Este o junglă acolo! Indivizi rău intenționați sunt peste tot și sunt după tine. Ei bine, probabil nu dvs. personal, ci mai degrabă datele dvs. Nu mai trebuie să ne protejăm doar împotriva virușilor, ci împotriva tuturor tipurilor de atacuri care vă pot lăsa rețeaua – și organizația – într-o situație îngrozitoare. Datorită proliferării diferitelor sisteme de protecție precum antivirusuri, firewall-uri și sisteme de detectare a intruziunilor, administratorii de rețea sunt acum inundați de informații pe care trebuie să le coreleze, încercând să le dea sens. Aici sunt utile sistemele SIEM (Security Information and Event Management). Ei se ocupă de cea mai mare parte a muncii groaznice de a face față cu prea multe informații. Pentru a vă ușura munca de selectare a unui SIEM, vă prezentăm cele mai bune instrumente de gestionare a informațiilor de securitate și a evenimentelor (SIEM).
Astăzi, începem analiza noastră discutând scena modernă a amenințărilor. După cum am spus, nu mai sunt doar viruși. Apoi, vom încerca să explicăm mai bine ce este exact SIEM și să vorbim despre diferitele componente care fac un sistem SIEM. Unele dintre ele ar putea fi mai importante decât altele, dar importanța lor relativă ar putea fi diferită pentru diferiți oameni. Și, în sfârșit, vom prezenta selecția noastră dintre cele mai bune șase instrumente de gestionare a informațiilor de securitate și a evenimentelor (SIEM) și le vom revizui pe scurt pe fiecare.
Cuprins
Scena modernă a amenințării
Securitatea computerului era doar despre protecția împotriva virușilor. Dar în ultimii ani, au fost descoperite mai multe tipuri diferite de atacuri. Acestea pot lua forma atacurilor de tip denial of service (DoS), furt de date și multe altele. Și nu mai vin doar din afară. Multe atacuri provin din interiorul unei rețele. Deci, pentru o protecție supremă, au fost inventate diverse tipuri de sisteme de protecție. Pe lângă antivirusul și firewallul tradițional, acum avem sisteme de detectare a intruziunilor și prevenire a pierderii datelor (IDS și DLP), de exemplu.
Desigur, cu cât adăugați mai multe sisteme, cu atât aveți mai multă muncă pentru a le gestiona. Fiecare sistem monitorizează anumiți parametri specifici pentru anomalii și îi va înregistra și/sau declanșează alerte atunci când sunt descoperiți. Nu ar fi frumos dacă s-ar putea automatiza monitorizarea tuturor acestor sisteme? În plus, unele tipuri de atacuri ar putea fi detectate de mai multe sisteme pe măsură ce trec prin diferite etape. Nu ar fi mult mai bine dacă ați putea răspunde la toate evenimentele asociate ca unul singur? Ei bine, exact despre asta este SIEM.
Ce este SIEM, exact?
Numele spune totul. Informații de securitate și managementul evenimentelor este procesul de gestionare a informațiilor și evenimentelor de securitate. Concret, un sistem SIEM nu oferă nicio protecție. Scopul său principal este de a ușura viața administratorilor de rețea și securitate. Ceea ce face cu adevărat un sistem SIEM obișnuit este să colecteze informații de la diferite sisteme de protecție și detecție, să coreleze toate aceste informații, adunând evenimente conexe și să reacționeze la evenimente semnificative în diferite moduri. Adesea, sistemele SIEM vor include și o anumită formă de raportare și tablouri de bord.
Componentele esențiale ale unui sistem SIEM
Suntem pe cale să explorăm în detalii mai profunde fiecare componentă majoră a unui sistem SIEM. Nu toate sistemele SIEM includ toate aceste componente și, chiar și atunci când o fac, ar putea avea funcționalități diferite. Cu toate acestea, ele sunt cele mai de bază componente pe care le-ar găsi de obicei, într-o formă sau alta, în orice sistem SIEM.
Colectarea și gestionarea jurnalelor
Colectarea și gestionarea jurnalelor este componenta principală a tuturor sistemelor SIEM. Fără el, nu există SIEM. Sistemul SIEM trebuie să achiziționeze date de jurnal dintr-o varietate de surse diferite. Îl poate trage sau diferite sisteme de detectare și protecție îl pot împinge către SIEM. Deoarece fiecare sistem are propriul mod de clasificare și înregistrare a datelor, revine SIEM să normalizeze datele și să le uniformizeze, indiferent de sursa lor.
