6 Melhores ferramentas e software de SIEM em 2021 - Principais fornecedores de soluções de SIEM

É uma selva lá fora! Indivíduos mal-intencionados estão por toda parte e estão atrás de você. Bem, provavelmente não você pessoalmente, mas sim seus dados. Não é mais apenas contra vírus que temos que nos proteger, mas contra todos os tipos de ataques que podem deixar sua rede - e sua organização - em uma situação terrível. Devido à proliferação de vários sistemas de proteção, como antivírus, firewalls e sistemas de detecção de intrusão, os administradores de rede agora são inundados com informações que precisam correlacionar, tentando entendê-las.

É aqui que os sistemas de gerenciamento de eventos e informações de segurança (SIEM) são úteis. Eles lidam com a maior parte do trabalho horrível de lidar com informações demais. Para facilitar o seu trabalho de seleção de um SIEM, estamos apresentando as melhores ferramentas de gerenciamento de segurança de informações e eventos (SIEM).

Hoje, começamos nossa análise discutindo o cenário moderno de ameaças. Como dissemos, não são mais apenas vírus. Em seguida, tentaremos explicar melhor o que é exatamente SIEM e falar sobre os diferentes componentes que compõem um sistema SIEM. Alguns deles podem ser mais importantes do que outros, mas sua importância relativa pode ser diferente para pessoas diferentes. E, por fim, apresentaremos nossa escolha das seis melhores ferramentas de gerenciamento de informações e eventos de segurança (SIEM) e faremos uma breve revisão de cada uma.

O cenário moderno de ameaças

A segurança do computador costumava ser apenas proteção contra vírus. Mas, nos últimos anos, vários tipos diferentes de ataques foram descobertos. Eles podem assumir a forma de ataques de negação de serviço (DoS), roubo de dados e muito mais. E eles não vêm mais apenas de fora. Muitos ataques se originam de dentro de uma rede. Portanto, para a proteção final, vários tipos de sistemas de proteção foram inventados. Além do antivírus e firewall tradicionais, agora temos sistemas de Detecção de Intrusão e Prevenção de Perda de Dados (IDS e DLP), por exemplo.

É claro que quanto mais você adiciona sistemas, mais trabalho você tem para gerenciá-los. Cada sistema monitora alguns parâmetros específicos quanto a anormalidades e irá registrá-los e / ou disparar alertas quando forem descobertos. Não seria bom se o monitoramento de todos esses sistemas pudesse ser automatizado? Além disso, alguns tipos de ataques podem ser detectados por vários sistemas à medida que passam por diferentes estágios. Não seria muito melhor se você pudesse responder a todos os eventos relacionados como um só? Bem, isso é exatamente o que o SIEM tem a ver.

O que é SIEM, exatamente?

O nome diz tudo. Gerenciamento de informações e eventos de segurança é o processo de gerenciamento de eventos e informações de segurança. Concretamente, um sistema SIEM não oferece nenhuma proteção. Seu objetivo principal é facilitar a vida dos administradores de rede e segurança. O que um sistema SIEM típico realmente faz é coletar informações de vários sistemas de proteção e detecção, correlacionar todas essas informações reunindo eventos relacionados e reagir a eventos significativos de várias maneiras. Freqüentemente, os sistemas SIEM também incluem alguma forma de relatórios e painéis.

Os componentes essenciais de uma solução SIEM

Estamos prestes a explorar em detalhes cada componente principal de um sistema SIEM. Nem todos os sistemas SIEM incluem todos esses componentes e, mesmo quando o fazem, podem ter funcionalidades diferentes. No entanto, eles são os componentes mais básicos que normalmente se encontram, de uma forma ou de outra, em qualquer sistema SIEM.

Coleta e gerenciamento de toras

A coleta e o gerenciamento de logs são o principal componente de todos os sistemas SIEM. Sem ele, não há SIEM. O sistema SIEM deve adquirir dados de registro de uma variedade de fontes diferentes. Ele pode puxá-lo ou diferentes sistemas de detecção e proteção podem empurrá-lo para o SIEM. Como cada sistema possui sua própria forma de categorizar e registrar os dados, cabe ao SIEM normalizá-los e uniformizá-los, seja qual for sua origem.

