È una giungla là fuori! Gli individui malintenzionati sono ovunque e ti stanno cercando. Beh, probabilmente non tu personalmente ma piuttosto i tuoi dati. Non dobbiamo più proteggerci solo dai virus, ma da ogni tipo di attacco che può lasciare la tua rete e la tua organizzazione in una situazione disastrosa. A causa della proliferazione di vari sistemi di protezione come antivirus, firewall e sistemi di rilevamento delle intrusioni, gli amministratori di rete sono ora sommersi da informazioni che devono correlare, cercando di dargli un senso.
È qui che i sistemi SIEM (Security Information and Event Management) tornano utili. Gestiscono la maggior parte del lavoro raccapricciante di gestire troppe informazioni. Per semplificare il tuo lavoro di selezione di un SIEM, ti presentiamo i migliori strumenti SIEM (Security Information and Event Management).
Oggi iniziamo la nostra analisi discutendo la moderna scena delle minacce. Come abbiamo detto, non sono più solo virus. Quindi, cercheremo di spiegare meglio cos'è esattamente SIEM e parleremo dei diversi componenti che compongono un sistema SIEM. Alcuni di essi potrebbero essere più importanti di altri, ma la loro importanza relativa potrebbe essere diversa per persone diverse. Infine, presenteremo la nostra selezione dei sei migliori strumenti SIEM (Security Information and Event Management) e li esamineremo brevemente.
La moderna scena della minaccia
La sicurezza del computer in passato riguardava solo la protezione dai virus. Ma negli ultimi anni sono stati scoperti diversi tipi di attacchi. Possono assumere la forma di attacchi denial of service (DoS), furto di dati e molti altri. E non vengono più solo dall'esterno. Molti attacchi provengono dall'interno di una rete. Quindi, per la massima protezione, sono stati inventati vari tipi di sistemi di protezione. Oltre ai tradizionali antivirus e firewall, ora abbiamo sistemi di Intrusion Detection e Data Loss Prevention (IDS e DLP), per esempio.
Naturalmente, più sistemi aggiungi, più lavoro hai per gestirli. Ogni sistema monitora alcuni parametri specifici per le anomalie e li registrerà e/o attiverà avvisi quando vengono scoperti. Non sarebbe bello se il monitoraggio di tutti questi sistemi potesse essere automatizzato? Inoltre, alcuni tipi di attacchi potrebbero essere rilevati da diversi sistemi mentre attraversano fasi diverse. Non sarebbe molto meglio se potessi rispondere a tutti gli eventi correlati come uno solo? Bene, questo è esattamente ciò di cui si occupa SIEM.
Cos'è SIEM, esattamente?
Il nome dice tutto. Security Information and Event Management è il processo di gestione delle informazioni e degli eventi di sicurezza. Concretamente, un sistema SIEM non fornisce alcuna protezione. Il suo scopo principale è semplificare la vita degli amministratori di rete e di sicurezza. Ciò che realmente fa un tipico sistema SIEM è raccogliere informazioni da vari sistemi di protezione e rilevamento, correlare tutte queste informazioni assemblando eventi correlati e reagisce a eventi significativi in vari modi. Spesso, i sistemi SIEM includono anche una qualche forma di reportistica e dashboard.
I componenti essenziali di una soluzione SIEM
Stiamo per esplorare più in dettaglio ogni componente principale di un sistema SIEM. Non tutti i sistemi SIEM includono tutti questi componenti e, anche quando lo fanno, potrebbero avere funzionalità diverse. Tuttavia, sono i componenti più basilari che normalmente si trovano, in una forma o nell'altra, in qualsiasi sistema SIEM.
Raccolta e gestione dei registri
La raccolta e la gestione dei log è il componente principale di tutti i sistemi SIEM. Senza di essa, non c'è SIEM. Il sistema SIEM deve acquisire i dati di registro da una varietà di fonti diverse. Può tirarlo o diversi sistemi di rilevamento e protezione possono spingerlo al SIEM. Poiché ogni sistema ha il proprio modo di classificare e registrare i dati, spetta al SIEM normalizzare i dati e renderli uniformi, indipendentemente dalla loro origine.
Dopo la normalizzazione, i dati registrati verranno spesso confrontati con schemi di attacco noti nel tentativo di riconoscere il comportamento dannoso il prima possibile. I dati verranno spesso anche confrontati con i dati raccolti in precedenza per aiutare a costruire una linea di base che migliorerà ulteriormente il rilevamento di attività anomale.
