2021de En İyi 6 ITIL Güvenlik Yönetim Aracı

ITIL, BT hizmet yönetimi için nispeten yaygın ve çok kapsamlı bir çerçevedir. Aslen Birleşik Krallık'tan gelen ve hem devlete hem de özel işletmelere hizmet etmek üzere tasarlanmış olup, yüksek düzeyde yapılandırılmış süreçler, öneriler ve uygulamalar kümesidir. Güvenlik yönetimi, bunun birçok yönünden birinden başka bir şey olmamakla birlikte, birkaç özel alana ayrılmıştır. Ancak güvenlik çok önemli bir konu olduğu için - özellikle modern tehdit ortamını ve kuruluşların nasıl sürekli olarak vicdansız bilgisayar korsanları tarafından hedef alındığını düşünürken - en iyi ITIL güvenlik yönetimi araçlarından bazılarına göz atmaya karar verdik.

ITIL güvenlik yönetiminin özel alanına geçmeden önce ITIL'in ne olduğunu daha ayrıntılı bir şekilde açıklayarak başlayacağız. Daha sonra, Güvenlik Bilgileri ve Olay Yönetimi kavramını tanıtacağız, nelerden oluştuğunu açıklayacağız ve ITIL güvenlik yönetimi ile nasıl ilişkilendirilebileceğini açıklayacağız. Sonunda ilginç kısma geleceğiz ve her aracın en iyi özelliklerini ve işlevselliğini açıklayan en iyi ITIL güvenlik yönetim araçlarından bazılarının hızlı bir incelemesini sunacağız.

Kısaca ITIL

Eskiden Bilgi Teknolojisi Altyapı Kütüphanesi anlamına gelen ITIL, 80'li yıllarda Birleşik Krallık Hükümeti Merkezi Bilgisayar ve Telekomünikasyon Kurumu'nun (CCTA) hükümette BT hizmet yönetimi için bir dizi tavsiye ve standart uygulama geliştirme çabası olarak başladı. özel sektör de öyle. Her biri BT hizmet yönetimi içindeki belirli bir uygulamayı kapsayan bir kitap koleksiyonu olarak ortaya çıktı ve operasyonların kontrol edilmesi ve yönetilmesine ilişkin süreç modeline dayalı bir görüş etrafında inşa edildi.

Başlangıçta 30'dan fazla ciltten oluşuyordu, daha sonra biraz basitleştirildi ve hizmetler gruplandırılarak cilt sayısı 5'e düşürüldü. Hâlâ sürekli evrim halindedir ve en son sürümün Foundation kitabı geçtiğimiz Şubat ayında yayınlandı, ITIL BT hizmet yönetiminin çeşitli unsurlarını gruplandırıyor. ITIL Güvenlik Yönetiminin pek çoğundan sadece biri olduğu uygulamalara dönüştürülür.

ITIL Güvenlik Yönetimi Hakkında

Güvenlik Yönetimi ITIL sürecine gelince, “yönetim organizasyonunda bilgi güvenliğinin yapılandırılmış uyumunu tanımlar”. Büyük ölçüde, şu anda ISO/IEC 27001 olarak bilinen bilgi güvenliği yönetim sistemi (BGYS) uygulama esasına dayanmaktadır.

Güvenlik yönetiminin temel amacı, açıkçası, yeterli bilgi güvenliğini sağlamaktır. Buna karşılık, bilgi güvenliğinin birincil amacı, bilgi varlıklarını risklere karşı korumak ve böylece kuruluş için değerini korumaktır. Tipik olarak, bu, gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamanın yanı sıra özgünlük, hesap verebilirlik, reddedilemezlik ve güvenilirlik gibi ilgili özellikler veya hedeflerle ifade edilir.