După normalizare, datele înregistrate vor fi adesea comparate cu modelele de atac cunoscute în încercarea de a recunoaște comportamentul rău intenționat cât mai curând posibil. De asemenea, datele vor fi adesea comparate cu datele colectate anterior pentru a ajuta la construirea unei linii de referință care va îmbunătăți și mai mult detectarea activității anormale.
Răspuns la eveniment
Odată ce un eveniment este detectat, trebuie făcut ceva în privința lui. Acesta este modulul de răspuns la evenimente pentru sistemul SIEM. Răspunsul la eveniment poate lua diferite forme. În implementarea sa cea mai de bază, un mesaj de alertă va fi generat pe consola sistemului. Adesea pot fi generate alerte prin e-mail sau SMS.
Dar cele mai bune sisteme SIEM fac un pas mai departe și vor iniția adesea un proces de remediere. Din nou, acesta este ceva care poate lua multe forme. Cele mai bune sisteme au un sistem complet de flux de lucru pentru răspuns la incident, care poate fi personalizat pentru a oferi exact răspunsul dorit. Și așa cum s-ar putea aștepta, răspunsul la incident nu trebuie să fie uniform și diferite evenimente pot declanșa procese diferite. Cele mai bune sisteme vă vor oferi control complet asupra fluxului de lucru de răspuns la incident.
Raportare
Odată ce ați instalat colectarea și gestionarea jurnalelor și sistemele de răspuns, următorul bloc de care aveți nevoie este raportarea. S-ar putea să nu știți încă, dar veți avea nevoie de rapoarte. Conducerea superioară va avea nevoie de ei să vadă singuri că investiția lor într-un sistem SIEM dă roade. De asemenea, este posibil să aveți nevoie de rapoarte în scopuri de conformitate. Respectarea standardelor precum PCI DSS, HIPAA sau SOX poate fi ușurată atunci când sistemul dumneavoastră SIEM poate genera rapoarte de conformitate.
Rapoartele pot să nu fie în centrul unui sistem SIEM, dar totuși, este o componentă esențială. Și adesea, raportarea va fi un factor major de diferențiere între sistemele concurente. Rapoartele sunt ca niște bomboane, nu poți avea niciodată prea multe. Și, desigur, cele mai bune sisteme vă vor permite să creați rapoarte personalizate.
Tablouri de bord
Nu în ultimul rând, tabloul de bord va fi fereastra dvs. în starea sistemului dvs. SIEM. Și ar putea exista chiar mai multe tablouri de bord. Deoarece diferiți oameni au priorități și interese diferite, tabloul de bord perfect pentru un administrator de rețea va fi diferit de cel al unui administrator de securitate. Și un executiv va avea nevoie și de unul complet diferit.
Deși nu putem evalua un sistem SIEM după numărul de tablouri de bord pe care le are, trebuie să alegeți unul care să aibă toate tablourile de bord de care aveți nevoie. Acesta este cu siguranță ceva de care veți dori să aveți în vedere atunci când evaluați furnizorii. Și la fel ca în cazul rapoartelor, cele mai bune sisteme vă vor permite să construiți tablouri de bord personalizate după bunul plac.
Cele mai bune 6 instrumente SIEM ale noastre
Există o mulțime de sisteme SIEM acolo. Mult prea multe, de fapt, pentru a le putea revizui pe toate aici. Așadar, am căutat pe piață, am comparat sisteme și am construit o listă cu ceea ce am găsit a fi cele mai bune șase instrumente de management și informații de securitate (SIEM). Le enumerăm în ordinea preferințelor și le vom analiza pe scurt pe fiecare. Dar, în ciuda ordinii lor, toate cele șase sunt sisteme excelente pe care vă putem recomanda doar să le încercați singur.
Iată care sunt cele mai bune 6 instrumente SIEM ale noastre
Manager de jurnal și evenimente SolarWinds
Splunk Enterprise Security
RSA NetWitness
ArcSight Enterprise Security Manager
McAfee Enterprise Security Manager
IBM QRadar SIEM
1. SolarWinds Log & Event Manager (PROCĂ GRATUITĂ DE 30 DE ZILE)
SolarWinds este un nume comun în lumea monitorizării rețelei. Produsul lor emblematic, Network Performance Monitor este unul dintre cele mai bune instrumente de monitorizare SNMP disponibile. Compania este, de asemenea, cunoscută pentru numeroasele sale instrumente gratuite, cum ar fi Calculatorul de subrețea sau serverul SFTP.
