Tam jest dżungla! Osoby o złych intencjach są wszędzie i szukają ciebie. Cóż, prawdopodobnie nie ty osobiście, ale raczej twoje dane. To już nie tylko wirusy, przed którymi musimy się chronić, ale wszelkiego rodzaju ataki, które mogą pozostawić Twoją sieć – i Twoją organizację – w tragicznej sytuacji. Z powodu mnożenia się różnych systemów ochrony, takich jak antywirusy, zapory ogniowe i systemy wykrywania włamań, administratorzy sieci są teraz zalewani informacjami, które muszą skorelować, próbując je zrozumieć.
Tutaj przydają się systemy zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) . Wykonują większość makabrycznych prac związanych ze zbyt dużą ilością informacji. Aby ułatwić Ci wybór SIEM, przedstawiamy najlepsze narzędzia do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM).
Dzisiaj zaczynamy naszą analizę od omówienia współczesnej sceny zagrożeń. Jak powiedzieliśmy, to już nie tylko wirusy. Następnie postaramy się lepiej wyjaśnić, czym dokładnie jest SIEM i porozmawiać o różnych komponentach, które składają się na system SIEM. Niektóre z nich mogą być ważniejsze niż inne, ale ich względne znaczenie może być różne dla różnych osób. Na koniec przedstawimy nasz wybór sześciu najlepszych narzędzi do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) i krótko przejrzymy każde z nich.
Współczesna scena zagrożenia
Bezpieczeństwo komputera kiedyś dotyczyło tylko ochrony przed wirusami. Jednak w ostatnich latach odkryto kilka różnych rodzajów ataków. Mogą przybierać formę ataków typu „odmowa usługi” (DoS), kradzieży danych i wielu innych. I nie przychodzą już tylko z zewnątrz. Wiele ataków pochodzi z sieci. Tak więc, aby zapewnić najwyższą ochronę, wynaleziono różne rodzaje systemów ochronnych. Oprócz tradycyjnego oprogramowania antywirusowego i zapory sieciowej mamy teraz na przykład systemy wykrywania włamań i zapobiegania utracie danych (IDS i DLP).
Oczywiście im więcej dodajesz systemy, tym więcej pracy masz nad zarządzaniem nimi. Każdy system monitoruje określone parametry pod kątem nieprawidłowości i będzie je rejestrować i/lub wyzwalać alerty, gdy zostaną wykryte. Czy nie byłoby miło, gdyby monitorowanie wszystkich tych systemów można było zautomatyzować? Co więcej, niektóre rodzaje ataków mogą być wykrywane przez kilka systemów, gdy przechodzą przez różne etapy. Czy nie byłoby o wiele lepiej, gdybyś mógł odpowiedzieć na wszystkie powiązane wydarzenia jako jedno? Cóż, właśnie o to chodzi w SIEM.
Czym dokładnie jest SIEM?
Nazwa mówi wszystko. Informacje o bezpieczeństwie i zarządzanie zdarzeniami to proces zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa. Konkretnie, system SIEM nie zapewnia żadnej ochrony. Jego głównym celem jest ułatwienie życia administratorom sieci i bezpieczeństwa. To, co naprawdę robi typowy system SIEM, to zbieranie informacji z różnych systemów ochrony i wykrywania, korelowanie wszystkich tych informacji, gromadzenie powiązanych zdarzeń i reagowanie na istotne zdarzenia na różne sposoby. Często systemy SIEM zawierają również jakąś formę raportowania i dashboardów.
Niezbędne składniki rozwiązania SIEM
Za chwilę zbadamy bardziej szczegółowo każdy główny element systemu SIEM. Nie każdy system SIEM zawiera wszystkie te komponenty, a nawet jeśli tak, mogą mieć różne funkcjonalności. Są to jednak najbardziej podstawowe komponenty, które zwykle można znaleźć, w takiej czy innej formie, w dowolnym systemie SIEM.