Güvenlik yönetiminin iki temel yönü vardır. Birincisi ve en önemlisi, hizmet düzeyi anlaşmaları (SLA) içinde tanımlanabilecek güvenlik gereksinimleri veya sözleşmelerde, mevzuatta ve ayrıca iç veya dış politikalarda belirtilen diğer gereksinimlerdir. İkinci yönü, yönetim ve hizmet sürekliliğini garanti eden basit bir temel güvenliktir. Bilgi güvenliği için basitleştirilmiş hizmet düzeyi yönetimine ulaşmak gerektiğinden, bu biraz birinci yön ile ilgilidir.

ITIL güvenlik yönetimi geniş bir kavram olsa da, yazılım araçları bağlamında biraz daha sınırlıdır. Güvenlik yönetimi araçları denilince akla birçok araç türü gelebilir. Ancak bir tür diğerlerinden daha ilginç görünüyor: Güvenlik Bilgileri ve Olay Yönetimi (SIEM) araçları.

Güvenlik Bilgileri ve Olay Yönetimi (SIEM) Tanıtımı

En basit şekliyle Güvenlik Bilgileri ve Olay Yönetimi, güvenlik bilgilerini ve olaylarını yönetme sürecidir. Somut olarak, bir SIEM sistemi herhangi bir gerçek koruma sağlamaz. Bu, örneğin, virüslerin korumalı sistemlere bulaşmasını aktif olarak durduran anti-virüs yazılımından farklıdır. SIEM'in birincil amacı, ağ ve güvenlik yöneticilerinin hayatını kolaylaştırmaktır. Tipik bir SIEM sistemi, ağ cihazları ve diğer algılama ve koruma sistemleri dahil olmak üzere çeşitli sistemlerden basitçe bilgi toplar. Daha sonra tüm bu bilgileri ilişkilendirir, ilgili olayları bir araya getirir ve anlamlı olaylara çeşitli şekillerde tepki verir. SIEM sistemleri ayrıca bir tür raporlama ve daha da önemlisi gösterge tabloları ve uyarı alt sistemlerini içerir.

SIEM Sisteminde Neler Var?

SIEM sistemleri satıcıdan satıcıya büyük farklılıklar gösterir. Bununla birlikte, birçoğunda mevcut gibi görünen belirli sayıda bileşen vardır. Hepsi bu bileşenlerin hepsini içermeyecek ve içerdiklerinde farklı işlev görebilirler. SIEM sistemlerinin en önemli ve en yaygın bileşenlerinden bazılarını daha ayrıntılı olarak inceleyelim.

Günlük Toplama ve Yönetim

Log toplama ve yönetimi, şüphesiz bir SIEM sisteminin en önemli bileşenidir. Onsuz, SIEM yoktur. Bir SIEM sisteminin yapması gereken ilk şey, çeşitli farklı kaynaklardan günlük verileri elde etmektir. Ya onu çekebilir - örneğin yerel olarak kurulmuş bir aracı kullanarak - ya da farklı cihazlar ve sistemler onu SIEM aracına itebilir.

Her sistemin kendi veri sınıflandırma ve kaydetme yöntemi olduğundan, SIEM aracının bir sonraki görevi, kaynağı ne olursa olsun verileri normalleştirmek ve tek tip hale getirmektir. Bu adımın nasıl yapıldığı, esas olarak alınan verinin orijinal formatına göre değişir.

Normalleştirildikten sonra, günlüğe kaydedilen veriler, kötü niyetli davranışları mümkün olduğunca erken tanımak amacıyla genellikle bilinen saldırı kalıplarıyla karşılaştırılır. Veriler ayrıca önceden toplanan verilerle karşılaştırılabilir, böylece anormal aktivite tespitini daha da geliştirecek bir temel oluşturmaya yardımcı olur.

Olay Yanıtı

Olayı tespit etmek bir şeydir, ancak bir olay tespit edildiğinde, bazı yanıt süreçleri başlatılmalıdır. SIEM aracının olay yanıt modülünün konusu budur. Olay yanıtı birçok biçimde olabilir. En temel uygulamasında, sistemin gösterge tablosunda bir uyarı mesajı oluşturulacaktır. E-posta veya SMS uyarıları da birincil yanıt olarak oluşturulabilir.

