Es ist ein Dschungel da draußen! Personen mit schlechten Absichten sind überall und sie sind hinter dir her. Nun, wahrscheinlich nicht Sie persönlich, sondern Ihre Daten. Wir müssen uns nicht mehr nur vor Viren schützen, sondern vor allen möglichen Angriffen, die Ihr Netzwerk – und Ihr Unternehmen – in eine schlimme Situation bringen können. Aufgrund der Verbreitung verschiedener Schutzsysteme wie Antiviren, Firewalls und Intrusion Detection-Systemen werden Netzwerkadministratoren heute mit Informationen überflutet, die sie korrelieren und versuchen müssen, sie zu verstehen.
Hier kommen Security Information and Event Management (SIEM)-Systeme zum Einsatz . Sie erledigen den größten Teil der grausamen Arbeit des Umgangs mit zu vielen Informationen. Um Ihnen die Auswahl eines SIEM zu erleichtern, stellen wir Ihnen die besten Tools für das Security Information and Event Management (SIEM) vor.
Heute beginnen wir unsere Analyse mit der Erörterung der modernen Bedrohungsszene. Wie gesagt, es sind nicht mehr nur Viren. Dann werden wir versuchen, besser zu erklären, was SIEM genau ist, und über die verschiedenen Komponenten sprechen, die ein SIEM-System ausmachen. Einige von ihnen können wichtiger sein als andere, aber ihre relative Bedeutung kann für verschiedene Personen unterschiedlich sein. Und schließlich stellen wir unsere Auswahl der sechs besten Security Information and Event Management (SIEM)-Tools vor und besprechen jedes einzelne kurz.
Die moderne Bedrohungsszene
Früher ging es bei der Computersicherheit nur um Virenschutz. In den letzten Jahren wurden jedoch verschiedene Arten von Angriffen aufgedeckt. Sie können in Form von Denial-of-Service (DoS)-Angriffen, Datendiebstahl und vielem mehr auftreten. Und sie kommen nicht mehr nur von außen. Viele Angriffe gehen von einem Netzwerk aus. Für den ultimativen Schutz wurden daher verschiedene Arten von Schutzsystemen erfunden. Neben dem klassischen Antiviren- und Firewall-System verfügen wir nun beispielsweise über Systeme zur Intrusion Detection und Data Loss Prevention (IDS und DLP).
Je mehr Systeme Sie hinzufügen, desto mehr Arbeit haben Sie natürlich bei deren Verwaltung. Jedes System überwacht einige spezifische Parameter auf Anomalien und protokolliert diese und/oder löst Warnungen aus, wenn sie entdeckt werden. Wäre es nicht schön, wenn die Überwachung all dieser Systeme automatisiert werden könnte? Darüber hinaus können einige Arten von Angriffen von mehreren Systemen erkannt werden, während sie verschiedene Stadien durchlaufen. Wäre es nicht viel besser, wenn Sie dann auf alle damit verbundenen Ereignisse gemeinsam reagieren könnten? Genau darum geht es bei SIEM.
Was ist SIEM genau?
Der Name sagt alles. Security Information and Event Management ist der Prozess der Verwaltung von Sicherheitsinformationen und -ereignissen. Konkret bietet ein SIEM-System keinen Schutz. Sein Hauptzweck besteht darin, das Leben von Netzwerk- und Sicherheitsadministratoren zu erleichtern. Was ein typisches SIEM-System wirklich tut, ist, Informationen von verschiedenen Schutz- und Erkennungssystemen zu sammeln, all diese Informationen zu korrelieren, verwandte Ereignisse zusammenzustellen und auf verschiedene Weise auf bedeutsame Ereignisse zu reagieren. Häufig enthalten SIEM-Systeme auch eine Form von Berichten und Dashboards.
Die wesentlichen Komponenten einer SIEM-Lösung
Wir sind dabei, jede Hauptkomponente eines SIEM-Systems in tieferen Details zu untersuchen. Nicht alle SIEM-Systeme enthalten alle diese Komponenten und selbst wenn sie es tun, können sie unterschiedliche Funktionalitäten haben. Sie sind jedoch die grundlegendsten Komponenten, die man normalerweise in der einen oder anderen Form in jedem SIEM-System finden würde.