Instrumentul SIEM de la SolarWinds, Log and Event Manager (LEM) este cel mai bine descris ca un sistem SIEM de nivel de intrare. Dar este posibil unul dintre cele mai competitive sisteme entry-level de pe piață. SolarWinds LEM are tot ce vă puteți aștepta de la un sistem SIEM. Are caracteristici excelente de gestionare lungă și corelare și un motor de raportare impresionant.
În ceea ce privește caracteristicile de răspuns la evenimente ale instrumentului, acestea nu lasă nimic de dorit. Sistemul detaliat de răspuns în timp real va reacționa activ la fiecare amenințare. Și, deoarece se bazează mai degrabă pe comportament decât pe semnătură, sunteți protejat împotriva amenințărilor necunoscute sau viitoare.
Dar tabloul de bord al instrumentului este, probabil, cel mai bun atu al acestuia. Cu un design simplu, nu veți avea probleme în identificarea rapidă a anomaliilor. Începând de la aproximativ 4 500 USD, instrumentul este mai mult decât accesibil. Și dacă doriți să o încercați mai întâi, o versiune de încercare complet funcțională de 30 de zile este disponibilă pentru descărcare.
2. Splunk Enterprise Security
Posibil unul dintre cele mai populare sisteme SIEM, Splunk Enterprise Security– sau Splunk ES, așa cum este adesea numit – este deosebit de renumit pentru capacitățile sale de analiză. Splunk ES monitorizează datele sistemului dumneavoastră în timp real, căutând vulnerabilități și semne de activitate anormală.
Răspunsul de securitate este un alt punct de vedere al Splunk ES. Sistemul folosește ceea ce Splunk numește Adaptive Response Framework (ARF) care se integrează cu echipamente de la peste 55 de furnizori de securitate. ARF efectuează răspuns automat, accelerând sarcinile manuale. Acest lucru vă va permite să câștigați rapid avantajul. Adăugați la asta o interfață de utilizator simplă și neaglomerată și aveți o soluție câștigătoare. Alte caracteristici interesante includ funcția Notables care arată alerte personalizabile de utilizator și Asset Investigator pentru semnalarea activităților rău intenționate și prevenirea problemelor ulterioare.
Splunk ES este cu adevărat un produs de nivel enterprise și vine cu o etichetă de preț de dimensiunea întreprinderii. Nici măcar nu puteți obține informații despre prețuri de pe site-ul web al Splunk. Trebuie să contactați departamentul de vânzări pentru a obține un preț. În ciuda prețului său, acesta este un produs grozav și poate doriți să contactați Splunk și să profitați de o perioadă de încercare gratuită.
3. RSA NetWitness
Din 20016, NetWitness s-a concentrat pe produse care susțin „conștientizarea situației rețelei profunde, în timp real și răspunsul agil al rețelei”. După ce a fost achiziționată de EMC, care apoi a fuzionat cu Dell, afacerea Newitness face acum parte din filiala RSA a corporației. Și aceasta este o veste bună. RSA este un nume celebru în domeniul securității.
RSA NetWitness este ideal pentru organizațiile care caută o soluție completă de analiză a rețelei. Instrumentul încorporează informații despre afacerea dvs. care vă ajută să prioritizați alertele. Potrivit RSA, sistemul „colectează date prin mai multe puncte de captare, platforme de calcul și surse de informații despre amenințări decât alte soluții SIEM”. Există, de asemenea, detectarea avansată a amenințărilor, care combină analiza comportamentală, tehnicile de știință a datelor și inteligența amenințărilor. Și, în cele din urmă, sistemul de răspuns avansat se mândrește cu capabilități de orchestrare și automatizare pentru a ajuta la eliminarea amenințărilor înainte ca acestea să vă afecteze afacerea.
Unul dintre principalele dezavantaje ale RSA NetWitness este că nu este cel mai ușor de utilizat și configurat. Cu toate acestea, există o documentație cuprinzătoare disponibilă care vă poate ajuta cu configurarea și utilizarea produsului. Acesta este un alt produs de nivel enterprise și va trebui să contactați vânzările pentru a obține informații despre prețuri.
