¡Hay una jungla ahí fuera! Hay personas malintencionadas en todas partes y te persiguen. Bueno, probablemente no a usted personalmente, sino a sus datos. Ya no son solo los virus contra los que tenemos que protegernos, sino todo tipo de ataques que pueden dejar su red, y su organización, en una situación desesperada. Debido a la proliferación de varios sistemas de protección, como antivirus, cortafuegos y sistemas de detección de intrusos, los administradores de red ahora están inundados de información que deben correlacionar, tratando de encontrarle sentido.
Aquí es donde los sistemas de gestión de eventos e información de seguridad (SIEM) resultan útiles. Ellos manejan la mayor parte del trabajo espantoso de lidiar con demasiada información. Para facilitarle la tarea de seleccionar un SIEM, le presentamos las mejores herramientas de gestión de eventos e información de seguridad (SIEM).
Hoy, comenzamos nuestro análisis discutiendo la escena moderna de las amenazas. Como dijimos, ya no son solo virus. Luego, intentaremos explicar mejor qué es SIEM exactamente y hablaremos sobre los diferentes componentes que componen un sistema SIEM. Algunos de ellos pueden ser más importantes que otros, pero su importancia relativa puede ser diferente para diferentes personas. Y finalmente, presentaremos nuestra selección de las seis mejores herramientas de gestión de eventos e información de seguridad (SIEM) y revisaremos brevemente cada una.
La escena de la amenaza moderna
La seguridad informática solía ser solo protección contra virus. Pero en los últimos años, se han descubierto varios tipos diferentes de ataques. Pueden tomar la forma de ataques de denegación de servicio (DoS), robo de datos y muchos más. Y ya no vienen del exterior. Muchos ataques se originan dentro de una red. Entonces, para la máxima protección, se han inventado varios tipos de sistemas de protección. Además del antivirus y firewall tradicionales, ahora contamos con sistemas de detección de intrusiones y prevención de pérdida de datos (IDS y DLP), por ejemplo.
Por supuesto, cuanto más agregue sistemas, más trabajo tendrá para administrarlos. Cada sistema monitorea algunos parámetros específicos para detectar anomalías y los registrará y / o activará alertas cuando se detecten. ¿No sería bueno si la monitorización de todos estos sistemas pudiera automatizarse? Además, varios sistemas pueden detectar algunos tipos de ataques a medida que pasan por diferentes etapas. ¿No sería mucho mejor si pudiera responder a todos los eventos relacionados como uno solo? Bueno, esto es exactamente de lo que se trata SIEM.
¿Qué es SIEM, exactamente?
El nombre lo dice todo. Gestión de eventos e información de seguridad es el proceso de gestión de eventos e información de seguridad. Concretamente, un sistema SIEM no proporciona ninguna protección. Su objetivo principal es facilitar la vida de los administradores de red y seguridad. Lo que realmente hace un sistema SIEM típico es recopilar información de varios sistemas de protección y detección, correlacionar toda esta información ensamblando eventos relacionados y reacciona ante eventos significativos de varias maneras. A menudo, los sistemas SIEM también incluirán algún tipo de informes y paneles de control.
Los componentes esenciales de una solución SIEM
Estamos a punto de explorar con más detalle cada componente principal de un sistema SIEM. No todos los sistemas SIEM incluyen todos estos componentes e, incluso cuando lo hacen, podrían tener diferentes funcionalidades. Sin embargo, son los componentes más básicos que uno encontraría típicamente, de una forma u otra, en cualquier sistema SIEM.
Gestión y recopilación de registros
La recopilación y gestión de registros es el componente principal de todos los sistemas SIEM. Sin él, no hay SIEM. El sistema SIEM tiene que adquirir datos de registro de una variedad de fuentes diferentes. Puede tirar de él o diferentes sistemas de detección y protección pueden empujarlo al SIEM. Dado que cada sistema tiene su propia forma de categorizar y registrar datos, depende del SIEM normalizar los datos y hacerlos uniformes, sin importar cuál sea su fuente.
Después de la normalización, los datos registrados a menudo se compararán con patrones de ataque conocidos en un intento de reconocer el comportamiento malicioso lo antes posible. Los datos también se compararán a menudo con los datos recopilados anteriormente para ayudar a construir una línea de base que mejorará aún más la detección de actividad anormal.