Após a normalização, os dados registrados serão frequentemente comparados a padrões de ataque conhecidos em uma tentativa de reconhecer o comportamento malicioso o mais cedo possível. Os dados também serão frequentemente comparados aos dados coletados anteriormente para ajudar a construir uma linha de base que aumentará ainda mais a detecção de atividades anormais.

Resposta ao Evento

Depois que um evento é detectado, algo deve ser feito a respeito. É disso que se trata o módulo de resposta a eventos do sistema SIEM. A resposta do evento pode assumir diferentes formas. Em sua implementação mais básica, uma mensagem de alerta será gerada no console do sistema. Freqüentemente, alertas de e-mail ou SMS também podem ser gerados.

Mas os melhores sistemas SIEM vão um passo além e freqüentemente iniciarão algum processo de remediação. Novamente, isso é algo que pode assumir muitas formas. Os melhores sistemas têm um sistema de fluxo de trabalho de resposta a incidentes completo que pode ser personalizado para fornecer exatamente a resposta que você deseja. E, como seria de se esperar, a resposta a incidentes não precisa ser uniforme e eventos diferentes podem acionar processos diferentes. Os melhores sistemas darão a você controle total sobre o fluxo de trabalho de resposta a incidentes.

Comunicando

Depois de ter a coleta e gerenciamento de log e os sistemas de resposta em vigor, o próximo bloco de construção de que você precisa é o relatório. Você pode não saber ainda, mas precisará de relatórios. A alta administração precisará que eles vejam por si mesmos que seu investimento em um sistema SIEM está valendo a pena. Você também pode precisar de relatórios para fins de conformidade. A conformidade com padrões como PCI DSS, HIPAA ou SOX pode ser facilitada quando seu sistema SIEM pode gerar relatórios de conformidade.

Os relatórios podem não estar no centro de um sistema SIEM, mas ainda assim, é um componente essencial. E, muitas vezes, o relatório será um importante fator de diferenciação entre os sistemas concorrentes. Relatórios são como doces, você nunca pode ter muitos. E, claro, os melhores sistemas permitem criar relatórios personalizados.

Dashboard (s)

Por último, mas não menos importante, o painel será sua janela para o status do seu sistema SIEM. E pode até haver vários painéis. Como pessoas diferentes têm prioridades e interesses diferentes, o painel perfeito para um administrador de rede será diferente daquele de um administrador de segurança. E um executivo também precisará de um completamente diferente.

Embora não possamos avaliar um sistema SIEM pelo número de painéis que possui, você precisa escolher um que tenha todos os painéis de que você precisa. Definitivamente, isso é algo que você deseja manter em mente ao avaliar os fornecedores. E, assim como acontece com os relatórios, os melhores sistemas permitem que você crie painéis personalizados de acordo com sua preferência.

Nossas 6 principais ferramentas SIEM

Existem muitos sistemas SIEM por aí. Muitos, na verdade, para poder revisá-los todos aqui. Portanto, pesquisamos o mercado, comparamos sistemas e criamos uma lista do que consideramos as seis melhores ferramentas de gerenciamento e informações de segurança (SIEM). Estamos listando-os em ordem de preferência e revisaremos rapidamente cada um. Mas, apesar de seu pedido, todos os seis são sistemas excelentes que só podemos recomendar que você experimente por si mesmo.

Estas são as nossas 6 principais ferramentas de SIEM:

1. SolarWinds Log & Event Manager
2. Splunk Enterprise Security
3. RSA NetWitness
4. ArcSight Enterprise Security Manager
5. McAfee Enterprise Security Manager
6. IBM QRadar SIEM

1.  SolarWinds Log & Event Manager (AVALIAÇÃO GRATUITA DE 30 DIAS)

SolarWinds é um nome comum no mundo do monitoramento de rede. Seu principal produto, o Network Performance Monitor é uma das melhores ferramentas de monitoramento SNMP disponíveis. A empresa também é conhecida por suas inúmeras ferramentas gratuitas, como a Calculadora de sub-rede ou o servidor SFTP.

