اطلاعات مربوط به امنیت و مدیریت رویداد (SIEM ، تلفظ "سیم") یک فناوری امنیتی مهم سازمانی است ، با قابلیت اتصال سیستم ها به منظور مشاهده کامل امنیت فناوری اطلاعات.
SIEM چیست؟
یک سیستم SIEM از داده های ورود و رویداد از طیف گسترده ای از منابع مانند نرم افزارهای امنیتی و لوازم خانگی ، دستگاههای زیرساختی شبکه ، برنامه ها و نقاط انتهایی مانند سرورها و رایانه های شخصی استفاده می کند تا به تیم های امنیتی IT ابزاری متمرکز برای شناسایی و واکنش به حوادث امنیتی دهد.
نحوه عملکرد SIEM
یک SIEM دارای دو هدف نزدیک است: جمع آوری ، ذخیره ، تجزیه و تحلیل ، تحقیق و گزارش در مورد ورود و سایر داده ها برای پاسخ به حادثه ، پزشکی قانونی و اهداف انطباق نظارتی. و تجزیه و تحلیل داده های رویداد مورد استفاده در زمان واقعی برای تسهیل در تشخیص زودهنگام حملات هدفمند ، تهدیدهای پیشرفته و نقض داده ها.
یک SIEM با استفاده از استعلام و تفسیر کلیه داده ها و ترکیب اطلاعاتی در معرض خطر و تجزیه و تحلیل پیشرفته در ارتباط با وقایع که می تواند نشانه حمله سایبری باشد در حال انجام است. سپس این سیستم تیم های امنیتی را از تهدید هشدار می دهد و به طور بالقوه پاسخ هایی را برای کاهش حمله می دهد ، مانند خاموش کردن دسترسی به داده ها یا دستگاه ها و استفاده از یک وصله یا به روزرسانی مفقود شده ،. با دسترسی به داده های حساس ، شاید در مکان های مختلف ، اسکن کنید ، بنابراین زمینه ای را برای آنچه در غیر این صورت ممکن است غیر مرتبط به نظر برسند ، اسکن نمی کنید.
چرا SIEM مهم است؟ حوادث امنیتی و داده های مربوط یک شرکت بزرگ ممکن است بیش از 25000 رویداد در هر ثانیه (EPS) ایجاد کند و به 50 TB یا بیشتر از ذخیره اطلاعات نیاز داشته باشد.
توانایی SIEM برای فیلتر کردن تمام داده ها و اولویت بندی بحرانی ترین مسائل امنیتی باعث می شود امنیت کنترل شود. SIEM مؤثر در زمان صرفه جویی شده در کارکنان ، هزینه خود را پرداخت می کند ، حتی اگر سیستم به مدیریت و تنظیم نیاز دارد.
در جستجوی بهترین راه حل های SIEM
محصولات SIEM با توجه به هزینه ، ویژگی ها و سهولت استفاده متفاوت هستند. . به طور کلی هرچه هزینه بیشتری بپردازید ، قابلیت ها و دامنه پوشش بیشتر می شود ، بنابراین خریداران باید هنگام تصمیم گیری در مورد سیستم SIEM ، نیازها ، بودجه و تخصص خود را وزن کنند. ممکن است یک تجارت کوچک روی اتوماسیون ، سهولت استفاده و هزینه متمرکز شود ، در حالی که یک شرکت با مرکز عملیات پیچیده امنیتی (SOC) ممکن است وسعت تهدیدها و داراییهای تحت پوشش و قابلیتهای یادگیری ماشینی را برای کشف تهدیدات جدید و نوظهور متمرکز کند. صرف نظر از اندازه سازمان ، استقرار و ادغام چنین فناوری پیچیده ای می تواند به زمان نیاز داشته باشد ، بنابراین اغلب به کمک مشاوران و بنگاه های خدمات نیاز است.