Bununla birlikte, en iyi SIEM sistemleri bir adım daha ileri gider ve tipik olarak bir tür iyileştirme sürecini başlatabilirler. Yine, bu birçok biçim alabilen bir şeydir. En iyi sistemler, tam olarak ihtiyacınız olan yanıt türünü sağlayan, özelleştirilebilen eksiksiz bir olay yanıt iş akışı sistemine sahiptir. Olay yanıtı tek tip olmak zorunda değildir ve farklı olaylar veya farklı olay türleri farklı süreçleri tetikleyebilir. En iyi SIEM araçları, olay müdahale iş akışı üzerinde size tam kontrol sağlayabilir.

Raporlama

Günlük toplama ve yönetimine sahip olmak ve yerinde bir olay yanıt sistemine sahip olmak bir şeydir, ancak başka bir önemli öğeye de ihtiyacınız vardır: raporlama. Henüz bilmiyor olsanız bile, raporlara ihtiyacınız olacak; sade ve basit. Kuruluşunuzun yöneticilerinin, bir SIEM sistemine yaptıkları yatırımın meyvesini verdiğini kendileri görmelerine ihtiyaç duyacaktır. Ancak hepsi bu kadar değil, uygunluk amacıyla da raporlara ihtiyacınız olabilir. SIEM sisteminiz uygunluk raporları üretebildiğinde, PCI DSS, HIPAA veya SOX gibi standartlara uymak çok daha kolaydır.

Raporlar, her SIEM sisteminin merkezinde olmayabilir, ancak yine de temel bileşenlerinden biridir. Aslında raporlama, rakip sistemler arasındaki ana farklılaştırıcı faktörlerden biridir. Raporlar şeker gibidir, asla çok fazla alamazsınız. Sistemleri değerlendirirken, hangi raporların mevcut olduğuna ve nasıl göründüklerine bakın ve en iyi sistemlerin özel raporlar oluşturmanıza izin vereceğini unutmayın.

Gösterge Paneli

Çoğu SIEM aracının son önemli bileşeni gösterge panosudur. SIEM sisteminizin durumuna ve buna bağlı olarak BT ortamınızın güvenliğine açılan pencereniz olduğu için önemlidir. Bazı sistemlerde birden fazla gösterge paneli olabileceği gibi, S'li gösterge panoları da diyebilirdik. Farklı kişilerin farklı öncelikleri ve ilgi alanları vardır ve bir ağ yöneticisi için mükemmel gösterge panosu, bir güvenlik yöneticisininkinden farklı olacaktır. Aynı şekilde, bir yöneticinin de tamamen farklı bir gösterge panosuna ihtiyacı olacaktır.

SIEM sistemlerini sadece sundukları pano sayısına göre değerlendiremesek de, ihtiyacınız olan pano(lar)a sahip olanı seçmeniz gerekir. Bu, satıcıları değerlendirirken kesinlikle aklınızda bulundurmak isteyeceğiniz bir şeydir. Ve tıpkı raporlarda olduğu gibi, en iyi araçlar, beğeninize göre özelleştirilmiş gösterge tabloları oluşturmanıza olanak tanır.

SIEM'i ITIL Güvenlik Yönetim Aracı Olarak Kullanmak

Güvenlik yönetimi kavramı ITIL çerçevesi bağlamında ne kadar karmaşık olursa olsun. Aslında tek bir birincil hedefi özetliyor: verilerin güvenli olmasını sağlamak. Ve tüm BT güvenlik yönetimi paradigmasının birkaç farklı yönü olmasına rağmen, kullanabileceğiniz yazılım araçları söz konusu olduğunda, bir ITIL güvenlik yönetimi yazılım paketi yok gibi görünüyor. Öte yandan, çeşitli yazılım yayıncılarından, verilerinizin güvenliğini sağlamayı amaçlayan sayısız araç teklifi vardır.