Zbieranie i zarządzanie dziennikami
Zbieranie i zarządzanie dziennikami jest głównym elementem wszystkich systemów SIEM. Bez tego nie ma SIEM. System SIEM musi pozyskiwać dane dziennika z wielu różnych źródeł. Może go albo wyciągnąć, albo różne systemy wykrywania i ochrony mogą przekazać go do SIEM. Ponieważ każdy system ma swój własny sposób kategoryzowania i rejestrowania danych, do SIEM należy normalizacja danych i ich ujednolicenie, bez względu na ich źródło.
Po normalizacji zarejestrowane dane będą często porównywane ze znanymi wzorcami ataków w celu jak najwcześniejszego rozpoznania złośliwego zachowania. Dane będą również często porównywane z wcześniej zebranymi danymi, aby pomóc w zbudowaniu punktu odniesienia, który dodatkowo poprawi wykrywanie nieprawidłowej aktywności.
Odpowiedź na zdarzenie
Po wykryciu zdarzenia należy coś z tym zrobić. Na tym właśnie polega moduł reagowania na zdarzenia systemu SIEM. Reakcja na zdarzenie może przybierać różne formy. W najbardziej podstawowej implementacji na konsoli systemu zostanie wygenerowany komunikat ostrzegawczy. Często można również generować alerty e-mail lub SMS.
Ale najlepsze systemy SIEM idą o krok dalej i często inicjują jakiś proces naprawczy. Znowu jest to coś, co może przybierać różne formy. Najlepsze systemy mają kompletny system przepływu pracy z odpowiedziami na incydenty, który można dostosować, aby zapewnić dokładnie taką odpowiedź, jakiej oczekujesz. Jak można się spodziewać, reakcja na incydent nie musi być jednolita, a różne zdarzenia mogą uruchamiać różne procesy. Najlepsze systemy zapewnią Ci pełną kontrolę nad przebiegiem reakcji na incydenty.
Raportowanie
Po utworzeniu systemów zbierania i zarządzania dziennikami oraz systemów reagowania następnym elementem, którego potrzebujesz, jest raportowanie. Być może jeszcze tego nie wiesz, ale będziesz potrzebować raportów. Wyższe kierownictwo będzie musiało przekonać się, że inwestycja w system SIEM się opłaca. Możesz również potrzebować raportów do celów zgodności. Zgodność ze standardami, takimi jak PCI DSS, HIPAA lub SOX, może być ułatwiona, gdy system SIEM może generować raporty zgodności.
Raporty mogą nie być rdzeniem systemu SIEM, ale nadal są jednym z podstawowych elementów. I często raportowanie będzie głównym czynnikiem różnicującym konkurencyjne systemy. Raporty są jak cukierki, nigdy nie można mieć ich za dużo. I oczywiście najlepsze systemy pozwolą Ci tworzyć niestandardowe raporty.
Pulpit(y)
Wreszcie pulpit nawigacyjny będzie Twoim oknem na status Twojego systemu SIEM. I może być nawet wiele pulpitów nawigacyjnych. Ponieważ różni ludzie mają różne priorytety i zainteresowania, idealny pulpit nawigacyjny dla administratora sieci będzie inny niż dla administratora bezpieczeństwa. A dyrektor będzie potrzebował też zupełnie innego.
Chociaż nie możemy ocenić systemu SIEM na podstawie liczby posiadanych pulpitów nawigacyjnych, musisz wybrać taki, który zawiera wszystkie potrzebne pulpity nawigacyjne. Jest to zdecydowanie coś, o czym warto pamiętać, oceniając dostawców. I podobnie jak w przypadku raportów, najlepsze systemy pozwolą Ci zbudować spersonalizowane dashboardy według własnych upodobań.
6 naszych najlepszych narzędzi SIEM
Istnieje wiele systemów SIEM. O wiele za dużo, żeby móc je wszystkie tutaj przejrzeć. Przeszukaliśmy więc rynek, porównaliśmy systemy i stworzyliśmy listę sześciu najlepszych narzędzi do zarządzania informacjami i zabezpieczeniami (SIEM). Podajemy je w kolejności preferencji i krótko przejrzymy każdy z nich. Ale pomimo ich kolejności, wszystkie sześć to doskonałe systemy, które możemy tylko polecić samemu.
