2021 年 6 大最佳 SIEM 工具和軟件——SIEM 解決方案的頂級供應商

外面是叢林！惡意的人無處不在，他們在追捕你。好吧，可能不是您個人，而是您的數據。我們需要防範的不再只是病毒，而是可能使您的網絡和組織陷入可怕境地的各種攻擊。由於防病毒、防火牆和入侵檢測系統等各種保護系統的激增，網絡管理員現在充斥著他們必須關聯的信息，試圖理解這些信息。

這就是安全信息和事件管理 (SIEM) 系統派上用場的地方。他們處理了處理過多信息的大部分令人毛骨悚然的工作。為了讓您更輕鬆地選擇 SIEM，我們向您展示了最好的安全信息和事件管理 (SIEM) 工具。

今天，我們通過討論現代威脅場景開始我們的分析。正如我們所說，它不再只是病毒。然後，我們將嘗試更好地解釋 SIEM 究竟是什麼，並討論構成 SIEM 系統的不同組件。其中一些可能比其他更重要，但對於不同的人，它們的相對重要性可能不同。最後，我們將展示我們挑選的六種最佳安全信息和事件管理 (SIEM) 工具，並簡要回顧每一種。

現代威脅場景

計算機安全曾經只是關於病毒防護。但近年來，已經發現了幾種不同類型的攻擊。它們可以採用拒絕服務 (DoS) 攻擊、數據竊取等形式。他們不再只是來自外部。許多攻擊源自網絡內部。因此，為了最終的保護，人們發明了各種類型的保護系統。除了傳統的防病毒和防火牆，我們現在還有入侵檢測和數據丟失防護系統（IDS 和 DLP）。

當然，添加的系統越多，管理它們的工作就越多。每個系統都會監控一些特定參數的異常情況，並在發現異常時將它們記錄下來和/或觸發警報。如果所有這些系統的監控都可以自動化，那不是很好嗎？此外，某些類型的攻擊在經過不同階段時可以被多個系統檢測到。如果您可以將所有相關事件作為一個整體來響應，那豈不是更好？嗯，這正是 SIEM 的全部意義所在。

什麼是 SIEM，究竟是什麼？

這個名字說明了一切。安全信息和事件管理是管理安全信息和事件的過程。具體來說，SIEM 系統不提供任何保護。其主要目的是讓網絡和安全管理員的工作更輕鬆。典型的 SIEM 系統真正做的是從各種保護和檢測系統收集信息，將所有這些信息關聯起來組裝相關事件，並以各種方式對有意義的事件做出反應。通常，SIEM 系統還將包括某種形式的報告和儀表板。

SIEM 解決方案的基本組件

我們將更深入地探索 SIEM 系統的每個主要組件。並非所有 SIEM 系統都包含所有這些組件，即使包含這些組件，它們也可能具有不同的功能。然而，它們是人們通常會在任何 SIEM 系統中以一種或另一種形式找到的最基本的組件。

日誌收集與管理

日誌收集和管理是所有 SIEM 系統的主要組成部分。沒有它，就沒有 SIEM。SIEM 系統必須從各種不同的來源獲取日誌數據。它可以拉動它，或者不同的檢測和保護系統可以將它推向 SIEM。由於每個系統都有自己的分類和記錄數據的方式，SIEM 負責規範化數據並使其統一，無論其來源是什麼。

標準化後，通常會將記錄的數據與已知的攻擊模式進行比較，以嘗試儘早識別惡意行為。數據也經常與之前收集的數據進行比較，以幫助建立基線，進一步增強異常活動檢測。

事件響應

一旦檢測到事件，就必須對其採取措施。這就是 SIEM 系統的事件響應模塊的全部意義所在。事件響應可以採用不同的形式。在其最基本的實現中，將在系統控制台上生成一條警報消息。通常還可以生成電子郵件或 SMS 警報。

但是最好的 SIEM 系統更進一步，通常會啟動一些補救過程。同樣，這可以採取多種形式。最好的系統具有完整的事件響應工作流程系統，可以對其進行自定義以準確提供您想要的響應。正如人們所期望的那樣，事件響應不必是統一的，不同的事件可以觸發不同的流程。最好的系統將使您完全控制事件響應工作流程。

報告

一旦您擁有日誌收集和管理以及響應系統，您需要的下一個構建塊就是報告。您可能還不知道，但您需要報告。高層管理人員將需要他們親眼看看他們在 SIEM 系統上的投資是否獲得回報。您可能還需要出於符合性目的的報告。當您的 SIEM 系統可以生成符合性報告時，可以輕鬆遵守 PCI DSS、HIPAA 或 SOX 等標準。

報告可能不是 SIEM 系統的核心，但它仍然是一個重要組成部分。通常，報告將是競爭系統之間的主要區別因素。報告就像糖果一樣，您永遠不會擁有太多。當然，最好的系統會讓您創建自定義報告。

儀表板

最後但並非最不重要的一點是，儀表板將是您了解 SIEM 系統狀態的窗口。甚至可能有多個儀表板。由於不同的人有不同的優先事項和興趣，因此網絡管理員的完美儀表板將不同於安全管理員的儀表板。一位高管也需要一個完全不同的人。

雖然我們無法通過儀表板的數量來評估 SIEM 系統，但您需要選擇一個擁有所需的所有儀表板的系統。這絕對是您在評估供應商時需要牢記的事情。就像報告一樣，最好的系統可以讓您根據自己的喜好構建自定義儀表板。

