и незагроможденный пользовательский интерфейс, и у вас есть выигрышное решение. Другие интересные функции включают функцию Notables, которая показывает настраиваемые пользователем оповещения и Asset Investigator для предотвращения вредоносных действий и предотвращения дальнейших проблем.



Splunk ES действительно является продуктом корпоративного уровня и поставляется с ценником размера предприятия. Вы даже не можете получать информацию о ценах с веб-сайта Splunk. Вам нужно связаться с отделом продаж, чтобы получить цену. Несмотря на свою цену, это отличный продукт, и вы можете связаться с Splunk и воспользоваться бесплатной пробной версией.


3. RSA NetWitness

С 2001 года NetWitness сосредоточился на продуктах, поддерживающих «глубокую, реальную сетевую осведомленность о сети и гибкую сетевую реакцию». После приобретения EMC, которая затем объединилась с Dell, бизнес Newitness теперь входит в состав корпорации RSA. И это хорошая новость. RSA - это известное имя в сфере безопасности.

RSA NetWitness идеально подходит для организаций, которые ищут полное решение для сетевой аналитики. Инструмент содержит информацию о вашей компании, которая помогает приоритизировать оповещения. По данным RSA, система «собирает данные через большее количество точек захвата, вычислительных платформ и источников угроз, чем другие решения SIEM». Существует также расширенное обнаружение угроз, которое сочетает в себе поведенческий анализ, методы научных исследований и разведку угроз. И, наконец, усовершенствованная система реагирования может похвастаться возможностями оркестровки и автоматизации, чтобы помочь избавиться от искоренения угроз, прежде чем они повлияют на ваш бизнес.




Одним из основных недостатков RSA NetWitness является то, что он не самый простой в использовании и настройке. Тем не менее, имеется обширная документация, которая может помочь вам в настройке и использовании продукта. Это еще один продукт корпоративного уровня, и вам нужно связаться с продавцом, чтобы получить информацию о ценах.

4. ArcSight Enterprise Security Manager

ArcSight Enterprise Security Manager помогает выявлять и устанавливать приоритеты угроз безопасности, организовывать и отслеживать действия, связанные с реагированием на инциденты, и упрощать деятельность по аудиту и соблюдению. Ранее продаваемый под брендом HP, он теперь слился с Micro Focus, еще одной дочерней компанией HP.

Уже более пятнадцати лет ArcSight является еще одним чрезвычайно популярным инструментом SIEM. Он собирает данные журнала из разных источников и выполняет обширный анализ данных, ища признаки злонамеренной деятельности. Чтобы упростить определение угроз быстро, вы можете просмотреть результаты анализа realttme.



Вот краткое изложение основных функций продукта. Он имеет мощную распределенную корреляцию данных в реальном времени, автоматизацию документооборота, организацию взаимодействия с безопасностью, а также контент безопасности на уровне сообщества. Enterprise Security Manager также интегрируется с другими продуктами ArcSight, такими как ArcSight Data Platform и Event Broker или ArcSight Investigate. Это еще один продукт корпоративного уровня - почти все качественные инструменты SIEM - для этого вам потребуется связаться с командой продаж ArcSight, чтобы получить информацию о ценах.

5. McAfee Enterprise Security Manager

McAfee, безусловно, является другим именем в сфере безопасности. Однако он лучше известен своими продуктами защиты от вирусов. Менеджер безопасности предприятия - это не просто программное обеспечение. Это на самом деле прибор. Вы можете получить его в виртуальной или физической форме.

Что касается возможностей аналитики, McAfee Enterprise Security Manager считается одним из лучших инструментов SIEM для многих. Система собирает журналы через широкий диапазон устройств. Что касается его возможностей нормализации, то он также является высшей отметкой. Механизм корреляции легко компилирует разрозненные источники данных, что упрощает обнаружение событий безопасности по мере их возникновения.


Чтобы быть правдой, для решения McAfee есть больше, чем просто его Enterprise Security Manager. Чтобы получить полное решение SIEM, вам также понадобится менеджер Enterprise Log Manager и Event Receiver. К счастью, все продукты могут быть упакованы в одном устройстве. Для тех из вас, кто хочет попробовать продукт перед его покупкой, предоставляется бесплатная пробная версия.

6. IBM QRadar

IBM, возможно, известное имя в ИТ-индустрии смогла установить свое решение SIEM, IBM QRadar является одним из лучших продуктов на рынке. Этот инструмент позволяет аналитикам безопасности обнаруживать аномалии, обнаруживать передовые угрозы и удалять ложные срабатывания в режиме реального времени.

IBM QRadar имеет набор средств управления журналами, сбора данных, аналитики и обнаружения вторжений. Вместе они помогают поддерживать работу вашей сетевой инфраструктуры. Существует также аналитика моделирования рисков, которая может имитировать потенциальные атаки.



Некоторые из ключевых функций QRadar включают возможность развертывания решения на месте или в облачной среде. Это модульное решение, и можно быстро и недорого увеличить емкость вычислительной мощности. Система использует интеллектуальные знания от IBM X-Force и легко интегрируется с сотнями продуктов IBM и других производителей.

В заключение

Единственная проблема, которую вы рискуете иметь при покупке лучшего инструмента безопасности и мониторинга событий (SIEM), - это изобилие отличных опций. Мы только что представили лучшие шесть. Все они - отличный выбор. Тот, который вы выберете, во многом будет зависеть от ваших конкретных потребностей, вашего бюджета и времени, которое вы готовы внести в его настройку. Увы, исходная конфигурация всегда самая сложная, и в этом случае все может пойти не так, если инструмент SIEM не настроен должным образом, он не сможет выполнить свою работу должным образом.
6 лучших средств обеспечения безопасности и управления событиями (SIEM), которые стоит проверить в 2018 году 6 лучших средств обеспечения безопасности и управления событиями (SIEM), которые стоит проверить в 2018 году Reviewed by Admin on июня 25, 2018 Rating: 5

Комментариев нет: