6 beste SIEM-tools en -software in 2021 - Topleveranciers voor SIEM-oplossingen

Het is een jungle daar! Mensen met slechte bedoelingen zijn overal en ze zitten achter je aan. Nou, waarschijnlijk niet u persoonlijk, maar eerder uw gegevens. Het zijn niet langer alleen virussen waartegen we ons moeten beschermen, maar allerlei soorten aanvallen die uw netwerk - en uw organisatie - in een benarde situatie kunnen brengen. Door de toename van verschillende beveiligingssystemen, zoals antivirussen, firewalls en inbraakdetectiesystemen, worden netwerkbeheerders nu overspoeld met informatie die ze moeten correleren, in een poging deze te begrijpen.

Dit is waar Security Information and Event Management (SIEM)-systemen van pas komen. Ze doen het meeste van het gruwelijke werk van het omgaan met te veel informatie. Om het selecteren van een SIEM gemakkelijker te maken, presenteren we u de beste tools voor Security Information and Event Management (SIEM).

Vandaag beginnen we onze analyse met het bespreken van de moderne dreigingsscène. Zoals we al zeiden, het zijn niet langer alleen maar virussen. Daarna zullen we proberen beter uit te leggen wat SIEM precies is en praten over de verschillende componenten die een SIEM-systeem maken. Sommige zijn misschien belangrijker dan andere, maar hun relatieve belang kan voor verschillende mensen anders zijn. En tot slot presenteren we onze selectie van de zes beste Security Information and Event Management (SIEM)-tools en bespreken we ze allemaal kort.

De moderne dreigingsscène

Vroeger ging computerbeveiliging alleen maar over virusbescherming. Maar de afgelopen jaren zijn er verschillende soorten aanvallen ontdekt. Ze kunnen de vorm aannemen van denial of service (DoS)-aanvallen, gegevensdiefstal en nog veel meer. En die komen niet meer alleen van buitenaf. Veel aanvallen komen vanuit een netwerk. Dus voor de ultieme bescherming zijn er verschillende soorten beveiligingssystemen uitgevonden. Naast de traditionele antivirus en firewall hebben we nu bijvoorbeeld Intrusion Detection en Data Loss Prevention systemen (IDS en DLP).

Natuurlijk, hoe meer systemen je toevoegt, hoe meer werk je hebt om ze te beheren. Elk systeem controleert enkele specifieke parameters op afwijkingen en logt deze en/of activeert waarschuwingen wanneer ze worden ontdekt. Zou het niet mooi zijn als de monitoring van al deze systemen geautomatiseerd zou kunnen worden? Bovendien kunnen sommige soorten aanvallen door verschillende systemen worden gedetecteerd terwijl ze verschillende stadia doorlopen. Zou het niet veel beter zijn als u dan als één geheel op alle gerelateerde gebeurtenissen zou kunnen reageren? Welnu, dit is precies waar het bij SIEM om draait.

Wat is SIEM precies?

De naam zegt het al. Beveiligingsinformatie en gebeurtenisbeheer is het proces van het beheren van beveiligingsinformatie en gebeurtenissen. Concreet biedt een SIEM-systeem geen enkele bescherming. Het primaire doel is om het leven van netwerk- en beveiligingsbeheerders gemakkelijker te maken. Wat een typisch SIEM-systeem werkelijk doet, is informatie verzamelen van verschillende beveiligings- en detectiesystemen, al deze informatie correleren door gerelateerde gebeurtenissen samen te stellen en op verschillende manieren op betekenisvolle gebeurtenissen reageren. Vaak zullen SIEM-systemen ook een vorm van rapportage en dashboards bevatten.

De essentiële componenten van een SIEM-oplossing

We staan ​​op het punt dieper in te gaan op elk belangrijk onderdeel van een SIEM-systeem. Niet alle SIEM-systemen bevatten al deze componenten en zelfs als ze dat wel doen, kunnen ze verschillende functionaliteiten hebben. Het zijn echter de meest elementaire componenten die men normaal gesproken in een of andere vorm in elk SIEM-systeem zou vinden.

Logboekverzameling en -beheer

Het verzamelen en beheren van logbestanden is het belangrijkste onderdeel van alle SIEM-systemen. Zonder dit is er geen SIEM. Het SIEM-systeem moet loggegevens uit verschillende bronnen halen. Het kan eraan trekken of verschillende detectie- en beveiligingssystemen kunnen het naar de SIEM duwen. Aangezien elk systeem zijn eigen manier heeft om gegevens te categoriseren en vast te leggen, is het aan de SIEM om gegevens te normaliseren en uniform te maken, ongeacht de bron.