Respuesta al evento
Una vez que se detecta un evento, se debe hacer algo al respecto. De esto se trata el módulo de respuesta a eventos del sistema SIEM. La respuesta al evento puede tomar diferentes formas. En su implementación más básica, se generará un mensaje de alerta en la consola del sistema. A menudo, también se pueden generar alertas por correo electrónico o SMS.
Pero los mejores sistemas SIEM van un paso más allá y, a menudo, iniciarán algún proceso de reparación. Nuevamente, esto es algo que puede tomar muchas formas. Los mejores sistemas tienen un sistema de flujo de trabajo de respuesta a incidentes completo que se puede personalizar para brindar exactamente la respuesta que desea. Y como era de esperar, la respuesta a incidentes no tiene que ser uniforme y diferentes eventos pueden desencadenar diferentes procesos. Los mejores sistemas le brindarán un control total sobre el flujo de trabajo de respuesta a incidentes.
Reportando
Una vez que tenga la recopilación y gestión de registros y los sistemas de respuesta en su lugar, el siguiente componente básico que necesita son los informes. Es posible que aún no lo sepa, pero necesitará informes. La alta dirección necesitará que vean por sí mismos que su inversión en un sistema SIEM está dando sus frutos. Es posible que también necesite informes para fines de conformidad. El cumplimiento de estándares como PCI DSS, HIPAA o SOX se puede facilitar cuando su sistema SIEM puede generar informes de conformidad.
Es posible que los informes no sean el núcleo de un sistema SIEM, pero aún así, son un componente esencial. Y, a menudo, la presentación de informes será un factor de diferenciación importante entre los sistemas competidores. Los informes son como caramelos, nunca puedes tener demasiados. Y, por supuesto, los mejores sistemas te permitirán crear informes personalizados.
Tablero (s)
Por último, pero no menos importante, el tablero será su ventana al estado de su sistema SIEM. E incluso podría haber varios paneles de control. Debido a que diferentes personas tienen diferentes prioridades e intereses, el tablero perfecto para un administrador de red será diferente al de un administrador de seguridad. Y un ejecutivo también necesitará uno completamente diferente.
Si bien no podemos evaluar un sistema SIEM por la cantidad de paneles que tiene, debe elegir uno que tenga todos los paneles que necesita. Definitivamente, esto es algo que querrá tener en cuenta al evaluar a los proveedores. Y al igual que con los informes, los mejores sistemas te permitirán crear cuadros de mando personalizados a tu gusto.
Nuestras 6 mejores herramientas SIEM
Hay muchos sistemas SIEM por ahí. Demasiados, en realidad, para poder revisarlos todos aquí. Por lo tanto, buscamos en el mercado, comparamos sistemas y elaboramos una lista de las seis mejores herramientas de administración e información de seguridad (SIEM). Los enumeramos en orden de preferencia y los revisaremos brevemente. Pero a pesar de su orden, los seis son sistemas excelentes que solo podemos recomendarle que pruebe usted mismo.
Estas son nuestras 6 mejores herramientas SIEM:
1. Administrador de eventos y registro de SolarWinds (PRUEBA GRATUITA DE 30 DÍAS)
SolarWinds es un nombre común en el mundo de la monitorización de redes. Su producto estrella, Network Performance Monitor es una de las mejores herramientas de monitoreo SNMP disponibles. La compañía también es conocida por sus numerosas herramientas gratuitas, como su calculadora de subred o su servidor SFTP.
La herramienta SIEM de SolarWinds, Log and Event Manager (LEM) se describe mejor como un sistema SIEM de nivel de entrada. Pero posiblemente sea uno de los sistemas de nivel de entrada más competitivos del mercado. SolarWinds LEM tiene todo lo que puede esperar de un sistema SIEM. Tiene excelentes funciones de correlación y administración a largo plazo y un motor de informes impresionante.
En cuanto a las funciones de respuesta a eventos de la herramienta, no dejan nada que desear. El detallado sistema de respuesta en tiempo real reaccionará activamente a cada amenaza. Y dado que se basa en el comportamiento más que en la firma, está protegido contra amenazas desconocidas o futuras.
Pero el tablero de la herramienta es posiblemente su mejor activo. Con un diseño simple, no tendrá problemas para identificar anomalías rápidamente. A partir de alrededor de $ 4 500, la herramienta es más que asequible. Y si desea probarlo primero, una versión de prueba gratuita y completamente funcional de 30 días está disponible para descargar.
