Навън е джунгла! Злонамерените хора са навсякъде и те преследват. Е, вероятно не вие лично, а вашите данни. Вече трябва да се защитаваме не само от вируси, а от всякакви атаки, които могат да оставят вашата мрежа – и вашата организация – в тежка ситуация. Поради разпространението на различни системи за защита като антивирусни, защитни стени и системи за откриване на проникване, мрежовите администратори вече са наводнени с информация, която трябва да съпоставят, опитвайки се да я осмислят. Тук са полезни системите за информация за сигурност и управление на събития (SIEM). Те се справят с по-голямата част от ужасната работа по справянето с твърде много информация. За да улесним работата ви по избора на SIEM, ние ви представяме най-добрите инструменти за управление на информация за сигурност и събития (SIEM).
Днес започваме нашия анализ с обсъждане на съвременната заплаха. Както казахме, вече не са само вируси. След това ще се опитаме да обясним по-добре какво точно е SIEM и да поговорим за различните компоненти, които правят една SIEM система. Някои от тях може да са по-важни от други, но относителната им важност може да е различна за различните хора. И накрая, ние ще представим нашия избор от шестте най-добри инструменти за управление на информация за сигурност и събития (SIEM) и ще прегледаме накратко всеки от тях.
Съдържание
Съвременната сцена на заплахата
Компютърната сигурност преди беше само защита от вируси. Но през последните години бяха разкрити няколко различни вида атаки. Те могат да бъдат под формата на атаки за отказ на услуга (DoS), кражба на данни и много други. И те вече не идват само отвън. Много атаки произхождат от мрежата. Така че за максимална защита са измислени различни видове защитни системи. В допълнение към традиционните антивирусни и защитни стени, сега имаме системи за откриване на проникване и предотвратяване на загуба на данни (IDS и DLP), например.
Разбира се, колкото повече добавяте системи, толкова повече работа имате по управлението им. Всяка система следи някои специфични параметри за аномалии и ще ги регистрира и/или ще задейства сигнали, когато бъдат открити. Не би ли било хубаво, ако наблюдението на всички тези системи може да бъде автоматизирано? Освен това някои видове атаки могат да бъдат открити от няколко системи, докато преминават през различни етапи. Не би ли било много по-добре, ако тогава можете да отговорите на всички свързани събития като един? Е, точно за това е SIEM.
Какво е SIEM, точно?
Името казва всичко. Информация за сигурността и управление на събития е процесът на управление на информация и събития за сигурност. По-конкретно, SIEM системата не осигурява никаква защита. Основната му цел е да улесни живота на администраторите на мрежата и сигурността. Това, което типичната SIEM система наистина прави, е да събира информация от различни системи за защита и откриване, да съпоставя цялата тази информация, събирайки свързани събития и да реагира на значими събития по различни начини. Често SIEM системите включват и някаква форма на отчитане и табла за управление.
Основните компоненти на SIEM система
Предстои ни да проучим по-задълбочено всеки основен компонент на SIEM система. Не всички SIEM системи включват всички тези компоненти и дори когато го правят, те могат да имат различни функционалности. Въпреки това, те са най-основните компоненти, които обикновено се намират, под една или друга форма, във всяка SIEM система.
Събиране и управление на дневници
Събирането и управлението на регистрационни файлове е основният компонент на всички SIEM системи. Без него няма SIEM. Системата SIEM трябва да придобива регистрационни данни от различни източници. Той може или да го издърпа, или различни системи за откриване и защита могат да го избутат към SIEM. Тъй като всяка система има свой собствен начин за категоризиране и записване на данни, от SIEM зависи да нормализира данните и да ги направи еднородни, без значение какъв е източникът им.
След нормализиране регистрираните данни често ще се сравняват с известни модели на атака в опит да се разпознае злонамерено поведение възможно най-рано. Данните също често ще се сравняват с предварително събрани данни, за да се изгради базова линия, която допълнително ще подобри откриването на необичайна активност.
Отговор на събитието
След като се открие събитие, трябва да се направи нещо по въпроса. Ето какво представлява модулът за реакция на събития за SIEM системата. Отговорът на събитието може да приеме различни форми. В най-основната си реализация, предупредително съобщение ще бъде генерирано на конзолата на системата. Често могат да се генерират и имейл или SMS сигнали.
Но най-добрите SIEM системи отиват крачка по-далеч и често започват някакъв коригиращ процес. Отново, това е нещо, което може да приеме много форми. Най-добрите системи разполагат с цялостна система за работен процес за реагиране на инциденти, която може да бъде персонализирана, за да осигури точно отговора, който искате. И както може да се очаква, реакцията на инциденти не трябва да бъде еднаква и различните събития могат да задействат различни процеси. Най-добрите системи ще ви дадат пълен контрол върху работния процес за реагиране на инциденти.