Risposta all'evento
Una volta rilevato un evento, è necessario fare qualcosa al riguardo. Questo è ciò che riguarda il modulo di risposta agli eventi del sistema SIEM. La risposta all'evento può assumere forme diverse. Nella sua implementazione più elementare, verrà generato un messaggio di avviso sulla console del sistema. Spesso possono essere generati anche avvisi via e-mail o SMS.
Ma i migliori sistemi SIEM fanno un passo avanti e spesso avviano un processo correttivo. Ancora una volta, questo è qualcosa che può assumere molte forme. I migliori sistemi dispongono di un sistema di flusso di lavoro completo per la risposta agli incidenti che può essere personalizzato per fornire esattamente la risposta desiderata. E come ci si aspetterebbe, la risposta agli incidenti non deve essere uniforme e eventi diversi possono innescare processi diversi. I migliori sistemi ti daranno il controllo completo sul flusso di lavoro di risposta agli incidenti.
Segnalazione
Una volta che hai la raccolta e la gestione dei log e i sistemi di risposta in atto, il prossimo blocco di cui hai bisogno è il reporting. Potresti non saperlo ancora, ma avrai bisogno di rapporti. L'alta dirigenza avrà bisogno di loro per vedere di persona che il loro investimento in un sistema SIEM sta dando i suoi frutti. Potresti anche aver bisogno di rapporti per motivi di conformità. La conformità a standard come PCI DSS, HIPAA o SOX può essere facilitata quando il sistema SIEM è in grado di generare rapporti di conformità.
I report potrebbero non essere al centro di un sistema SIEM, ma sono comunque una componente essenziale. E spesso, la segnalazione sarà un importante fattore di differenziazione tra i sistemi concorrenti. I report sono come le caramelle, non ne hai mai troppe. E, naturalmente, i migliori sistemi ti permetteranno di creare report personalizzati.
Cruscotto/i
Ultimo ma non meno importante, il dashboard sarà la tua finestra sullo stato del tuo sistema SIEM. E potrebbero esserci anche più dashboard. Poiché persone diverse hanno priorità e interessi diversi, la dashboard perfetta per un amministratore di rete sarà diversa da quella di un amministratore della sicurezza. E anche un dirigente ne avrà bisogno di uno completamente diverso.
Anche se non possiamo valutare un sistema SIEM in base al numero di dashboard che ha, devi sceglierne uno che abbia tutte le dashboard di cui hai bisogno. Questo è sicuramente qualcosa che vorrai tenere a mente quando valuti i fornitori. E proprio come con i report, i migliori sistemi ti permetteranno di creare dashboard personalizzate a tuo piacimento.
I nostri 6 migliori strumenti SIEM
Ci sono molti sistemi SIEM là fuori. Troppi, in realtà, per poterli recensire tutti qui. Quindi, abbiamo cercato nel mercato, confrontato i sistemi e creato un elenco di quelli che abbiamo trovato essere i sei migliori strumenti di gestione e informazione sulla sicurezza (SIEM). Li elenchiamo in ordine di preferenza e li esamineremo brevemente. Ma nonostante il loro ordine, tutti e sei sono sistemi eccellenti che possiamo solo consigliarti di provare tu stesso.
Ecco quali sono i nostri 6 migliori strumenti SIEM:
1. SolarWinds Log & Event Manager (PROVA GRATUITA DI 30 GIORNI)
SolarWinds è un nome comune nel mondo del monitoraggio della rete. Il loro prodotto di punta, il Network Performance Monitor è uno dei migliori strumenti di monitoraggio SNMP disponibili. L'azienda è anche nota per i suoi numerosi strumenti gratuiti come il calcolatore di sottorete o il server SFTP.
Lo strumento SIEM di SolarWinds, il Log and Event Manager (LEM) è meglio descritto come un sistema SIEM entry-level. Ma è forse uno dei sistemi entry-level più competitivi sul mercato. Il SolarWinds LEM ha tutto ciò che puoi aspettarti da un sistema SIEM. Ha eccellenti caratteristiche di lunga gestione e correlazione e un impressionante motore di reportistica.
Per quanto riguarda le funzionalità di risposta agli eventi dello strumento, non lasciano nulla a desiderare. Il dettagliato sistema di risposta in tempo reale reagirà attivamente a ogni minaccia. E poiché si basa sul comportamento piuttosto che sulla firma, sei protetto da minacce sconosciute o future.
Ma la dashboard dello strumento è forse la sua migliore risorsa. Con un design semplice, non avrai problemi a identificare rapidamente le anomalie. A partire da circa $ 4 500, lo strumento è più che conveniente. E se vuoi provarlo prima, è disponibile per il download una versione di prova gratuita di 30 giorni completamente funzionale .