Na normalisatie worden gelogde gegevens vaak vergeleken met bekende aanvalspatronen in een poging kwaadaardig gedrag zo vroeg mogelijk te herkennen. Gegevens worden ook vaak vergeleken met eerder verzamelde gegevens om een ​​basislijn op te bouwen die de detectie van abnormale activiteit verder zal verbeteren.

Reactie op gebeurtenis

Zodra een gebeurtenis wordt gedetecteerd, moet er iets aan worden gedaan. Dit is waar de event response module van het SIEM systeem over gaat. De gebeurtenisrespons kan verschillende vormen aannemen. In de meest elementaire implementatie wordt een waarschuwingsbericht gegenereerd op de systeemconsole. Vaak kunnen ook e-mail- of sms-waarschuwingen worden gegenereerd.

Maar de beste SIEM-systemen gaan een stap verder en zullen vaak een herstelproces initiëren. Nogmaals, dit is iets dat vele vormen kan aannemen. De beste systemen hebben een compleet workflowsysteem voor incidentrespons dat kan worden aangepast om precies de respons te bieden die u wilt. En zoals je zou verwachten, hoeft de respons op incidenten niet uniform te zijn en kunnen verschillende gebeurtenissen verschillende processen in gang zetten. De beste systemen geven u volledige controle over de workflow voor incidentrespons.

Rapportage

Zodra u de logverzameling en het beheer en de responssystemen hebt geïnstalleerd, is rapportage de volgende bouwsteen die u nodig hebt. Je weet het misschien nog niet, maar je hebt rapporten nodig. Het hogere management moet ze zelf laten inzien dat hun investering in een SIEM-systeem vruchten afwerpt. Mogelijk hebt u ook rapporten nodig voor conformiteitsdoeleinden. Het voldoen aan standaarden zoals PCI DSS, HIPAA of SOX kan worden vereenvoudigd wanneer uw SIEM-systeem conformiteitsrapporten kan genereren.

Rapporten vormen misschien niet de kern van een SIEM-systeem, maar het is toch een essentieel onderdeel. En vaak zal rapportage een belangrijke onderscheidende factor zijn tussen concurrerende systemen. Rapporten zijn als snoepjes, je kunt er nooit te veel hebben. En natuurlijk kunt u met de beste systemen aangepaste rapporten maken.

Dashboard(s)

Last but not least, het dashboard is uw venster op de status van uw SIEM-systeem. En er kunnen zelfs meerdere dashboards zijn. Omdat verschillende mensen verschillende prioriteiten en interesses hebben, zal het perfecte dashboard voor een netwerkbeheerder anders zijn dan dat van een beveiligingsbeheerder. En een executive zal ook een heel andere nodig hebben.

Hoewel we een SIEM-systeem niet kunnen beoordelen aan de hand van het aantal dashboards dat het heeft, moet u er een kiezen met alle dashboards die u nodig hebt. Dit is zeker iets waar u rekening mee moet houden als u leveranciers evalueert. En net als bij rapportages kun je met de beste systemen dashboards op maat bouwen naar jouw wensen.

Onze top 6 SIEM-tools

Er zijn veel SIEM-systemen die er zijn. Veel te veel eigenlijk om ze hier allemaal te kunnen bekijken. Daarom hebben we de markt doorzocht, systemen vergeleken en een lijst samengesteld met de zes beste tools voor beveiligingsinformatie en -beheer (SIEM). We zetten ze op volgorde van voorkeur en we zullen ze allemaal kort bespreken. Maar ondanks hun bestelling zijn ze alle zes uitstekende systemen die we je alleen maar kunnen aanraden om zelf te proberen.

Dit zijn onze top 6 SIEM-tools:

1. SolarWinds Log & Event Manager
2. Splunk Enterprise-beveiliging
3. RSA NetWitness
4. ArcSight Enterprise Security Manager
5. McAfee Enterprise Security Manager
6. IBM QRadar SIEM

1.  SolarWinds Log & Event Manager (GRATIS 30 DAGEN PROEF)

SolarWinds is een veel voorkomende naam in de wereld van netwerkmonitoring. Hun vlaggenschipproduct, de Network Performance Monitor, is een van de beste beschikbare SNMP-monitoringtools. Het bedrijf staat ook bekend om zijn talrijke gratis tools zoals hun Subnet Calculator of hun SFTP-server.