Отчитане
След като разполагате със събирането и управлението на регистрационни файлове и системите за отговор, следващият градивен елемент, от който се нуждаете, е отчитането. Може да не го знаете още, но ще ви трябват отчети. Висшето ръководство ще се нуждае от тях, за да се уверят сами, че инвестицията им в SIEM система се изплаща. Може също да имате нужда от отчети за целите на съответствието. Спазването на стандарти като PCI DSS, HIPAA или SOX може да бъде улеснено, когато вашата SIEM система може да генерира доклади за съответствие.
Отчетите може да не са в основата на една SIEM система, но все пак това е един основен компонент. И често докладването ще бъде основен диференциращ фактор между конкуриращите се системи. Докладите са като бонбони, никога не можете да имате твърде много. И разбира се, най-добрите системи ще ви позволят да създавате персонализирани отчети.
Табло(а) за управление
Не на последно място, таблото ще бъде вашият прозорец в състоянието на вашата SIEM система. И дори може да има множество табла за управление. Тъй като различните хора имат различни приоритети и интереси, перфектното табло за мрежов администратор ще бъде различно от това на администратора по сигурността. И един изпълнителен директор ще се нуждае и от съвсем различен.
Въпреки че не можем да оценим SIEM система по броя на таблата за управление, които има, трябва да изберете такова, което има всички необходими табла(та). Това определено е нещо, което ще искате да имате предвид, докато оценявате доставчиците. И точно както при отчетите, най-добрите системи ще ви позволят да създавате персонализирани табла за управление по ваш вкус.
Нашите топ 6 SIEM инструмента
Има много SIEM системи. Всъщност твърде много, за да можете да ги прегледате всички тук. И така, ние претърсихме пазара, сравнихме системите и изградихме списък с шестте най-добри инструменти за информация и управление на сигурността (SIEM). Изброяваме ги по реда на предпочитание и ще прегледаме накратко всеки един от тях. Но въпреки тяхната поръчка, и шестте са отлични системи, които можем само да ви препоръчаме да опитате сами.
Ето кои са нашите топ 6 SIEM инструменти
SolarWinds Log & Event Manager
Splunk Enterprise Security
RSA NetWitness
ArcSight Enterprise Security Manager
McAfee Enterprise Security Manager
IBM QRadar SIEM
1. SolarWinds Log & Event Manager (БЕЗПЛАТЕН 30-ДНЕВ ПРОБЕН ПРОБЕН ПРОБЛЕМ)
SolarWinds е често срещано име в света на мрежовия мониторинг. Техният водещ продукт, Network Performance Monitor, е един от най-добрите налични инструменти за наблюдение на SNMP. Компанията е известна и с многобройните си безплатни инструменти като техния подмрежов калкулатор или техния SFTP сървър.
SIEM инструментът на SolarWinds, Мениджърът на журнали и събития (LEM) е най-добре описан като SIEM система от начално ниво. Но това е вероятно една от най-конкурентните системи от начално ниво на пазара. SolarWinds LEM има всичко, което можете да очаквате от SIEM система. Той има отлични функции за дълго управление и корелация и впечатляващ механизъм за отчитане.
Що се отнася до функциите за реакция на събития на инструмента, те не оставят нищо да се желае. Подробната система за реакция в реално време ще реагира активно на всяка заплаха. И тъй като се основава на поведение, а не на подпис, вие сте защитени срещу неизвестни или бъдещи заплахи.
Но таблото на инструмента е може би най-добрият му актив. С опростен дизайн няма да имате проблеми с бързото идентифициране на аномалии. Започвайки от около $4 500, инструментът е повече от достъпен. И ако искате първо да го изпробвате, е налична за изтегляне безплатна напълно функционална 30-дневна пробна версия.
2. Splunk Enterprise Security
Вероятно една от най-популярните SIEM системи, Splunk Enterprise Security– или Splunk ES, както често го наричат – е особено известен със своите аналитични възможности. Splunk ES следи данните на вашата система в реално време, като търси уязвимости и признаци на необичайна активност.
Отговорът за сигурност е друг от силните страни на Splunk ES. Системата използва това, което Splunk нарича Adaptive Response Framework (ARF), което се интегрира с оборудване от повече от 55 доставчици на сигурност. ARF изпълнява автоматичен отговор, ускорявайки ръчните задачи. Това ще ви позволи бързо да спечелите надмощие. Добавете към това прост и ненатоварен потребителски интерфейс и имате печелившо решение. Други интересни функции включват функцията Notables, която показва персонализирани от потребителя сигнали и Asset Investigator за маркиране на злонамерени дейности и предотвратяване на допълнителни проблеми.
Splunk ES е наистина продукт от корпоративен клас и се предлага с цена за корпоративен размер. Не можете дори да получите информация за цените от уеб сайта на Splunk. Трябва да се свържете с отдела по продажбите, за да получите цена. Въпреки цената си, това е страхотен продукт и може да искате да се свържете със Splunk и да се възползвате от безплатна пробна версия.
3. RSA NetWitness
От 20016 г. NetWitness се фокусира върху продукти, поддържащи „дълбока мрежова ситуационна осведоменост в реално време и гъвкава реакция на мрежата“. След като е придобит от EMC, който след това се сля с Dell, бизнесът на Newitness вече е част от клона на RSA на корпорацията. И това е добра новина RSA е известно име в областта на сигурността.