Link ufficiale per il download: https://www.solarwinds.com/log-event-manager-software
2. Sicurezza aziendale Splunk
Probabilmente uno dei sistemi SIEM più popolari, Splunk Enterprise Security, o Splunk ES, come viene spesso chiamato, è particolarmente famoso per le sue capacità di analisi. Splunk ES monitora i dati del tuo sistema in tempo reale, cercando vulnerabilità e segni di attività anomala.
La risposta alla sicurezza è un altro dei punti forti di Splunk ES. Il sistema utilizza ciò che Splunk chiama Adaptive Response Framework (ARF) che si integra con le apparecchiature di oltre 55 fornitori di sicurezza. L'ARF esegue una risposta automatizzata, velocizzando le attività manuali. Questo ti permetterà di prendere rapidamente il sopravvento. Aggiungete a ciò un'interfaccia utente semplice e ordinata e avrete una soluzione vincente. Altre caratteristiche interessanti includono la funzione Notables che mostra avvisi personalizzabili dall'utente e Asset Investigator per segnalare attività dannose e prevenire ulteriori problemi.
Splunk ES è davvero un prodotto di livello aziendale e viene fornito con un cartellino del prezzo di dimensioni aziendali. Non puoi nemmeno ottenere informazioni sui prezzi dal sito web di Splunk. È necessario contattare l'ufficio commerciale per ottenere un prezzo. Nonostante il suo prezzo, questo è un ottimo prodotto e potresti voler contattare Splunk e approfittare di una prova gratuita.
3. RSA NetWitness
Dal 20016, NetWitness si è concentrata sui prodotti che supportano "consapevolezza situazionale della rete profonda e in tempo reale e risposta agile della rete". Dopo essere stata acquisita da EMC, che si è poi fusa con Dell, l'attività Newitness è ora parte del ramo RSA della società. E questa è una buona notizia RSA è un nome famoso nel campo della sicurezza.
RSA NetWitness è l'ideale per le organizzazioni che cercano una soluzione completa per l'analisi della rete. Lo strumento incorpora informazioni sulla tua attività che aiutano a dare la priorità agli avvisi. Secondo RSA, il sistema "raccoglie dati su più punti di acquisizione, piattaforme di elaborazione e fonti di intelligence sulle minacce rispetto ad altre soluzioni SIEM". C'è anche il rilevamento avanzato delle minacce che combina analisi comportamentali, tecniche di data science e intelligence sulle minacce. Infine, il sistema di risposta avanzato vanta capacità di orchestrazione e automazione per aiutare a eliminare le minacce prima che abbiano un impatto sulla tua attività.
Uno dei principali svantaggi di RSA NetWitness è che non è il più facile da usare e configurare. Tuttavia, è disponibile una documentazione completa che può aiutarti con la configurazione e l'utilizzo del prodotto. Questo è un altro prodotto di livello aziendale e dovrai contattare le vendite per ottenere informazioni sui prezzi.
4. ArcSight Enterprise Security Manager
ArcSight Enterprise Security Manager aiuta a identificare e dare priorità alle minacce alla sicurezza, organizzare e tenere traccia delle attività di risposta agli incidenti e semplificare le attività di verifica e conformità. Precedentemente venduto con il marchio HP, ora si è fuso con Micro Focus, un'altra sussidiaria di HP.
Essendo in circolazione da più di quindici anni, ArcSight è un altro strumento SIEM immensamente popolare. Compila i dati di registro da varie fonti ed esegue un'analisi approfondita dei dati, alla ricerca di segni di attività dannose. Per facilitare l'identificazione rapida delle minacce, è possibile visualizzare i risultati dell'analisi real0tme.
Ecco una carrellata delle caratteristiche principali dei prodotti. Dispone di una potente correlazione distribuita dei dati in tempo reale, automazione del flusso di lavoro, orchestrazione della sicurezza e contenuto di sicurezza guidato dalla comunità. Enterprise Security Manager si integra anche con altri prodotti ArcSight come ArcSight Data Platform ed Event Broker o ArcSight Investigate. Questo è un altro prodotto di livello aziendale, come quasi tutti gli strumenti SIEM di qualità, che richiederà di contattare il team di vendita di ArcSight per ottenere informazioni sui prezzi.
5. McAfee Enterprise Security Manager
McAfee è sicuramente un altro nome familiare nel settore della sicurezza. Tuttavia, è meglio conosciuto per i suoi prodotti di protezione antivirus. Il gestore della sicurezza aziendale non è solo software. In realtà è un elettrodomestico. Puoi ottenerlo in forma virtuale o fisica.