علیرغم بلوغ نسبی ، بازار SIEM هنوز با نرخ دو رقمی رو به رشد است. روند اصلی استفاده روزافزون از تجزیه و تحلیل رفتاری و اتوماسیون رفتاری برای فیلتر کردن هشدارهای کم اهمیت است تا تیم های امنیتی بتوانند روی بزرگترین تهدیدات تمرکز کنند ، در حالی که قابلیت های پیشرفته UEBA و SOAR رایج تر شده است. تحلیلگران ابر را به عنوان وسیلهای در حال تحویل برای خدمات SIEM ، هم برای SMBs و هم برای سازمان های ترکیبی به دنبال راه های آسان تر برای پیگیری محیط های پیچیده خود می دانند.
بسیاری از محصولات خوب SIEM در آنجا وجود دارد. 11 رتبه برتر ما در 5 امتیاز از یکدیگر در مقیاس 100 نقطه ای دریافت کرده اند ، بنابراین تصمیم خرید شما باید توسط یک محصول به خوبی نیازهای خاص شما هدایت شود. برای این منظور ، ما در تجزیه و تحلیل خود از 115 نقطه داده استفاده کردیم ، از جمله ویژگی های محصول ، تجربیات کاربر ، آزمایش مستقل در دسترس ، گزارش های تحلیلگر ، داده های قیمت گذاری و موارد دیگر. ما محصولات SIEM را در هفت زمینه به ترتیب وزن بندی رتبه بندی کردیم: تشخیص ، پاسخ ، مدیریت ، سهولت استفاده ، پشتیبانی ، ارزش و استقرار. برای کسب اطلاعات بیشتر در مورد روند ارزیابی ما ، به لیست ویژگی های کلیدی SIEM که در نظر گرفته ایم و بخش مربوط به روش شناسی مراجعه کنید.
محصولات برتر SIEM
Securonix
Keyay takeayay: Securonix نادر SIEM است محصولی با درخواست جذاب برای تیم های امنیتی پیشرفته و همچنین افرادی که به راحتی سهولت استفاده و ارزش دارند. مدل
منفی:
- IDPS ، EDR ، کشف دارایی و پزشکی قانونی هزینه اضافی است
- پشتیبانی میانگین است
سیستم های SIEM به دلیل ارزان بودن یا استفاده آسان یا استقرار آن شناخته نمی شوند. گفتنی است ، Securonix ، که با LogRhythm و IBM به مقام اول دست پیدا کرده بود ، توانست در تعدادی از زمینه ها امتیاز بالایی کسب کند: ارزش ، استقرار ، سهولت استفاده و تشخیص در رده های بعدی با پاسخ و مدیریت درست پشت سر گذاشتند. درمورد تنها محلی که متوسط شرکت در پشتیبانی بود. رفتاری ، کاربری و نظارت بر داده ها ویژگی های standout هستند. خدمات ارسالی ابر براساس تعداد کارمندان قیمت گذاری شده است و آن را به یکی از ساده ترین طرح های قیمت گذاری در بازاری که در آن اطلاعات و حجم حادثه غالب است ، تبدیل می کنند. این برنامه کاملاً برجسته است و تنها یادداشتهایی که در این زمینه وجود دارد این است که IDPS ، EDR ، پزشکی قانونی و کشف دارایی با هزینه اضافی همراه هستند.