Oto, jakie są nasze 6 najlepszych narzędzi SIEM:
1. SolarWinds Log & Event Manager (BEZPŁATNY 30-DNIOWY PRÓBNY)
SolarWinds to popularna nazwa w świecie monitorowania sieci. Ich flagowy produkt, Network Performance Monitor, jest jednym z najlepszych dostępnych narzędzi do monitorowania SNMP. Firma znana jest również z licznych bezpłatnych narzędzi, takich jak Kalkulator podsieci lub serwer SFTP.
Narzędzie SIEM SolarWinds, Log and Event Manager (LEM), najlepiej opisać jako system SIEM na poziomie podstawowym. Ale jest to prawdopodobnie jeden z najbardziej konkurencyjnych systemów klasy podstawowej na rynku. SolarWinds LEM ma wszystko, czego można oczekiwać od systemu SIEM. Ma doskonałe funkcje zarządzania i korelacji oraz imponujący silnik raportowania.
Jeśli chodzi o funkcje reagowania na zdarzenia, nie pozostawiają one nic do życzenia. Szczegółowy system reagowania w czasie rzeczywistym będzie aktywnie reagował na każde zagrożenie. A ponieważ opiera się na zachowaniu, a nie na sygnaturze, jesteś chroniony przed nieznanymi lub przyszłymi zagrożeniami.
Ale pulpit nawigacyjny narzędzia jest prawdopodobnie jego największym atutem. Dzięki prostemu projektowi nie będziesz mieć problemów z szybką identyfikacją anomalii. Narzędzie jest bardziej niż przystępne cenowo, zaczynając od około 4500 USD. A jeśli chcesz najpierw wypróbować, bezpłatna, w pełni funkcjonalna 30-dniowa wersja próbna jest dostępna do pobrania.
Oficjalny link do pobrania: https://www.solarwinds.com/log-event-manager-software
2. Bezpieczeństwo korporacyjne Splunk
Prawdopodobnie jeden z najpopularniejszych systemów SIEM, Splunk Enterprise Security – lub Splunk ES, jak go często nazywa się – jest szczególnie znany ze swoich możliwości analitycznych. Splunk ES monitoruje dane systemu w czasie rzeczywistym, szukając luk w zabezpieczeniach i oznak nieprawidłowej aktywności.
Reakcja bezpieczeństwa to kolejna mocna strona Splunk ES. System wykorzystuje to, co Splunk nazywa Adaptive Response Framework (ARF), który integruje się ze sprzętem od ponad 55 dostawców zabezpieczeń. ARF wykonuje automatyczną reakcję, przyspieszając zadania ręczne. Dzięki temu szybko uzyskasz przewagę. Dodaj do tego prosty i przejrzysty interfejs użytkownika, a otrzymasz zwycięskie rozwiązanie. Inne interesujące funkcje obejmują funkcję Notables, która wyświetla alerty, które można dostosować do własnych potrzeb, oraz Asset Investigator do oznaczania złośliwych działań i zapobiegania dalszym problemom.
Splunk ES to naprawdę produkt klasy korporacyjnej, który jest dostępny w cenie korporacyjnej. Nie możesz nawet uzyskać informacji o cenach ze strony internetowej Splunk. Aby uzyskać wycenę, musisz skontaktować się z działem sprzedaży. Pomimo swojej ceny jest to świetny produkt i możesz chcieć skontaktować się ze Splunk i skorzystać z bezpłatnego okresu próbnego.
3. Świadek sieci RSA
Od 2001 r. firma NetWitness skoncentrowała się na produktach wspierających „głęboką świadomość sytuacyjną sieci w czasie rzeczywistym i sprawną reakcję sieciową”. Po przejęciu przez EMC, które następnie połączyło się z Dell, firma Newitness jest teraz częścią oddziału korporacji RSA. I to jest dobra wiadomość, RSA to znana nazwa w dziedzinie bezpieczeństwa.