Protokollsammlung und -verwaltung
Die Protokollsammlung und -verwaltung ist die Hauptkomponente aller SIEM-Systeme. Ohne sie gibt es kein SIEM. Das SIEM-System muss Protokolldaten aus einer Vielzahl unterschiedlicher Quellen erfassen. Es kann es entweder ziehen oder verschiedene Erkennungs- und Schutzsysteme können es an das SIEM schieben. Da jedes System seine eigene Art hat, Daten zu kategorisieren und aufzuzeichnen, liegt es am SIEM, die Daten zu normalisieren und zu vereinheitlichen, unabhängig von ihrer Quelle.
Nach der Normalisierung werden protokollierte Daten häufig mit bekannten Angriffsmustern abgeglichen, um böswilliges Verhalten so früh wie möglich zu erkennen. Die Daten werden auch häufig mit zuvor gesammelten Daten verglichen, um eine Basislinie zu erstellen, die die Erkennung abnormaler Aktivitäten weiter verbessert.
Ereignisantwort
Sobald ein Ereignis erkannt wird, muss etwas dagegen unternommen werden. Dafür steht das Event-Response-Modul des SIEM-Systems. Die Ereignisantwort kann verschiedene Formen annehmen. In der einfachsten Implementierung wird eine Warnmeldung auf der Konsole des Systems generiert. Oft können auch E-Mail- oder SMS-Benachrichtigungen generiert werden.
Die besten SIEM-Systeme gehen jedoch noch einen Schritt weiter und leiten oft Abhilfemaßnahmen ein. Auch dies kann viele Formen annehmen. Die besten Systeme verfügen über ein vollständiges Workflow-System für die Reaktion auf Vorfälle, das angepasst werden kann, um genau die gewünschte Reaktion bereitzustellen. Und wie zu erwarten, muss die Reaktion auf Vorfälle nicht einheitlich sein und unterschiedliche Ereignisse können unterschiedliche Prozesse auslösen. Die besten Systeme geben Ihnen die vollständige Kontrolle über den Workflow zur Reaktion auf Vorfälle.
Berichterstattung
Sobald Sie die Protokollsammlung und -verwaltung sowie die Reaktionssysteme eingerichtet haben, ist der nächste Baustein, den Sie benötigen, die Berichterstellung. Sie wissen es vielleicht noch nicht, aber Sie benötigen Berichte. Das obere Management muss sich davon überzeugen, dass sich die Investition in ein SIEM-System auszahlt. Möglicherweise benötigen Sie auch Berichte zu Konformitätszwecken. Die Einhaltung von Standards wie PCI DSS, HIPAA oder SOX kann erleichtert werden, wenn Ihr SIEM-System Konformitätsberichte generieren kann.
Berichte sind zwar nicht das Herzstück eines SIEM-Systems, aber dennoch eine wesentliche Komponente. Und oft wird die Berichterstattung ein wichtiger Unterscheidungsfaktor zwischen konkurrierenden Systemen sein. Berichte sind wie Süßigkeiten, man kann nie genug haben. Und natürlich können Sie mit den besten Systemen benutzerdefinierte Berichte erstellen.
Dashboard(s)
Nicht zuletzt ist das Dashboard Ihr Fenster in den Status Ihres SIEM-Systems. Und es könnte sogar mehrere Dashboards geben. Da verschiedene Personen unterschiedliche Prioritäten und Interessen haben, unterscheidet sich das perfekte Dashboard für einen Netzwerkadministrator von dem eines Sicherheitsadministrators. Und eine Führungskraft wird auch eine ganz andere brauchen.
Obwohl wir ein SIEM-System nicht nach der Anzahl der Dashboards bewerten können, müssen Sie eines auswählen, das alle benötigten Dashboards enthält. Dies ist definitiv etwas, das Sie bei der Bewertung von Anbietern im Hinterkopf behalten sollten. Und genau wie bei Berichten können Sie mit den besten Systemen benutzerdefinierte Dashboards nach Ihren Wünschen erstellen.