A ferramenta SIEM da SolarWinds, o Log and Event Manager (LEM), é melhor descrita como um sistema SIEM básico. Mas é possivelmente um dos sistemas básicos mais competitivos do mercado. O SolarWinds LEM tem tudo o que você pode esperar de um sistema SIEM. Possui excelentes recursos de gerenciamento e correlação longos e um mecanismo de relatório impressionante.

Quanto aos recursos de resposta a eventos da ferramenta, eles não deixam nada a desejar. O sistema de resposta detalhado em tempo real reagirá ativamente a todas as ameaças. E como é baseado no comportamento e não na assinatura, você está protegido contra ameaças desconhecidas ou futuras.

Mas o painel da ferramenta é possivelmente seu melhor ativo. Com um design simples, você não terá problemas para identificar anomalias rapidamente. A partir de cerca de US $ 4.500, a ferramenta é mais do que acessível. E se você quiser experimentá-lo primeiro, uma versão de avaliação gratuita e totalmente funcional por 30 dias está disponível para download.

Link oficial para download:  https://www.solarwinds.com/log-event-manager-software

2. Splunk Enterprise Security

Possivelmente um dos sistemas SIEM mais populares, Splunk Enterprise Security - ou Splunk ES, como é freqüentemente chamado - é particularmente famoso por seus recursos analíticos. O Splunk ES monitora os dados do seu sistema em tempo real, procurando vulnerabilidades e sinais de atividade anormal.

A resposta de segurança é outro dos pontos fortes do Splunk ES. O sistema usa o que o Splunk chama de Adaptive Response Framework (ARF), que se integra a equipamentos de mais de 55 fornecedores de segurança. O ARF realiza resposta automatizada, agilizando tarefas manuais. Isso permitirá que você obtenha vantagem rapidamente. Adicione a isso uma interface de usuário simples e organizada e você terá uma solução vencedora. Outros recursos interessantes incluem a função Notables, que mostra alertas personalizáveis ​​pelo usuário, e o Asset Investigator para sinalizar atividades maliciosas e prevenir problemas futuros.

Splunk ES é realmente um produto de nível empresarial e vem com uma etiqueta de preço de tamanho empresarial. Você não consegue nem mesmo obter informações sobre preços no site do Splunk. Você precisa entrar em contato com o departamento de vendas para obter um preço. Apesar do preço, este é um ótimo produto e você pode entrar em contato com o Splunk e aproveitar uma avaliação gratuita.

3. RSA NetWitness

Desde 20016, a NetWitness tem se concentrado em produtos que oferecem suporte a “consciência situacional de rede profunda e em tempo real e resposta ágil de rede”. Depois de ser adquirido pela EMC, que então se fundiu com a Dell, o negócio Newitness agora faz parte da filial RSA da corporação. E essa é uma boa notícia RSA é um nome famoso em segurança.

RSA NetWitness é ideal para organizações que buscam uma solução completa de análise de rede. A ferramenta incorpora informações sobre o seu negócio, o que ajuda a priorizar alertas. De acordo com a RSA, o sistema “coleta dados em mais pontos de captura, plataformas de computação e fontes de inteligência de ameaças do que outras soluções SIEM”. Também há detecção avançada de ameaças que combina análise comportamental, técnicas de ciência de dados e inteligência de ameaças. E, finalmente, o sistema de resposta avançado oferece recursos de orquestração e automação para ajudar a eliminar as ameaças antes que afetem seus negócios.

Uma das principais desvantagens do RSA NetWitness é que ele não é o mais fácil de usar e configurar. No entanto, existe uma documentação abrangente disponível que pode ajudá-lo a configurar e usar o produto. Este é outro produto de nível empresarial e você precisará entrar em contato com o departamento de vendas para obter informações sobre preços.