Enlace de descarga oficial: https://www.solarwinds.com/log-event-manager-software
2. Seguridad empresarial de Splunk
Posiblemente uno de los sistemas SIEM más populares, Splunk Enterprise Security, o Splunk ES, como se le llama a menudo, es particularmente famoso por sus capacidades analíticas. Splunk ES monitorea los datos de su sistema en tiempo real, buscando vulnerabilidades y signos de actividad anormal.
La respuesta de seguridad es otro de los puntos fuertes de Splunk ES. El sistema utiliza lo que Splunk llama Adaptive Response Framework (ARF) que se integra con equipos de más de 55 proveedores de seguridad. El ARF realiza una respuesta automática, lo que acelera las tareas manuales. Esto le permitirá ganar rápidamente la ventaja. Agregue a eso una interfaz de usuario simple y ordenada y tendrá una solución ganadora. Otras características interesantes incluyen la función Notables que muestra alertas personalizables por el usuario y el Asset Investigator para marcar actividades maliciosas y prevenir problemas adicionales.
Splunk ES es verdaderamente un producto de nivel empresarial y viene con una etiqueta de precio de tamaño empresarial. Ni siquiera puede obtener información sobre precios en el sitio web de Splunk. Debe ponerse en contacto con el departamento de ventas para obtener un precio. A pesar de su precio, este es un gran producto y es posible que desee ponerse en contacto con Splunk y aprovechar una prueba gratuita.
3. RSA NetWitness
Desde 20016, NetWitness se ha centrado en productos que respaldan el “conocimiento profundo de la situación de la red en tiempo real y una respuesta ágil de la red”. Después de ser adquirida por EMC, que luego se fusionó con Dell, el negocio Newitness ahora es parte de la rama RSA de la corporación. Y esta es una buena noticia. RSA es un nombre famoso en seguridad.
RSA NetWitness es ideal para organizaciones que buscan una solución completa de análisis de redes. La herramienta incorpora información sobre su negocio que ayuda a priorizar las alertas. Según RSA, el sistema "recopila datos en más puntos de captura, plataformas informáticas y fuentes de inteligencia de amenazas que otras soluciones SIEM". También hay una detección de amenazas avanzada que combina análisis de comportamiento, técnicas de ciencia de datos e inteligencia de amenazas. Y finalmente, el sistema de respuesta avanzado cuenta con capacidades de orquestación y automatización para ayudar a eliminar las amenazas antes de que afecten a su negocio.
Uno de los principales inconvenientes de RSA NetWitness es que no es el más fácil de usar y configurar. Sin embargo, hay documentación completa disponible que puede ayudarlo a configurar y usar el producto. Este es otro producto de nivel empresarial y deberá ponerse en contacto con el departamento de ventas para obtener información sobre precios.
4. Administrador de seguridad empresarial de ArcSight
ArcSight Enterprise Security Manager ayuda a identificar y priorizar las amenazas de seguridad, organizar y rastrear las actividades de respuesta a incidentes y simplificar las actividades de auditoría y cumplimiento. Anteriormente vendido bajo la marca HP, ahora se ha fusionado con Micro Focus, otra subsidiaria de HP.
Con más de quince años de existencia, ArcSight es otra herramienta SIEM inmensamente popular. Compila datos de registro de varias fuentes y realiza un análisis de datos exhaustivo, en busca de signos de actividad maliciosa. Para facilitar la identificación de amenazas rápidamente, puede ver los resultados del análisis en tiempo real.
Aquí hay un resumen de las características principales del producto. Tiene una potente correlación de datos distribuidos en tiempo real, automatización del flujo de trabajo, orquestación de seguridad y contenido de seguridad impulsado por la comunidad. Enterprise Security Manager también se integra con otros productos ArcSight como ArcSight Data Platform y Event Broker o ArcSight Investigate. Este es otro producto de nivel empresarial, como casi todas las herramientas SIEM de calidad, que requerirá que se comunique con el equipo de ventas de ArcSight para obtener información sobre precios.
5. McAfee Enterprise Security Manager
McAfee es sin duda otro nombre familiar en la industria de la seguridad. Sin embargo, es más conocido por sus productos de protección antivirus. El administrador de seguridad empresarial no es solo un software. En realidad, es un aparato. Puedes conseguirlo en forma virtual o física.