SIEM araçlarının benzer bir veri güvenliğini koruma amacına sahip olduğunu da gördük. Bize göre, onları BT güvenlik yönetimi için en iyi araç türlerinden biri yapan ortak hedeftir. Bununla birlikte, ITIL güvenlik yönetimi uygulamasının SIEM'in çok ötesine geçtiğini ve iyi bir başlangıç ​​noktası olmalarına rağmen, önemli olmakla birlikte çözümün yalnızca bir parçası olduklarını unutmayın.

En İyi ITIL Güvenlik Yönetim Araçları

En iyi ITIL güvenlik yönetimi araçlarının aslında SIEM araçları olduğunu anladığımızdan beri, pazarda bunların en iyilerini aradık. En iyi bilinen kuruluşlardan bazılarına ait çok çeşitli araçlar bulduk. Listemizdeki tüm araçlar, bir güvenlik yönetimi aracından bekleyeceğiniz tüm temel özelliklere sahiptir. Özel ihtiyaçlarınız için en iyisini seçmek genellikle kişisel zevk meselesidir. Ya da belki araçlardan birinin size hitap eden benzersiz bir özelliği vardır.

1. SolarWinds Güvenlik Olay Yöneticisi (ÜCRETSİZ DENEME)

SolarWinds , ağ izleme dünyasında yaygın bir addır. Ağ Performansı İzleyicisi olarak adlandırılan amiral gemisi ürünü, mevcut en iyi SNMP izleme araçlarından biridir. Şirket ayrıca bu tür onun olarak çok sayıda ücretsiz araçlar ile tanınır Gelişmiş Subnet Hesaplama veya Ücretsiz SFTP S erver .

SIEM söz konusu olduğunda, SolarWinds'in teklifi SolarWinds Security Event Manager'dır . Eskiden SolarWinds Log & Event Manager olarak adlandırılan araç, en iyi şekilde giriş seviyesi SIEM aracı olarak tanımlanır. Bununla birlikte, piyasadaki en iyi giriş seviyesi sistemlerden biridir. Araç, bir SIEM sisteminden bekleyebileceğiniz hemen hemen her şeye sahiptir. Bu, mükemmel günlük yönetimi ve korelasyon özelliklerinin yanı sıra etkileyici bir raporlama motorunu içerir.

• ÜCRETSİZ DENEME: SolarWinds Güvenlik Olay Yöneticisi
• Resmi İndirme Bağlantısı: https://www.solarwinds.com/security-event-manager/registration

Araç aynı zamanda hiçbir şeyi arzu edilmeyen mükemmel olay yanıtlama özelliklerine de sahiptir. Örneğin, ayrıntılı gerçek zamanlı yanıt sistemi, her tehdide aktif olarak tepki verecektir. İmza yerine davranışa dayalı olduğundan, bilinmeyen veya gelecekteki tehditlere ve sıfır gün saldırılarına karşı korunursunuz.

Etkileyici özellik setine ek olarak, SolarWinds Security Event Manager'ın panosu muhtemelen en iyi varlığıdır. Basit tasarımıyla, araçta yolunuzu bulmakta ve anormallikleri hızlı bir şekilde belirlemekte sorun yaşamayacaksınız. Yaklaşık 4 500 dolardan başlayan araç, uygun fiyatlı olmaktan da öte. Ve denemek ve ortamınızda nasıl çalıştığını görmek istiyorsanız, ücretsiz, tamamen işlevsel 30 günlük deneme sürümü indirilebilir.

2. Splunk Kurumsal Güvenlik

Splunk Enterprise Security veya Splunk ES , muhtemelen en popüler SIEM sistemlerinden biridir. Özellikle analitik yetenekleriyle ünlüdür. Splunk ES , sisteminizin verilerini gerçek zamanlı olarak izleyerek güvenlik açıklarını ve anormal ve/veya kötü amaçlı etkinlik belirtilerini arar.