De SIEM-tool van SolarWinds, de Log and Event Manager (LEM), kan het best worden omschreven als een SIEM-systeem op instapniveau. Maar het is misschien wel een van de meest concurrerende instapsystemen op de markt. De SolarWinds LEM heeft alles wat je van een SIEM-systeem mag verwachten. Het heeft uitstekende lange beheer- en correlatiefuncties en een indrukwekkende rapportage-engine.

Wat betreft de gebeurtenisresponsfuncties van de tool, ze laten niets te wensen over. Het gedetailleerde realtime responssysteem reageert actief op elke dreiging. En aangezien het gebaseerd is op gedrag in plaats van handtekening, bent u beschermd tegen onbekende of toekomstige bedreigingen.

Maar het dashboard van de tool is misschien wel de beste troef. Met een eenvoudig ontwerp heb je geen moeite om snel afwijkingen te identificeren. Vanaf ongeveer $ 4 500 is de tool meer dan betaalbaar. En als u het eerst wilt proberen, kunt u een gratis, volledig functionele proefversie van 30 dagen downloaden.

Officiële downloadlink:  https://www.solarwinds.com/log-event-manager-software

2. Splunk Enterprise-beveiliging

Mogelijk een van de meest populaire SIEM-systemen, Splunk Enterprise Security – of Splunk ES, zoals het vaak wordt genoemd – staat vooral bekend om zijn analysemogelijkheden. Splunk ES bewaakt de gegevens van uw systeem in realtime, op zoek naar kwetsbaarheden en tekenen van abnormale activiteit.

Beveiligingsreactie is een ander sterk punt van Splunk ES. Het systeem maakt gebruik van wat Splunk het Adaptive Response Framework (ARF) noemt, dat kan worden geïntegreerd met apparatuur van meer dan 55 beveiligingsleveranciers. De ARF voert een geautomatiseerde respons uit, waardoor handmatige taken worden versneld. Hierdoor krijg je snel de overhand. Voeg daar een eenvoudige en overzichtelijke gebruikersinterface aan toe en je hebt een winnende oplossing. Andere interessante functies zijn de Notables-functie die door de gebruiker aanpasbare waarschuwingen toont en de Asset Investigator voor het markeren van kwaadaardige activiteiten en het voorkomen van verdere problemen.

Splunk ES is echt een enterprise-grade product en het wordt geleverd met een enterprise-sized prijskaartje. U kunt zelfs geen prijsinformatie krijgen van de website van Splunk. U moet contact opnemen met de verkoopafdeling om een ​​prijs te krijgen. Ondanks de prijs is dit een geweldig product en misschien wilt u contact opnemen met Splunk en profiteren van een gratis proefversie.

3. RSA NetWitness

Sinds 20016 richt NetWitness zich op producten die "diep, realtime netwerksituatiebewustzijn en flexibele netwerkreactie" ondersteunen. Na te zijn overgenomen door EMC, dat vervolgens fuseerde met Dell, maakt het Newitness-bedrijf nu deel uit van de RSA-tak van het bedrijf. En dat is goed nieuws RSA is een bekende naam in de beveiliging.

RSA NetWitness is ideaal voor organisaties die op zoek zijn naar een complete oplossing voor netwerkanalyse. De tool bevat informatie over uw bedrijf die helpt bij het prioriteren van waarschuwingen. Volgens RSA verzamelt het systeem "gegevens op meer capture-punten, computerplatforms en bronnen voor bedreigingsinformatie dan andere SIEM-oplossingen". Er is ook geavanceerde detectie van bedreigingen die gedragsanalyse, datawetenschapstechnieken en bedreigingsinformatie combineert. En tot slot beschikt het geavanceerde responssysteem over orkestratie- en automatiseringsmogelijkheden om bedreigingen uit de weg te ruimen voordat ze uw bedrijf beïnvloeden.

Een van de belangrijkste nadelen van RSA NetWitness is dat het niet de gemakkelijkste is om te gebruiken en te configureren. Er is echter uitgebreide documentatie beschikbaar die u kan helpen bij het instellen en gebruiken van het product. Dit is een ander enterprise-grade product en u moet contact opnemen met de verkoop om prijsinformatie te krijgen.