RSA NetWitness jest idealnym rozwiązaniem dla organizacji poszukujących kompletnego rozwiązania do analizy sieci. Narzędzie zawiera informacje o Twojej firmie, co pomaga ustalać priorytety alertów. Według RSA system „zbiera dane z większej liczby punktów przechwytywania, platform obliczeniowych i źródeł analizy zagrożeń niż inne rozwiązania SIEM”. Istnieje również zaawansowana funkcja wykrywania zagrożeń, która łączy analizę behawioralną, techniki nauki o danych i analizę zagrożeń. I wreszcie, zaawansowany system reagowania oferuje funkcje orkiestracji i automatyzacji, które pomagają pozbyć się zagrożeń, zanim wpłyną one na Twoją firmę.
Jedną z głównych wad RSA NetWitness jest to, że nie jest najłatwiejsza w użyciu i konfiguracji. Dostępna jest jednak obszerna dokumentacja, która może pomóc w konfiguracji i użytkowaniu produktu. Jest to kolejny produkt klasy korporacyjnej i musisz skontaktować się z działem sprzedaży, aby uzyskać informacje o cenach.
4. ArcSight Enterprise Security Manager
ArcSight Enterprise Security Manager pomaga identyfikować i ustalać priorytety zagrożeń bezpieczeństwa, organizować i śledzić działania związane z reagowaniem na incydenty oraz upraszczać działania związane z audytem i zgodnością. Wcześniej sprzedawany pod marką HP, teraz połączył się z Micro Focus, inną filią HP.
Istniejący od ponad piętnastu lat ArcSight jest kolejnym niezwykle popularnym narzędziem SIEM. Kompiluje dane z dzienników z różnych źródeł i przeprowadza obszerną analizę danych w poszukiwaniu oznak szkodliwej aktywności. Aby ułatwić szybką identyfikację zagrożeń, możesz wyświetlić wyniki analizy real0tme.
Oto zestawienie głównych cech produktów. Oferuje zaawansowaną, rozproszoną korelację danych w czasie rzeczywistym, automatyzację przepływu pracy, orkiestrację bezpieczeństwa i zawartość zabezpieczającą opartą na społeczności. Enterprise Security Manager integruje się również z innymi produktami ArcSight, takimi jak ArcSight Data Platform i Event Broker lub ArcSight Investigate. Jest to kolejny produkt klasy korporacyjnej – podobnie jak prawie wszystkie wysokiej jakości narzędzia SIEM – który będzie wymagał skontaktowania się z zespołem sprzedaży ArcSight w celu uzyskania informacji o cenach.
5. McAfee Enterprise Security Manager
McAfee to z pewnością kolejna znana marka w branży zabezpieczeń. Jest jednak lepiej znany ze swoich produktów chroniących przed wirusami. Menedżer bezpieczeństwa Przedsiębiorstwo to nie tylko oprogramowanie. To właściwie urządzenie. Możesz go zdobyć w formie wirtualnej lub fizycznej.
Pod względem możliwości analitycznych McAfee Enterprise Security Manager jest przez wielu uważany za jedno z najlepszych narzędzi SIEM. System gromadzi logi z szerokiej gamy urządzeń. Jeśli chodzi o jego możliwości normalizacyjne, to również jest na najwyższym poziomie. Silnik korelacji z łatwością kompiluje różne źródła danych, ułatwiając wykrywanie zdarzeń związanych z bezpieczeństwem w miarę ich występowania
Prawdę mówiąc, rozwiązanie McAfee to coś więcej niż tylko jego Enterprise Security Manager. Aby uzyskać kompletne rozwiązanie SIEM, potrzebujesz również Enterprise Log Manager i Event Receiver. Na szczęście wszystkie produkty można zapakować w jednym urządzeniu. Dla tych z Was, którzy mogą chcieć wypróbować produkt przed jego zakupem, dostępna jest bezpłatna wersja próbna.