Mükemmel izlemeye ek olarak, güvenlik yanıtı Splunk ES'nin güçlü takımlarından bir diğeridir . Sistem, Splunk'ın 55'ten fazla güvenlik sağlayıcısının ekipmanıyla entegre olan Uyarlamalı Yanıt Çerçevesi ( ARF ) olarak adlandırdığı şeyi kullanır . ARF manuel görevleri hızlandırmak, tepkisini otomatik gerçekleştirin. Bu, hızlı bir şekilde üstünlük kazanmanızı sağlayacaktır. Buna basit ve düzenli bir kullanıcı arayüzü ekleyin ve kazanan bir çözümünüz var. Diğer ilginç özellikler arasında , kullanıcı tarafından özelleştirilebilen uyarıları gösteren Notlar işlevi ve kötü amaçlı etkinlikleri işaretlemek ve başka sorunları önlemek için Varlık Araştırmacısı bulunur .

Splunk ES gerçekten kurumsal düzeyde bir üründür ve bu, kurumsal boyutta bir fiyat etiketi ile geldiği anlamına gelir. Fiyatlandırma bilgileri ne yazık ki Splunk'ın web sitesinde kolayca bulunamıyor . Bir teklif almak için satış departmanıyla iletişime geçmeniz gerekir. Splunk ile iletişime geçmek, ürünü denemek isterseniz ücretsiz denemeden yararlanmanıza da olanak tanır.

3. RSA Net Tanığı

NetWitness , 2016'dan beri “ derin, gerçek zamanlı ağ durumsal farkındalığını ve çevik ağ yanıtını ” destekleyen ürünlere odaklandı . Tarafından alınıyorsa sonra EMC sonra birleşti Dell , Ne TW itness marka artık bir parçası olan RSA şirketin şube. RSA, BT güvenliğinde oldukça saygın bir isim olduğu için bu iyi bir haber.

RSA NetWitness , eksiksiz bir ağ analizi çözümü arayan kuruluşlar için idealdir. Araç, uyarılara öncelik verilmesine yardımcı olmak için kuruluşunuzla ilgili bilgileri birleştirir. RSA'ya göre , sistem " diğer SIEM çözümlerinden daha fazla yakalama noktası, bilgi işlem platformu ve tehdit istihbarat kaynağı üzerinden veri toplar ". Araç ayrıca davranış analizi, veri bilimi teknikleri ve tehdit istihbaratını birleştiren gelişmiş tehdit algılama özelliğine sahiptir. Son olarak, gelişmiş yanıt sistemi, tehditlerden işinizi etkilemeden önce kurtulmanıza yardımcı olacak düzenleme ve otomasyon özelliklerine sahiptir.

Kullanıcı topluluğu tarafından bildirildiği üzere RSA NetWitness'ın ana dezavantajlarından biri, kurulumunun ve kullanımının en kolay olmamasıdır. Bununla birlikte, ürünü kurmanıza ve kullanmanıza yardımcı olabilecek kapsamlı belgeler mevcuttur. Bu, kurumsal düzeyde başka bir üründür ve çoğu zaman olduğu gibi, fiyat bilgisi almak için satış ekibiyle iletişime geçmeniz gerekir.

4. ArcSight Kurumsal Güvenlik Yöneticisi

ArcSight Enterprise Security Manager , güvenlik tehditlerini belirlemeye ve önceliklendirmeye, olay müdahale faaliyetlerini organize etmeye ve takip etmeye ve denetim ve uyumluluk faaliyetlerini basitleştirmeye yardımcı olur. Eskiden HP markası altında satılırdı , ancak ArcSight şimdi bir başka HP yan kuruluşu olan Micro Focus ile birleştirildi .

On beş yıldan fazla bir süredir piyasada olan ArcSight Enterprise Security Manager , son derece popüler bir başka SIEM aracıdır. Çeşitli kaynaklardan günlük verilerini derler ve kapsamlı veri analizi yaparak kötü amaçlı etkinlik belirtileri arar. Araç, tehditleri hızlı bir şekilde tanımlamayı kolaylaştırmak için analiz sonuçlarını gerçek zamanlı olarak görüntülemenize olanak tanır.