In termini di capacità di analisi, McAfee Enterprise Security Manager è considerato da molti uno dei migliori strumenti SIEM. Il sistema raccoglie i log su un'ampia gamma di dispositivi. Per quanto riguarda le sue capacità di normalizzazione, è anche di prim'ordine. Il motore di correlazione compila facilmente origini dati disparate, facilitando il rilevamento degli eventi di sicurezza non appena si verificano
A dire il vero, c'è di più nella soluzione McAfee oltre al suo Enterprise Security Manager. Per ottenere una soluzione SIEM completa sono necessari anche Enterprise Log Manager e Event Receiver. Fortunatamente, tutti i prodotti possono essere confezionati in un unico elettrodomestico. Per quelli di voi che desiderano provare il prodotto prima di acquistarlo, è disponibile una prova gratuita.
6. IBM QRadar
IBM, forse il nome più noto nel settore IT, è riuscito a stabilire la sua soluzione SIEM, IBM QRadar è uno dei migliori prodotti sul mercato. Lo strumento consente agli analisti della sicurezza di rilevare anomalie, scoprire minacce avanzate e rimuovere i falsi positivi in tempo reale.
IBM QRadar vanta una suite di funzionalità di gestione dei log, raccolta dati, analisi e rilevamento delle intrusioni. Insieme, aiutano a mantenere attiva e funzionante la tua infrastruttura di rete. Esistono anche analisi di modellazione del rischio in grado di simulare potenziali attacchi.
Alcune delle funzionalità chiave di QRadar includono la possibilità di distribuire la soluzione in locale o in un ambiente cloud. È una soluzione modulare e si può aggiungere in modo rapido ed economico più spazio di archiviazione della potenza di elaborazione. Il sistema utilizza le competenze di intelligence di IBM X-Force e si integra perfettamente con centinaia di prodotti IBM e non IBM.
Essendo IBM IBM, puoi aspettarti di pagare un prezzo premium per la loro soluzione SIEM. Ma se hai bisogno di uno dei migliori strumenti SIEM sul mercato, QRadar potrebbe valere l'investimento.
Fornitori SIEM: Conclusione
L'unico problema che si rischia di avere quando si acquista il miglior strumento SIEM (Security Information and Event Monitoring) è l'abbondanza di eccellenti opzioni.
Abbiamo appena presentato i migliori sei. Sono tutte scelte eccellenti .
Quello che sceglierai dipenderà in gran parte dalle tue esatte esigenze, dal tuo budget e dal tempo che sei disposto a dedicare alla configurazione. Purtroppo, la configurazione iniziale è sempre la parte più difficile ed è qui che le cose possono andare storte perché se uno strumento SIEM non è configurato correttamente, non sarà in grado di svolgere correttamente il suo lavoro.
Il mercato del software per la gestione della rete è molto affollato. Scorcia la tua ricerca seguendo i nostri consigli sui migliori strumenti di gestione della rete.
I ping sweep possono essere usati a tuo vantaggio in molti modi. Continua a leggere mentre discutiamo di come e introduciamo i 10 migliori strumenti di sweep Ping che puoi trovare.
I siti Web sono importanti e devono essere costantemente monitorati attentamente per prestazioni adeguate. Ecco alcuni dei migliori strumenti per il monitoraggio dei siti web.
Ecco uno sguardo ad alcuni dei migliori strumenti di distribuzione del software per alleviare il dolore di gestire un numero qualsiasi di macchine
sFlow è un protocollo di analisi del flusso integrato in numerosi dispositivi di rete. Esaminiamo i primi cinque migliori raccoglitori e analizzatori sFlow gratuiti.
Per aiutarti a scegliere quello giusto, abbiamo introdotto i migliori strumenti di monitoraggio dell'infrastruttura agentless e ti abbiamo fornito una rapida revisione di ciascuno di essi.
Con Linux che sta diventando sempre più popolare nei data center, stavamo dando un'occhiata al monitoraggio della larghezza di banda su Linux e stiamo anche esaminando i migliori strumenti.
La sicurezza della posta elettronica è un compito importante dei provider di servizi gestiti. Stavamo recensendo SolarWinds Mail Assure, uno dei migliori strumenti per questo scopo.
Se sei un utente esperto di Windows, probabilmente sai e capisci come eseguire varie operazioni sul tuo PC può avere più di un solo approccio e
La latenza sembra essere il nemico numero uno delle reti. Questi strumenti di misurazione della latenza insegneranno come testare la latenza per rilevare, individuare e risolvere i problemi.