4. ArcSight Enterprise Security Manager
ArcSight Enterprise Security Manager ajută la identificarea și prioritizarea amenințărilor de securitate, organizarea și urmărirea activităților de răspuns la incident și simplificarea activităților de audit și conformitate. Vândută anterior sub marca HP, acum a fuzionat cu Micro Focus, o altă subsidiară HP.
Fiind de peste cincisprezece ani, ArcSight este un alt instrument SIEM extrem de popular. Compilează date de jurnal din diverse surse și efectuează o analiză extinsă a datelor, căutând semne de activitate rău intenționată. Pentru a facilita identificarea rapidă a amenințărilor, puteți vizualiza rezultatele analizei în timp real.
Iată o prezentare a principalelor caracteristici ale produselor. Are o corelare puternică a datelor distribuite în timp real, automatizare a fluxului de lucru, orchestrare a securității și conținut de securitate bazat pe comunitate. Enterprise Security Manager se integrează și cu alte produse ArcSight, cum ar fi ArcSight Data Platform și Event Broker sau ArcSight Investigate. Acesta este un alt produs la nivel de întreprindere – ca aproape toate instrumentele SIEM de calitate – care va necesita să contactați echipa de vânzări ArcSight pentru a obține informații despre prețuri.
5. McAfee Enterprise Security Manager
McAfee este cu siguranță un alt nume cunoscut în industria securității. Cu toate acestea, este mai cunoscut pentru produsele sale de protecție împotriva virusurilor. The Manager de securitate al întreprinderii nu este doar software. Este de fapt un aparat. Îl puteți obține în formă virtuală sau fizică.
În ceea ce privește capabilitățile sale de analiză, McAfee Enterprise Security Manager este considerat de mulți unul dintre cele mai bune instrumente SIEM. Sistemul colectează jurnalele pe o gamă largă de dispozitive. În ceea ce privește capacitățile sale de normalizare, este, de asemenea, de top. Motorul de corelare compilează cu ușurință surse de date disparate, facilitând detectarea evenimentelor de securitate pe măsură ce se întâmplă
Pentru a fi adevărat, soluția McAfee are mai mult decât Managerul de securitate al întreprinderii. Pentru a obține o soluție SIEM completă, aveți nevoie și de Enterprise Log Manager și Event Receiver. Din fericire, toate produsele pot fi ambalate într-un singur aparat. Pentru cei dintre voi care doresc să încerce produsul înainte de a-l cumpăra, este disponibilă o versiune de încercare gratuită.
6. IBM QRadar
IBM, probabil cel mai cunoscut nume din industria IT, a reușit să-și stabilească soluția SIEM, IBM QRadar este unul dintre cele mai bune produse de pe piață. Instrumentul dă putere analiştilor de securitate să detecteze anomalii, să descopere ameninţări avansate şi să elimine falsele pozitive în timp real.
IBM QRadar se mândrește cu o suită de funcții de gestionare a jurnalelor, colectare de date, analiză și detectare a intruziunilor. Împreună, ele vă ajută să vă mențineți infrastructura de rețea funcțională. Există, de asemenea, analize de modelare a riscurilor care pot simula atacuri potențiale.
Unele dintre caracteristicile cheie ale QRadar includ capacitatea de a implementa soluția local sau într-un mediu cloud. Este o soluție modulară și se poate adăuga rapid și ieftin mai multă stocare a puterii de procesare. Sistemul folosește expertiza de inteligență de la IBM X-Force și se integrează perfect cu sute de produse IBM și non-IBM.
IBM fiind IBM, vă puteți aștepta să plătiți un preț premium pentru soluția lor SIEM. Dar dacă aveți nevoie de unul dintre cele mai bune instrumente SIEM de pe piață, QRadar ar putea foarte bine să merite investiția.
In concluzie
Singura problemă pe care riscați să o aveți atunci când cumpărați cel mai bun instrument de monitorizare a informațiilor de securitate și a evenimentelor (SIEM) este abundența de opțiuni excelente. Tocmai i-am prezentat pe cei mai buni șase. Toate sunt alegeri excelente. Cel pe care îl vei alege va depinde în mare măsură de nevoile tale exacte, de bugetul tău și de timpul pe care ești dispus să-l aloci pentru a-l configura. Din păcate, configurația inițială este întotdeauna cea mai grea parte și aici lucrurile pot merge prost, dacă un instrument SIEM nu este configurat corespunzător, nu își va putea face treaba corect.
Textul 50 – 2300