RSA NetWitness е идеален за организации, които търсят цялостно решение за мрежов анализ. Инструментът включва информация за вашия бизнес, което помага за приоритизиране на сигналите. Според RSA системата „събира данни от повече точки за улавяне, изчислителни платформи и източници на разузнаване за заплахи, отколкото други SIEM решения“. Има и разширено откриване на заплахи, което комбинира поведенчески анализ, техники за наука за данни и разузнаване на заплахите. И накрая, усъвършенстваната система за реагиране може да се похвали с възможности за оркестриране и автоматизация, за да ви помогне да се отървете от изкореняването на заплахите, преди те да повлияят на вашия бизнес.
Един от основните недостатъци на RSA NetWitness е, че не е най-лесният за използване и конфигуриране. Въпреки това, има налична изчерпателна документация, която може да ви помогне при настройката и използването на продукта. Това е друг продукт от корпоративен клас и ще трябва да се свържете с продажбите, за да получите информация за цените.
4. ArcSight Enterprise Security Manager
ArcSight Enterprise Security Manager помага за идентифициране и приоритизиране на заплахите за сигурността, организиране и проследяване на действия за реакция при инциденти и опростяване на дейностите по одит и съответствие. Преди се продавал под марката HP, сега се сля с Micro Focus, друго дъщерно дружество на HP.
След като съществува повече от петнадесет години, ArcSight е друг изключително популярен SIEM инструмент. Той компилира регистрационни данни от различни източници и извършва обширен анализ на данни, търсейки признаци на злонамерена дейност. За да улесните бързото идентифициране на заплахите, можете да видите резултатите от анализа на real0tme.
Ето кратко описание на основните характеристики на продуктите. Той има мощна разпределена корелация на данни в реално време, автоматизация на работния процес, оркестрация на сигурността и управлявано от общността съдържание за сигурност. Мениджърът за сигурност на предприятието също се интегрира с други продукти на ArcSight като ArcSight Data Platform и Event Broker или ArcSight Investigate. Това е друг продукт от корпоративен клас – като почти всички качествени SIEM инструменти – който ще изисква да се свържете с екипа по продажбите на ArcSight, за да получите информация за цените.
5. McAfee Enterprise Security Manager
McAfee със сигурност е друго име в индустрията за сигурност. Въпреки това, той е по-известен със своите продукти за защита от вируси. В Мениджър по сигурността на предприятието не е само софтуер. Всъщност това е уред. Можете да го получите във виртуална или физическа форма.
По отношение на неговите аналитични възможности, McAfee Enterprise Security Manager се смята за един от най-добрите SIEM инструменти от мнозина. Системата събира регистрационни файлове на широк спектър от устройства. Що се отнася до неговите възможности за нормализиране, той също е от най-висок клас. Корелационният механизъм лесно компилира различни източници на данни, което улеснява откриването на събития за сигурност, докато се случват
За да бъде вярно, решението на McAfee има нещо повече от неговия Enterprise Security Manager. За да получите цялостно SIEM решение, вие също се нуждаете от Enterprise Log Manager и Event Receiver. За щастие всички продукти могат да бъдат опаковани в един уред. За тези от вас, които може да искат да изпробват продукта, преди да го купят, е налична безплатна пробна версия.
6. IBM QRadar
IBM, вероятно най-известното име в ИТ индустрията, успя да създаде своето SIEM решение, IBM QRadar е един от най-добрите продукти на пазара. Инструментът дава възможност на анализаторите по сигурността да откриват аномалии, да разкриват напреднали заплахи и да премахват фалшиви положителни резултати в реално време.
IBM QRadar може да се похвали с набор от функции за управление на регистрационни файлове, събиране на данни, анализ и откриване на проникване. Заедно те помагат да поддържате вашата мрежова инфраструктура работеща. Има и анализи за моделиране на риска, които могат да симулират потенциални атаки.
Някои от основните характеристики на QRadar включват възможността за внедряване на решението на място или в облачна среда. Това е модулно решение и може бързо и евтино да добавите повече съхранение на процесорна мощност. Системата използва опит в разузнаването от IBM X-Force и се интегрира безпроблемно със стотици продукти на IBM и други продукти.
Тъй като IBM е IBM, можете да очаквате да платите първокласна цена за тяхното SIEM решение. Но ако имате нужда от един от най-добрите SIEM инструменти на пазара, QRadar може да си струва инвестицията.
В заключение
Единственият проблем, който рискувате да имате, когато пазарувате най-добрия инструмент за информация за сигурност и мониторинг на събития (SIEM), е изобилието от отлични опции. Току-що представихме най-добрите шест. Всички те са отличен избор. Този, който ще изберете, до голяма степен ще зависи от вашите точни нужди, бюджета ви и времето, което сте готови да отделите за настройката му. Уви, първоначалната конфигурация винаги е най-трудната част и това е мястото, където нещата могат да се объркат, защото ако SIEM инструментът не е правилно конфигуриран, той няма да може да върши работата си правилно.
Текст 50 – 2300