Unsere Top 6 SIEM-Tools
Es gibt viele SIEM-Systeme. Eigentlich viel zu viele, um sie alle hier bewerten zu können. Also haben wir den Markt durchsucht, Systeme verglichen und eine Liste mit den sechs besten Tools für Security Information and Management (SIEM) erstellt. Wir listen sie in der Reihenfolge ihrer Präferenz auf und werden sie kurz überprüfen. Aber trotz ihrer Bestellung sind alle sechs ausgezeichnete Systeme, die wir Ihnen nur empfehlen können, selbst auszuprobieren.
Hier sind unsere Top 6 SIEM-Tools:
1. SolarWinds Log & Event Manager (KOSTENLOSE 30-TÄGIGE TESTVERSION)
SolarWinds ist ein gebräuchlicher Name in der Welt der Netzwerküberwachung. Ihr Flaggschiffprodukt, der Network Performance Monitor, ist eines der besten verfügbaren SNMP-Überwachungstools. Bekannt ist das Unternehmen auch für seine zahlreichen kostenlosen Tools wie seinen Subnet Calculator oder seinen SFTP-Server.
Das SIEM-Tool von SolarWinds, der Log and Event Manager (LEM), lässt sich am besten als SIEM-System der Einstiegsklasse beschreiben. Aber es ist möglicherweise eines der wettbewerbsfähigsten Einsteigersysteme auf dem Markt. Das SolarWinds LEM bietet alles, was Sie von einem SIEM-System erwarten können. Es verfügt über hervorragende Langzeitverwaltungs- und Korrelationsfunktionen und eine beeindruckende Berichterstellungs-Engine.
Die Event-Response-Features des Tools lassen keine Wünsche offen. Das detaillierte Echtzeit-Reaktionssystem reagiert aktiv auf jede Bedrohung. Und da es auf Verhalten und nicht auf Signatur basiert, sind Sie vor unbekannten oder zukünftigen Bedrohungen geschützt.
Aber das Dashboard des Tools ist möglicherweise der beste Vorteil. Dank des einfachen Designs können Sie Anomalien schnell erkennen. Ab etwa 4.500 US-Dollar ist das Tool mehr als erschwinglich. Und wenn Sie es zuerst ausprobieren möchten, steht eine kostenlose, voll funktionsfähige 30-Tage-Testversion zum Download bereit.
Offizieller Download-Link: https://www.solarwinds.com/log-event-manager-software
2. Splunk Enterprise-Sicherheit
Splunk Enterprise Security – oder Splunk ES, wie es oft genannt wird – ist möglicherweise eines der beliebtesten SIEM-Systeme und besonders für seine Analysefunktionen bekannt. Splunk ES überwacht die Daten Ihres Systems in Echtzeit und sucht nach Schwachstellen und Anzeichen für ungewöhnliche Aktivitäten.
Die Sicherheitsreaktion ist eine weitere Stärke von Splunk ES. Das System verwendet das von Splunk so genannte Adaptive Response Framework (ARF), das in Geräte von mehr als 55 Sicherheitsanbietern integriert werden kann. Die ARF führen eine automatisierte Reaktion durch und beschleunigen manuelle Aufgaben. So gewinnen Sie schnell die Oberhand. Fügen Sie dazu eine einfache und übersichtliche Benutzeroberfläche hinzu und Sie haben eine gewinnende Lösung. Weitere interessante Funktionen sind die Notables-Funktion, die vom Benutzer anpassbare Warnungen anzeigt, und der Asset Investigator, um bösartige Aktivitäten zu erkennen und weitere Probleme zu vermeiden.
Splunk ES ist wirklich ein Produkt der Enterprise-Klasse und wird mit einem Preisschild der Enterprise-Klasse geliefert. Sie können nicht einmal Preisinformationen von der Splunk-Website abrufen. Sie müssen sich an die Verkaufsabteilung wenden, um einen Preis zu erhalten. Trotz seines Preises ist dies ein großartiges Produkt und Sie sollten Splunk kontaktieren und eine kostenlose Testversion nutzen.
3. RSA-NetWitness
Seit 20016 konzentriert sich NetWitness auf Produkte, die „tiefes Echtzeit-Netzwerk-Situationsbewusstsein und agile Netzwerkreaktion“ unterstützen. Nach der Übernahme durch EMC, die dann mit Dell fusionierte, ist das Newitness-Geschäft heute Teil der RSA-Niederlassung des Unternehmens. Und das sind gute Nachrichten RSA ist ein bekannter Name in Sachen Sicherheit.