Ürünün özelliklerine gelince, arzulanan hiçbir şey bırakmıyor. Güçlü dağıtılmış gerçek zamanlı veri korelasyonuna, iş akışı otomasyonuna, güvenlik düzenlemesine ve topluluk odaklı güvenlik içeriğine sahiptir. ArcSight Enterprise Security Yöneticisi aynı zamanda diğer ile entegre ArcSight gibi ürünlerin ArcSight Veri Platformu ve Etkinlik Broker veya ArcSight araştır . Bu, kurumsal düzeyde başka bir üründür ve bu nedenle, fiyatlandırma bilgileri hazır değildir. Özelleştirilmiş bir fiyat teklifi almak için ArcSight satış ekibiyle iletişime geçmeniz gerekecektir .

5. McAfee Kurumsal Güvenlik Yöneticisi

McAfee, güvenlik endüstrisinde kesinlikle başka bir ev adıdır. Bununla birlikte, virüs koruma ürünleri ile daha iyi bilinir. Bu listedeki diğer ürünlerin aksine, McAfee Kurumsal S ecurity M anager sadece yazılım değil, sen bir donanım parçası olarak veya sanal formda ya alabildiklerinin bir cihazdır.

Analitik yetenekleri açısından, McAfee Enterprise Security Manager , birçok kişi tarafından en iyi SIEM araçlarından biri olarak kabul edilir. Sistem, çok çeşitli cihazlarda günlükleri toplar ve normalleştirme yetenekleri rakipsizdir. Korelasyon motoru, farklı veri kaynaklarını kolayca derleyerek güvenlik olaylarını meydana gelirken algılamayı kolaylaştırır.

Ancak doğruyu söylemek gerekirse, bu McAfee çözümünde Enterprise Security Manager'dan daha fazlası var . Eksiksiz bir SIEM çözümü elde etmek için Enterprise Log Manager ve Event Receiver'a da ihtiyacınız var . Neyse ki, tüm ürünler tek bir cihazda paketlenebilir. Ve ürünü satın almadan önce denemek isteyenler için ücretsiz deneme sürümü mevcuttur.

6. IBM QRadar

IBM, şüphesiz BT endüstrisindeki en tanınmış isimlerden biridir. O zaman şirketin SIEM çözümü IBM QRadar'ı piyasadaki en iyi ürünlerden biri olarak kurmayı başarması şaşırtıcı değil . Araç, güvenlik analistlerine anormallikleri tespit etme, gelişmiş tehditleri ortaya çıkarma ve gerçek zamanlı olarak yanlış pozitifleri kaldırma yetkisi verir.

IBM QRadar , bir günlük yönetimi, veri toplama, analitik ve izinsiz giriş algılama özellikleri paketine sahiptir. Birlikte, ağ altyapınızın çalışır durumda kalmasına yardımcı olurlar. Potansiyel saldırıları simüle edebilen risk modelleme analitiği de vardır.

Bazı IBM QRadar ‘ın temel özellikleri kurum içi ister bulut ortamında çözümü dağıtmak için yeteneğini içerir. Modüler bir çözümdür ve ihtiyaçları arttıkça hızlı ve ucuz bir şekilde daha fazla depolama veya işlem gücü eklenebilir. Sistem, IBM X-Force'un istihbarat uzmanlığını kullanır ve yüzlerce IBM ve IBM dışı ürünle sorunsuz bir şekilde bütünleşir .

IBM , IBM olsa da, SIEM çözümü için yüksek bir fiyat ödemeyi bekleyebilirsiniz. Ancak, piyasadaki en iyi SIEM araçlarından birine ve sağlam bir organizasyon tarafından desteklenen bir araca ihtiyacınız varsa, IBM QRadar yatırıma değer olabilir.