En términos de sus capacidades de análisis, McAfee Enterprise Security Manager es considerado por muchos como una de las mejores herramientas SIEM. El sistema recopila registros en una amplia gama de dispositivos. En cuanto a sus capacidades de normalización, también es de primera categoría. El motor de correlación compila fácilmente fuentes de datos dispares, lo que facilita la detección de eventos de seguridad a medida que ocurren.
Para ser verdad, la solución de McAfee es más que solo su Enterprise Security Manager. Para obtener una solución SIEM completa, también necesita Enterprise Log Manager y Event Receiver. Afortunadamente, todos los productos se pueden empaquetar en un solo aparato. Para aquellos de ustedes que quieran probar el producto antes de comprarlo, hay una prueba gratuita disponible.
6. IBM QRadar
IBM, posiblemente el nombre más conocido en la industria de TI ha logrado establecer su solución SIEM, IBM QRadar es uno de los mejores productos del mercado. La herramienta permite a los analistas de seguridad detectar anomalías, descubrir amenazas avanzadas y eliminar falsos positivos en tiempo real.
IBM QRadar cuenta con un conjunto de funciones de gestión de registros, recopilación de datos, análisis y detección de intrusiones. Juntos, ayudan a mantener su infraestructura de red en funcionamiento. También hay análisis de modelos de riesgo que pueden simular posibles ataques.
Algunas de las características clave de QRadar incluyen la capacidad de implementar la solución en las instalaciones o en un entorno de nube. Es una solución modular y se puede agregar más capacidad de almacenamiento de forma rápida y económica. El sistema utiliza la experiencia en inteligencia de IBM X-Force y se integra a la perfección con cientos de productos de IBM y de otros fabricantes.
IBM, siendo IBM, puede esperar pagar un precio superior por su solución SIEM. Pero si necesita una de las mejores herramientas SIEM del mercado, es muy posible que QRadar valga la pena la inversión.
Proveedores de SIEM: Conclusión
El único problema que corre el riesgo de tener al comprar la mejor herramienta de monitoreo de eventos e información de seguridad (SIEM) es la abundancia de excelentes opciones.
Acabamos de presentar los seis mejores. Todos ellos son excelentes opciones .
El que elija dependerá en gran medida de sus necesidades exactas, su presupuesto y el tiempo que esté dispuesto a dedicar a configurarlo. Por desgracia, la configuración inicial es siempre la parte más difícil y aquí es donde las cosas pueden salir mal, ya que si una herramienta SIEM no está configurada correctamente, no podrá hacer su trabajo correctamente.
El mercado de software de gestión de red está muy concurrido. Acceda a su búsqueda siguiendo nuestras recomendaciones de las mejores herramientas de administración de red.
Los barridos de ping se pueden utilizar para su beneficio de muchas maneras. Siga leyendo mientras discutimos cómo y presentamos las 10 mejores herramientas de barrido de Ping que puede encontrar.
Los sitios web son importantes y deben ser monitoreados de cerca constantemente para un rendimiento adecuado. Estas son algunas de las mejores herramientas para monitorear sitios web.
Aquí hay un vistazo a algunas de las mejores herramientas de implementación de software para aliviar el dolor de administrar cualquier cantidad de máquinas.
Si está en la industria de la salud o de alguna manera está involucrado con TI en esa industria, es probable que haya oído hablar de HIPAA. La portabilidad del seguro médico
sFlow es un protocolo de análisis de flujo integrado en numerosos dispositivos de red. Repasamos los cinco mejores analizadores y recolectores de flujo gratuitos.
Dado que Linux se está volviendo cada vez más popular en los centros de datos, estamos analizando la supervisión del ancho de banda en Linux y también estamos revisando las mejores herramientas.
La seguridad del correo electrónico es una tarea importante de los proveedores de servicios gestionados. Estamos revisando SolarWinds Mail Assure, una de las mejores herramientas para ese propósito.
Si es un usuario avanzado de Windows, probablemente sepa y comprenda cómo realizar varias operaciones en su PC puede tener más de un enfoque y
El monitor de red de Windows requiere herramientas con requisitos limitados. Hoy, estamos echando un vistazo a las mejores herramientas de monitoreo de red para Windows 10.