RSA NetWitness ist ideal für Unternehmen, die eine vollständige Netzwerkanalyselösung suchen. Das Tool enthält Informationen zu Ihrem Unternehmen, die bei der Priorisierung von Warnungen helfen. Laut RSA sammelt das System „Daten über mehr Erfassungspunkte, Computerplattformen und Bedrohungsdatenquellen als andere SIEM-Lösungen“. Es gibt auch eine erweiterte Bedrohungserkennung, die Verhaltensanalyse, datenwissenschaftliche Techniken und Bedrohungsinformationen kombiniert. Und schließlich bietet das fortschrittliche Reaktionssystem Orchestrierungs- und Automatisierungsfunktionen, um Bedrohungen abzuwehren, bevor sie Ihr Geschäft beeinträchtigen.
Einer der Hauptnachteile von RSA NetWitness besteht darin, dass es nicht am einfachsten zu verwenden und zu konfigurieren ist. Es steht jedoch eine umfassende Dokumentation zur Verfügung, die Ihnen bei der Einrichtung und Verwendung des Produkts helfen kann. Dies ist ein weiteres Produkt der Enterprise-Klasse, und Sie müssen sich an den Vertrieb wenden, um Preisinformationen zu erhalten.
4. ArcSight Enterprise Security Manager
ArcSight Enterprise Security Manager hilft, Sicherheitsbedrohungen zu identifizieren und zu priorisieren, Aktivitäten zur Reaktion auf Vorfälle zu organisieren und zu verfolgen und Audit- und Compliance-Aktivitäten zu vereinfachen. Früher unter der Marke HP verkauft, ist es nun mit Micro Focus, einer weiteren HP-Tochtergesellschaft, fusioniert.
ArcSight ist seit mehr als fünfzehn Jahren ein weiteres äußerst beliebtes SIEM-Tool. Es stellt Protokolldaten aus verschiedenen Quellen zusammen und führt eine umfassende Datenanalyse durch, um nach Anzeichen für böswillige Aktivitäten zu suchen. Um Bedrohungen schnell zu erkennen, können Sie die Ergebnisse der real0tme-Analyse anzeigen.
Hier ist ein Überblick über die Hauptfunktionen des Produkts. Es verfügt über eine leistungsstarke verteilte Echtzeit-Datenkorrelation, Workflow-Automatisierung, Sicherheitsorchestrierung und Community-gesteuerte Sicherheitsinhalte. Der Enterprise Security Manager lässt sich auch in andere ArcSight-Produkte wie ArcSight Data Platform and Event Broker oder ArcSight Investigate integrieren. Dies ist ein weiteres Produkt der Enterprise-Klasse – wie so ziemlich alle hochwertigen SIEM-Tools –, für das Sie sich an das Vertriebsteam von ArcSight wenden müssen, um Preisinformationen zu erhalten.
5. McAfee Enterprise Security Manager
McAfee ist sicherlich ein weiterer bekannter Name in der Sicherheitsbranche. Bekannter ist es jedoch für seine Virenschutzprodukte. Der Enterprise Security Manager ist nicht nur Software. Es ist eigentlich ein Gerät. Sie können es in virtueller oder physischer Form erhalten.
In Bezug auf seine Analysefunktionen wird der McAfee Enterprise Security Manager von vielen als eines der besten SIEM-Tools angesehen. Das System sammelt Protokolle über eine Vielzahl von Geräten. Was seine Normalisierungsfähigkeiten angeht, ist es auch erstklassig. Die Korrelations-Engine kompiliert problemlos unterschiedliche Datenquellen, sodass Sicherheitsereignisse leichter erkannt werden können, sobald sie auftreten
Tatsächlich bietet die McAfee-Lösung mehr als nur den Enterprise Security Manager. Um eine vollständige SIEM-Lösung zu erhalten, benötigen Sie außerdem den Enterprise Log Manager und Event Receiver. Glücklicherweise können alle Produkte in einem einzigen Gerät verpackt werden. Für diejenigen unter Ihnen, die das Produkt vor dem Kauf testen möchten, steht eine kostenlose Testversion zur Verfügung.