شرکت |
به طور کلی |
ارزش |
استقرار |
سهولت [19659007] استفاده |
پشتیبانی |
پاسخ |
تشخیص |
مدیریت |
مدیریت |
|||||||
Securonix |
4.8 |
4.9 |
4.7 |
4.7 |
4.3 |
4.3 |
4.3 |
4.3 |
4.3 |
4.3 |
4.3 |
4.3 |
4.3 |
4.8 |
4.7 |
LogRhythm
takeayay Key: LogRhythm یک سیستم SIEM برای تیم های امنیتی است که مایل هستند کمی بیشتر برای توانایی های برتر امنیتی ، پاسخ و مدیریت بپردازند [19659007] جوانب مثبت:
- بهترین پاسخ ها ، ردیابی و مدیریت – عناصر امنیت سازمانی
- استقرار و سهولت استفاده امتیازات شگفت آور بالایی را برای یک محصول امنیتی کلاس سازمانی ارائه می دهد
- کاملاً برجسته – پیشنهادات کاربران تقریباً درباره همه چیز ممکن در یک محصول SIEM
منفی:
- UEBA و نظارت بر شبکه هزینه اضافی
- می توانید کمی گران قیمت داشته باشید
LogRhythm تقریباً در همه زمینه ها امتیاز بالایی کسب کرد ، با یک استثنای بالاترین رتبه سوم در ارزش تنها استثناست. پاسخ ، ردیابی و مدیریت همه امتیازات برتر بودند و استقرار و سهولت استفاده نیز از امتیاز بالایی برخوردار بودند. این تقریباً به عنوان یک محصول SIEM کاملاً برجسته است ، با تمام 37 ویژگی اصلی که ما به دنبال آن هستیم ، اگرچه UEBA و نظارت بر شبکه هزینه های اضافی دارند. در مورد تنها چیزی که خدمات فاقد خدمات مدیریتی هستند ، گرچه خدمات پشتیبانی و حرفه ای نمرات بالایی را کسب می کنند. در نسخه های ابری ، نرم افزاری ، سخت افزاری و ترکیبی موجود است. کاربران از لحاظ قابلیت تشخیص ، پاسخ ، انطباق و مدیریت محصول بسیار بالا هستند.
شرکت |
به طور کلی |
ارزش |
استقرار |
سهولت استفاده از |
پشتیبانی |
Detection |
مدیریت |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
LogRhythm |
4.8 |
4.3 |
4.7 |
4.7 |
4.5 |
4.9 |
4.8 |
4.8 |
4.8 |
4.8 |
4.8 |
4.8 |
4.8 |
IBM QRadarآماده سازی اصلی: تنوع غنی از ویژگی های استاندارد و سهولت نسبی در استفاده ، QRadar را برای شرکت های کوچک تر گزینه ای قرار داده است ، اما قابلیت های پیشرفته تشخیص و پاسخ آن را در بین شرکتهای دارای محبوبیت بالا می بخشد. نیازها و تخصصهای امنیتی شدید. جوانب مثبت:
منفی:
Big Blue در ردیابی ، مدیریت ، استقرار و سهولت استفاده ، و در رده بالاتر در پاسخ و ارزش قرار گرفت. تنها منطقه ای که شرکت در آن عقب مانده بود پشتیبانی بود ، جایی که تقریباً در میانه پایین بود. استقرار SIEM به طور کلی ساده نیست ، اما دو سوم از کاربران QRadar گزارش می دهند که کار در کمتر از 6 ماه انجام می شود. استقرار فقط به راحتی نیست ، و این همان جایی است که IBM امتیاز بالایی را کسب کرده است. این شرکت تعدادی گزینه برای استقرار – لوازم خانگی ، مجازی ، ابری ، ترکیبی – و تعدادی تنظیمات ممکن در داخل آن ، به علاوه پشتیبانی گسترده برای برنامه های شخص ثالث ارائه می دهد. ما 34 ویژگی را به عنوان بخشی از این بررسی مورد بررسی قرار دادیم و IBM یکی از تنها پنج فروشنده SIEM است که تمام 34 ویژگی را ارائه می دهد ، و تنها یکی از آنها – بررسی و مدیریت حوادث – هزینه های اضافی دارد. سایر 34 ویژگی شامل Splunk ، Securonix ، LogRhythm و Fortinet هستند و تنها LogRhythm همه آنها را به صورت استاندارد ارائه می دهد. عدم وجود IBM از محصول EDR برخی از چالش ها را ایجاد می کند ، اما پشتیبانی شخص ثالث در آنجا وجود دارد. شاید جای تعجب نباشد ، محصولی که این همه کاره و پیچیده داشته باشد می تواند با چالش های مجوز همراه باشد.