6. IBM QRadar
IBM, prawdopodobnie najbardziej znana marka w branży IT, zdołała stworzyć swoje rozwiązanie SIEM, IBM QRadar to jeden z najlepszych produktów na rynku. Narzędzie umożliwia analitykom bezpieczeństwa wykrywanie anomalii, odkrywanie zaawansowanych zagrożeń i usuwanie fałszywych alarmów w czasie rzeczywistym.
IBM QRadar oferuje zestaw funkcji zarządzania dziennikami, gromadzenia danych, analiz i wykrywania włamań. Razem pomagają w utrzymaniu i działaniu infrastruktury sieciowej. Istnieje również analityka modelowania ryzyka, która może symulować potencjalne ataki.
Niektóre z kluczowych funkcji QRadar obejmują możliwość wdrożenia rozwiązania lokalnie lub w środowisku chmury. Jest to rozwiązanie modułowe i można szybko i niedrogo zwiększyć magazynowanie mocy obliczeniowej. System korzysta z wiedzy specjalistycznej IBM X-Force i bezproblemowo integruje się z setkami produktów IBM i innych producentów.
IBM będąc IBM, możesz spodziewać się wyższej ceny za swoje rozwiązanie SIEM. Ale jeśli potrzebujesz jednego z najlepszych narzędzi SIEM na rynku, QRadar może być wart zainwestowania.
Sprzedawcy SIEM: Wniosek
Jedynym problemem, jaki możesz napotkać przy zakupie najlepszego narzędzia do monitorowania informacji o zabezpieczeniach i zdarzeniach (SIEM), jest mnogość doskonałych opcji.
Właśnie przedstawiliśmy sześć najlepszych. Wszystkie są doskonałym wyborem .
Ten, który wybierzesz, będzie w dużej mierze zależeć od Twoich dokładnych potrzeb, budżetu i czasu, który chcesz poświęcić na jego skonfigurowanie. Niestety, początkowa konfiguracja jest zawsze najtrudniejszą częścią i tutaj coś może pójść nie tak, ponieważ jeśli narzędzie SIEM nie jest odpowiednio skonfigurowane, nie będzie w stanie poprawnie wykonać swojej pracy.
Rynek oprogramowania do zarządzania siecią jest bardzo zatłoczony. Skróć wyszukiwanie, postępując zgodnie z naszymi zaleceniami dotyczącymi najlepszych narzędzi do zarządzania siecią.
Ping sweeps można wykorzystać na wiele sposobów. Czytaj dalej, gdy omawiamy, jak i przedstawiamy 10 najlepszych narzędzi do wyszukiwania pingów, jakie możesz znaleźć.
Strony internetowe są ważne i muszą być stale ściśle monitorowane pod kątem odpowiedniej wydajności. Oto niektóre z najlepszych narzędzi do monitorowania stron internetowych.
Oto spojrzenie na niektóre z najlepszych narzędzi do wdrażania oprogramowania, które ułatwiają zarządzanie dowolną liczbą komputerów
sFlow to protokół analizy przepływu wbudowany w wiele urządzeń sieciowych. Oceniamy pięć najlepszych darmowych kolektorów i analizatorów sFlow.
Aby pomóc Ci wybrać właściwe, wprowadziliśmy najlepsze narzędzia do monitorowania infrastruktury bez agentów i zapewniliśmy szybki przegląd każdego z nich.
Bezpieczeństwo poczty e-mail jest ważnym zadaniem dostawców usług zarządzanych. Dokonaliśmy przeglądu SolarWinds Mail Assure, jednego z najlepszych narzędzi do tego celu.
Jeśli jesteś zaawansowanym użytkownikiem systemu Windows, prawdopodobnie wiesz i rozumiesz, jak wykonywanie różnych operacji na komputerze może mieć więcej niż jedno podejście i
Opóźnienie wydaje się być wrogiem numer jeden sieci. Te narzędzia do pomiaru opóźnień nauczą, jak testować opóźnienia w celu wykrywania, lokalizowania i rozwiązywania problemów.
Monitor sieci Windows wymaga narzędzi o ograniczonych wymaganiach. Dzisiaj przyjrzeliśmy się najlepszym narzędziom do monitorowania sieci dla systemu Windows 10.