6. IBM QRadar
IBM, der wohl bekannteste Name in der IT-Branche, hat es geschafft, seine SIEM-Lösung zu etablieren, IBM QRadar ist eines der besten Produkte auf dem Markt. Das Tool versetzt Sicherheitsanalysten in die Lage, Anomalien zu erkennen, fortgeschrittene Bedrohungen aufzudecken und Fehlalarme in Echtzeit zu entfernen.
IBM QRadar bietet eine Suite von Protokollverwaltungs-, Datenerfassungs-, Analyse- und Intrusion Detection-Funktionen. Zusammen tragen sie dazu bei, dass Ihre Netzwerkinfrastruktur am Laufen bleibt. Es gibt auch Risikomodellierungsanalysen, die potenzielle Angriffe simulieren können.
Zu den wichtigsten Funktionen von QRadar gehört die Möglichkeit, die Lösung lokal oder in einer Cloud-Umgebung bereitzustellen. Es handelt sich um eine modulare Lösung, mit der schnell und kostengünstig mehr Speicher für die Rechenleistung hinzugefügt werden kann. Das System nutzt das Intelligenz-Know-how von IBM X-Force und lässt sich nahtlos in Hunderte von IBM- und Nicht-IBM-Produkten integrieren.
Da IBM IBM ist, können Sie damit rechnen, einen Premium-Preis für ihre SIEM-Lösung zu zahlen. Wenn Sie jedoch eines der besten SIEM-Tools auf dem Markt benötigen, kann sich die Investition in QRadar durchaus lohnen.
SIEM-Anbieter: Fazit
Das einzige Problem, das Sie beim Kauf des besten Security Information and Event Monitoring (SIEM)-Tools riskieren, ist die Fülle an hervorragenden Optionen.
Wir haben gerade die besten sechs vorgestellt. Alle von ihnen sind eine ausgezeichnete Wahl .
Welche Sie wählen, hängt weitgehend von Ihren genauen Bedürfnissen, Ihrem Budget und der Zeit ab, die Sie für die Einrichtung aufwenden möchten. Leider ist die Erstkonfiguration immer der schwierigste Teil und hier können Dinge schief gehen, denn wenn ein SIEM-Tool nicht richtig konfiguriert ist, kann es seine Arbeit nicht richtig ausführen.
Ping-Sweeps können auf viele Arten zu Ihrem Vorteil genutzt werden. Lesen Sie weiter, während wir besprechen, wie das geht, und die 10 besten Ping-Sweep-Tools vorstellen, die Sie finden können.
Websites sind wichtig und müssen ständig genau auf ihre angemessene Leistung überwacht werden. Hier sind einige der besten Tools zur Überwachung von Websites.
Der Markt für Netzwerkmanagement-Software ist sehr überfüllt. Verkürzen Sie Ihre Suche, indem Sie unseren Empfehlungen der besten Netzwerkverwaltungstools folgen.
Hier sehen Sie einige der besten Softwarebereitstellungstools, die Ihnen die Verwaltung einer beliebigen Anzahl von Maschinen erleichtern
Wenn Sie in der Gesundheitsbranche tätig sind oder irgendwie mit der IT in dieser Branche zu tun haben, haben Sie wahrscheinlich schon von HIPAA gehört. Die Übertragbarkeit der Krankenversicherung
sFlow ist ein Flow-Analyse-Protokoll, das in zahlreichen Netzwerkgeräte gebaut. Wir überprüfen die fünf besten Gratis sFlow Collectors und Analysatoren.
Administratoren müssen die Betriebsparameter jedes Servers im Auge behalten. Lesen Sie weiter, während wir die sechs besten Windows-Systemüberwachungstools überprüfen.
Um Ihnen bei der Auswahl des richtigen Tools zu helfen, stellen wir Ihnen die besten Tools zur agentenlosen Infrastrukturüberwachung vor und geben Ihnen einen kurzen Überblick über jedes einzelne.
E-Mail-Sicherheit ist eine wichtige Aufgabe von Managed Service Providern. Wir haben SolarWinds Mail Assure überprüft, eines der besten Tools für diesen Zweck.
Latenz scheint der größte Feind der Netzwerke zu sein. Diese Tools zur Latenzmessung lehren, wie man die Latenz testet, um Probleme zu erkennen, zu lokalisieren und zu beheben.