] رهبران اضافی SIEM در بازار علاوه بر 11 فروشنده برتر SIEM که در بالا ذکر شد ، چهار فروشنده دیگر دیگر نیز به اندازه کافی بالا بردند تا شایسته توجه جدی خریداران SIEM باشند. FireEye Helix امنیت کاملاً مهمی را ارائه می دهد. ارائه ویژه SaaS که به طور هماهنگ با سایر پیشنهادات امنیتی FireEye خوب کار می کند. LogPoint محصول SIEM کاملاً برجسته را با قیمت گذاری های مبتنی بر دارایی و قابلیت های انطباق قوی ، با قدرت ویژه در بازارهای اروپا ارائه می دهد. مدیریت برنامه provi امنیت مناسب برای SMB ها ، اما نبود تعدادی از ویژگی های پیشرفته ، جذابیت آن را برای شرکتها محدود می کند. SolarWinds استقرار آسان و امنیت جامد را ارائه می دهد که آن را به یک انتخاب مناسب برای SMB ها و مشتریان SolarWinds موجود ، اما تعدادی از ویژگی های مفقود شده جذابیت آن برای شرکت ها را محدود می کند. ویژگی های کلیدی SIEMما بیش از 30 ویژگی و قابلیت SIEM اصلی را در تجزیه و تحلیل خود بررسی کردیم. آنها شامل موارد زیر می شوند: [ID659656] IDPS روش شناسیما داده های آزمون شخص ثالث ، بررسی کاربر ، ویژگی های محصول ، گزارش های تحلیلگر و فروشندگان و فروشندگان را تجزیه و تحلیل کردیم. قیمت گذاری را ارائه داد ، و لیست اولیه ای از 30 فروشنده SIEM را به دست آورد تا لیست ما را با 11 فروشنده برتر و چهار رهبر دیگر بازار در اختیار ما قرار دهد. در اینجا توضیحاتی در مورد دسته بندی های رتبه بندی ما ، به منظور وزن خود آورده ایم:
{ .
SolarWinds ورود & رویداد مدیر خوردند و Splunk شرکت امنیتی محبوب امنیت اطلاعات و رویداد (سیم ریپ) راه حل های مدیریت، با هر محصول مشتریان معتقدند، مشتاق پشتیبانی خود را ارائه. با این حال، چند دیفرانسیلی کلیدی بین دو ویژه در گزینه های استقرار و بازارهای هدف وجود دارد: SolarWinds تنها در دسترس است به عنوان لوازم خانگی مجازی در حالی که Splunk نسخه لوازم خانگی راه حل آن؛ ارائه نمی دهد. و SolarWinds خصوص مناسب برای SMBs، با ویژگی های بزرگ در خارج از جعبه و ساده, در حالی که Splunk اهداف شرکت های کوچک، صدور مجوز است. هر دو سیم ریپ eSecurity راه حل های ساخته شده سیاره لیست محصولات سیم ریپ صفحه 10. اینجا به ما در راه نگاه هر دو محصول ویژگی های کلیدی و بررسی نقاط ضعف و نقاط قوت های مربوطه خود را. SolarWinds و Splunk امکانات و گزینه های & مدیر رویداد (LEM) طراحی شده برای شناسایی فعالیت های مشکوک و ارسال پاسخ های خودکار کارآمد بررسی حوادث امنیتی برای کاهش و انطباق را قادر می سازد. اندام SolarWinds قوانین، خارج از جعبه و گزارش با قالب های صنعتی قابل تنظیم، دنباله ممیزی جامع آماری و داده های رویداد و شناسایی سریع از موارد نقض اجرای سیاست را ارائه می دهد. https://o1.qnsr.com/log/p.gif?;