4. ArcSight Enterprise-beveiligingsmanager

ArcSight Enterprise Security Manager helpt bij het identificeren en prioriteren van beveiligingsbedreigingen, het organiseren en volgen van incidentresponsactiviteiten en het vereenvoudigen van audit- en compliance-activiteiten. Voorheen verkocht onder het merk HP, is het nu gefuseerd met Micro Focus, een andere dochteronderneming van HP.

ArcSight bestaat al meer dan vijftien jaar en is een andere immens populaire SIEM-tool. Het verzamelt loggegevens uit verschillende bronnen en voert uitgebreide gegevensanalyses uit, op zoek naar tekenen van kwaadaardige activiteit. Om het gemakkelijk te maken om bedreigingen snel te identificeren, kunt u de real0tme-analyseresultaten bekijken.

Hier is een overzicht van de belangrijkste kenmerken van de producten. Het heeft krachtige gedistribueerde realtime gegevenscorrelatie, workflowautomatisering, beveiligingsorkestratie en community-gestuurde beveiligingsinhoud. De Enterprise Security Manager kan ook worden geïntegreerd met andere ArcSight-producten, zoals het ArcSight Data Platform en Event Broker of ArcSight Investigate. Dit is een ander enterprise-grade product - zoals vrijwel alle hoogwaardige SIEM-tools - waarvoor u contact moet opnemen met het verkoopteam van ArcSight om prijsinformatie te krijgen.

5. McAfee Enterprise Security Manager

McAfee is zeker een andere begrip in de beveiligingsindustrie. Het is echter beter bekend om zijn virusbeschermingsproducten. De Enterprise-beveiligingsmanager is niet alleen software. Het is eigenlijk een apparaat. Je kunt het in virtuele of fysieke vorm krijgen.

Wat de analysemogelijkheden betreft, wordt de McAfee Enterprise Security Manager door velen als een van de beste SIEM-tools beschouwd. Het systeem verzamelt logboeken over een breed scala aan apparaten. Wat betreft de normalisatiemogelijkheden, het is ook top. De correlatie-engine compileert gemakkelijk ongelijksoortige gegevensbronnen, waardoor het gemakkelijker wordt om beveiligingsgebeurtenissen te detecteren wanneer ze zich voordoen

Om waar te zijn, de McAfee-oplossing is meer dan alleen de Enterprise Security Manager. Om een ​​complete SIEM-oplossing te krijgen, heeft u ook de Enterprise Log Manager en Event Receiver nodig. Gelukkig kunnen alle producten in één apparaat worden verpakt. Voor degenen onder u die het product misschien willen proberen voordat u het koopt, is er een gratis proefversie beschikbaar.

6. IBM QRadar

IBM, mogelijk de bekendste naam in de IT-industrie, heeft zijn SIEM-oplossing weten te vestigen, IBM QRadar  is een van de beste producten op de markt. De tool stelt beveiligingsanalisten in staat om anomalieën te detecteren, geavanceerde bedreigingen te ontdekken en valse positieven in realtime te verwijderen.

IBM QRadar beschikt over een reeks functies voor logbeheer, gegevensverzameling, analyse en inbraakdetectie. Samen helpen ze uw netwerkinfrastructuur draaiende te houden. Er zijn ook risicomodelleringsanalyses die potentiële aanvallen kunnen simuleren.

Enkele van de belangrijkste functies van QRadar zijn de mogelijkheid om de oplossing on-premises of in een cloudomgeving te implementeren. Het is een modulaire oplossing en men kan snel en goedkoop meer opslag van verwerkingskracht toevoegen. Het systeem maakt gebruik van intelligentie-expertise van IBM X-Force en kan naadloos worden geïntegreerd met honderden IBM- en niet-IBM-producten.

Omdat IBM IBM is, kunt u een premium prijs verwachten voor hun SIEM-oplossing. Maar als u een van de beste SIEM-tools op de markt nodig heeft, is QRadar wellicht de investering waard.

SIEM-leveranciers: conclusie

Het enige probleem dat u loopt bij het kopen van de beste tool voor Security Information and Event Monitoring (SIEM) is de overvloed aan uitstekende opties.

We hebben zojuist de beste zes geïntroduceerd. Het zijn allemaal uitstekende keuzes .

Welke u kiest, hangt grotendeels af van uw exacte behoeften, uw budget en de tijd die u bereid bent te besteden aan het opzetten ervan. Helaas is de initiële configuratie altijd het moeilijkste deel en dit is waar het mis kan gaan, want als een SIEM-tool niet goed is geconfigureerd, kan deze zijn werk niet goed doen.