4. ArcSight Enterprise Security Manager

O ArcSight Enterprise Security Manager ajuda a identificar e priorizar ameaças à segurança, organizar e rastrear atividades de resposta a incidentes e simplificar atividades de auditoria e conformidade. Anteriormente vendido sob a marca HP, agora se fundiu com a Micro Focus, outra subsidiária da HP.

Com mais de quinze anos de existência, o ArcSight é outra ferramenta SIEM imensamente popular. Ele compila dados de registro de várias fontes e executa análises de dados extensas, procurando por sinais de atividade maliciosa. Para facilitar a identificação rápida de ameaças, você pode visualizar os resultados da análise real0tme.

Aqui está um resumo das principais características do produto. Ele possui correlação de dados em tempo real distribuída poderosa, automação de fluxo de trabalho, orquestração de segurança e conteúdo de segurança orientado pela comunidade. O Enterprise Security Manager também se integra a outros produtos ArcSight, como ArcSight Data Platform e Event Broker ou ArcSight Investigate. Este é outro produto de nível empresarial - como quase todas as ferramentas SIEM de qualidade - que exigirá que você entre em contato com a equipe de vendas da ArcSight para obter informações sobre preços.

5. McAfee Enterprise Security Manager

McAfee é certamente outro nome conhecido no setor de segurança. No entanto, é mais conhecido por seus produtos de proteção contra vírus. O gerenciador de segurança empresarial não é apenas software. Na verdade, é um eletrodoméstico. Você pode obtê-lo na forma virtual ou física.

Em termos de recursos analíticos, o McAfee Enterprise Security Manager é considerado por muitos uma das melhores ferramentas de SIEM. O sistema coleta registros em uma ampla gama de dispositivos. Quanto às suas capacidades de normalização, também é excelente. O mecanismo de correlação compila facilmente fontes de dados díspares, tornando mais fácil detectar eventos de segurança conforme eles acontecem

Para ser verdade, a solução McAfee vai muito além do seu Enterprise Security Manager. Para obter uma solução SIEM completa, você também precisa do Enterprise Log Manager e do Event Receiver. Felizmente, todos os produtos podem ser embalados em um único aparelho. Para aqueles que desejam experimentar o produto antes de comprá-lo, uma versão de teste gratuita está disponível.

6. IBM QRadar

IBM, possivelmente o nome mais conhecido no segmento  de mercado de TI, conseguiu estabelecer sua solução SIEM, IBM QRadar é um dos melhores produtos do mercado. A ferramenta capacita os analistas de segurança a detectar anomalias, descobrir ameaças avançadas e remover falsos positivos em tempo real.

O IBM QRadar possui um conjunto de recursos de gerenciamento de log, coleta de dados, análise e detecção de intrusão. Juntos, eles ajudam a manter sua infraestrutura de rede em funcionamento. Também há análises de modelagem de risco que podem simular ataques em potencial.

Alguns dos principais recursos do QRadar incluem a capacidade de implementar a solução no local ou em um ambiente de nuvem. É uma solução modular e pode-se adicionar mais armazenamento de capacidade de processamento de forma rápida e econômica. O sistema usa experiência em inteligência da IBM X-Force e se integra perfeitamente a centenas de produtos IBM e não IBM.

IBM sendo IBM, você pode esperar pagar um preço premium por sua solução SIEM. Mas se você precisar de uma das melhores ferramentas SIEM do mercado, o QRadar pode muito bem valer a pena o investimento.

Fornecedores SIEM: Conclusão

O único problema que você corre o risco de ter ao comprar a melhor ferramenta de monitoramento de informações e eventos de segurança (SIEM) é a abundância de opções excelentes.

Acabamos de apresentar os seis melhores. Todos eles são escolhas excelentes .

O que você escolherá dependerá muito de suas necessidades exatas, de seu orçamento e do tempo que você deseja dedicar a configurá-lo. Infelizmente, a configuração inicial é sempre a parte mais difícil e é aqui que as coisas podem dar errado, pois se uma ferramenta SIEM não estiver configurada corretamente, ela não será capaz de fazer seu trabalho corretamente.