= “SolarWinds اندام است هدفمند که محکم ذوات، بودجه آگاه امنیتی، که به طور معمول در سازمان با 0 تا 10000 + کارکنان می توان تیم SolarWinds سر گیک “سرنوشت Bertucci گفت: eSecurity سیاره توسط ایمیل. “نهاد های امنیتی ذوات محکم به دنبال تکنولوژی است که مقرون به صرفه و سریع به استقرار، آسان برای استفاده/حفظ و ارزش های فوری را فراهم می کند.” Splunk امنیت سازمانی (ES) کاربران مشاهده امنیت خاص از داده ها برای افزایش قابلیت تشخیص و بهینه سازی حادثه پاسخ می دهد. راه حل روشن بصری عکس سازمان استقرار امنیت، اجازه دادن به کاربران برای سفارشی کردن نمایش ها و مته به رویداد های خام را فراهم می کند. فروشگاه app Splunkbase فراهم می کند دسترسی به بیش از 1.000 واژهنامه است که می تواند با Splunk راه حل های امنیتی مورد استفاده قرار گیرد. ‘ سیم ریپ سنتی استفاده از موارد مانند ورود به سیستم، هشدار، گزارش، انطباق و نظارت، بسیاری از مشتریان ما را فراتر از آن موارد استفاده سنتی منتقل شده اند استفاده Splunk به عنوان مرکز امنیتی خود را به عصب، “مدیر Splunk ارائه می دهد در حالی که Splunk است Girish Bhat گفت: ایمیل بازاریابی محصول. “ما علاقه قابل توجهی در گسترش موارد استفاده از سیم ریپ مانند تهدید پیشرفته تشخیص و پاسخ به حادثه شاهد. جدیدترین نسخه SolarWinds اندام پنجم 6.3.1، در تاریخ 20 فوریه 2017 منتشر شد. ویژگی های جدید گنجانده شده ورود به سیستم، مدیریت به روز رسانی کنسول، توانایی دسترسی به مدیر اندام با استفاده از پورت SSH 22 یا پورت 32022 جاوا اوراکل 8 برای افزایش امنیت و عامل ادغام سیستم های در حال اجرا ویندوز 10 و ویدجت “چیست نو” در بهبود یافته مرکز عملیات برای توصیف ویژگی های جدید و بهبود. اضافه شده اخیر شامل دو نسخه از Splunk Splunk 4.0 کاربر رفتار آنالیز (اوبا)، که مشتریان به ایجاد و بار خود ماشین مدل برای شناسایی تهدیدات سفارشی و اختلالات یادگیری را قادر می سازد. Splunk ES محتوای به روز رسانی نیز در 2017، امنیت از پیش بسته بندی ارائه مطالب دو Splunk ES مشتریان برای کشف، تحقیق و مدیریت تهدیدات خاص کمک به راه اندازی شد. ارائه می دهد راه حل خوبی یکپارچه است که گزارش Gartner ویژه مناسب برای SMBs، آن معماری ساده، آسان مجوز و قوی خارج از جعبه محتوا و ویژگی های است. پشتیبانی از انواع منابع رویداد و ارائه می دهد برخی از مهار تهدید و قابلیت کنترل قرنطینه است که از رقابت SIEMs در دسترس نیست. با این حال، تحقیقات شرکت یادداشت که اندام SolarWinds اکوسیستم بسته آن به با راه حل های شخص ثالث امنیتی تهدید پیشرفته تشخیص تهدید هوش خوردها و ابزار UEBA به چالش کشیدن است. یکپارچگی با سرویس میز ابزار نیز محدود به یک راه اتصال از طریق ایمیل و SNMP، “تحلیلگر شرکت گفت:”. نظارت بر SaaS پشتیبانی نمی شود و می افزاید: نظارت از IaaS محدود است، شرکت تحقیقاتی. مشتریانی که مایل به تمدید دو شبکه و برنامه های کاربردی باید راه حل های SolarWinds دیگر خرید. را فراهم می کند. مجموعه کامل Splunk را از راه حل های نیز برای کاربران را به پلت فرم در طول زمان رشد می کنند باعث آسان و قابلیت های پیشرفته تجزیه و تحلیل های گوناگون در سراسر اکوسیستم Splunk در دسترس هستند. هنوز، Splunk نسخه لوازم خانگی راه حل را ارائه نمی دهد و گارتنر مشتریان نگرانی های خود را درباره مدل صدور مجوز و هزینه پیاده سازی در پاسخ مطرح شده است، Splunk تا به معرفی روش های جدید صدور مجوز، از جمله پذیرش سازمانی توافق (EAA). “Splunk اوبا در shortlists کاربران Splunk به اضافه کردن ویژگی های UEBA قابل مشاهده است اما رقابت با سایر راه حل های UEBA که بعضی از آنها نیز ارائه قابلیت های سیم ریپ،” یادداشت های شرکت پژوهش. “خریداران با استفاده از Splunk برای سیم ریپ و راه حل های شخص ثالث UEBA باید اعتبار مدرک ادغام راه حل و ارزیابی تعهد فروشندگان مربوطه با توجه به دو ادغام ادامه داد.” ایستگاه مرکزی فناوری اطلاعات کاربران را وزن SolarWinds خارج 9 10 و Splunk را 8 از 10 اما گارتنر نظیر بینش کاربران به منظور Splunk دادن 4.3 از 5 و SolarWinds 4 از 5. جفری Robinette مهندس سیستم که فن آوری Foxhole نوشت SolarWinds این گزارش خارج از جعبه و داشبورد هستید قدرت کلیدی اشاره کرد “این ما را به نظارت بر دسترسی و گزارش های اینترنتی به سرعت جلو اجازه می دهد. بیشتر جستجو از طریق سیاهههای مربوط بر روی هر سرور.” مقایسه با Splunk، گفت: Robinette SolarWinds سفارشی زیادی نیاز ندارند و قیمت گذاری آن او نوشت: “شما دکترا در سفارشی کردن گزارش لازم.” پایین تر، در حالی که با Splunk، رائول Lapaz ارشد فناوری اطلاعات عملیات امنیتی است که روشه، نوشت: در حالی که Splunk ارزان نیست، که سهولت استفاده، مقیاس پذیری، ثبات، سرعت موتور جستجو و سازگاری با طیف گسترده ای از منابع اطلاعاتی ارزش آن را. او نوشت: Lapaz لازم به ذکر چند کاستی از جمله این واقعیت است که مدیریت خوشه ای می تواند تنها از طریق خط فرمان انجام می شود و که مجوزهای بسیار انعطاف پذیر-“آن به گزینه های دانه مانند دو فاکتور تایید، خوبی؟” نیست. دفعات بازدید: بررسی بیشتر توسط کاربران از SolarWinds و Splunk نوشته شده. SolarWinds اندام به عنوان دستگاه مجازی سخت شده است که می تواند اجرا بر روی VMware ESC یا مایکروسافت ویندوز بیش از حد-V مستقر شده است. Splunk را می توان به عنوان نرم افزار در محل از طریق راه حل SaaS ابر Splunk ابر عمومی یا خصوصی یا همزیستی مستقر شده است. SolarWinds اندام توسط گره شروع گره که 30 $4.995 قیمت است. قیمت گذاری Splunk را در تعداد کاربران و میزان داده ها در هر روز مصرف استوار است. برای مقایسه محصول سیم ریپ دیگر انتظار: کاهش از آی بی ام QRadar Splunk ArcSight، انتظار: کاهش از آی بی ام QRadar ArcSight در مقابل Splunk در مقابل AlienVault Splunk و LogRhythm در مقابل Splunk را مشاهده کنید. |