我們的 6 大 SIEM 工具

有很多 SIEM 系統。實際上，太多了，無法在這裡全部回顧。因此，我們搜索了市場，比較了系統，並列出了我們發現的六種最佳安全信息和管理 (SIEM) 工具。我們按偏好順序列出它們，我們將簡要回顧每一個。但是，儘管順序如此，但所有六個都是出色的系統，我們只能建議您親自嘗試。

以下是我們的 6 大 SIEM 工具：

SolarWinds 日誌和事件管理器
Splunk 企業安全
RSA 網絡見證
ArcSight 企業安全管理器
邁克菲企業安全管理器
IBM QRadar SIEM

1. SolarWinds Log & Event Manager（30 天免費試用）

SolarWinds 是網絡監控領域的通用名稱。他們的旗艦產品 Network Performance Monitor 是最好的 SNMP 監控工具之一。該公司還以其眾多免費工具而聞名，例如他們的子網計算器或他們的 SFTP 服務器。

SolarWinds 的 SIEM 工具日誌和事件管理器 (LEM)最好被描述為入門級 SIEM 系統。但它可能是市場上最具競爭力的入門級系統之一。SolarWinds LEM 擁有您可以從 SIEM 系統中獲得的一切。它具有出色的長期管理和關聯功能以及令人印象深刻的報告引擎。

至於工具的事件響應功能，它們沒有任何不足之處。詳細的實時響應系統將積極應對每一個威脅。而且由於它基於行為而不是簽名，因此您可以免受未知或未來的威脅。

但該工具的儀表板可能是它最好的資產。通過簡單的設計，您可以輕鬆快速地識別異常。該工具的起價約為 4,500 美元，非常實惠。如果您想先試用，可以下載免費的全功能 30 天試用版。

官方下載鏈接：https : //www.solarwinds.com/log-event-manager-software

2. Splunk 企業安全

Splunk Enterprise Security（通常稱為 Splunk ES）可能是最受歡迎的 SIEM 系統之一，以其分析功能而聞名。Splunk ES 實時監控您系統的數據，尋找漏洞和異常活動跡象。

安全響應是 Splunk ES 的另一個強項。該系統使用 Splunk 所謂的自適應響應框架 (ARF)，該框架與來自超過 55 家安全供應商的設備集成。ARF 執行自動響應，加快手動任務。這會讓你迅速佔上風。再加上一個簡單而整潔的用戶界面，您就有了一個成功的解決方案。其他有趣的功能包括顯示用戶可自定義警報的 Notables 功能和用於標記惡意活動和防止進一步問題的資產調查器。

Splunk ES 是真正的企業級產品，它帶有企業級的價格標籤。您甚至無法從 Splunk 的網站獲得定價信息。您需要聯繫銷售部門以獲取價格。儘管價格昂貴，但這是一款出色的產品，您可能希望聯繫 Splunk 並利用免費試用版。

3. RSA 網絡見證

自2016年以來，NetWitness專注於支持“深度、實時的網絡態勢感知和敏捷的網絡響應”的產品。在被隨後與戴爾合併的 EMC 收購後，Newitness 業務現在是該公司 RSA 分公司的一部分。這是個好消息 RSA 在安全領域是一個著名的名字。

RSA NetWitness是尋求完整網絡分析解決方案的組織的理想選擇。該工具包含有關您的業務的信息，有助於確定警報的優先級。根據 RSA 的說法，該系統“比其他 SIEM 解決方案收集更多捕獲點、計算平台和威脅情報源的數據”。還有先進的威脅檢測，它結合了行為分析、數據科學技術和威脅情報。最後，高級響應系統擁有編排和自動化功能，可幫助您在威脅影響您的業務之前將其消除。

RSA NetWitness 的主要缺點之一是它不是最容易使用和配置的。但是，有全面的文檔可以幫助您設置和使用該產品。這是另一種企業級產品，您需要聯繫銷售人員以獲取定價信息。

4. ArcSight 企業安全管理器

ArcSight Enterprise Security Manager有助於識別安全威脅並確定其優先級，組織和跟踪事件響應活動，並簡化審計和合規性活動。以前以惠普品牌銷售，現在已與惠普的另一家子公司 Micro Focus 合併。

ArcSight 已經存在超過 15 年，是另一種非常流行的 SIEM 工具。它編譯來自各種來源的日誌數據並執行廣泛的數據分析，尋找惡意活動的跡象。為了方便快速識別威脅，可以查看real0tme分析結果。

以下是產品主要功能的概述。它具有強大的分佈式實時數據關聯、工作流自動化、安全編排和社區驅動的安全內容。Enterprise Security Manager 還與其他 ArcSight 產品集成，例如 ArcSight 數據平台和事件代理或 ArcSight Investigate。這是另一種企業級產品——就像幾乎所有高質量的 SIEM 工具一樣——需要您聯繫 ArcSight 的銷售團隊以獲取定價信息。

5. 邁克菲企業安全管理器

邁克菲無疑是安全行業的另一個家喻戶曉的名字。然而，它以其病毒防護產品而聞名。該企業安全管理不只是軟件。它實際上是一個設備。您可以以虛擬或物理形式獲得它。

就其分析功能而言，McAfee Enterprise Security Manager 被許多人認為是最好的 SIEM 工具之一。該系統收集各種設備的日誌。至於它的歸一化能力，也是一流的。關聯引擎可輕鬆編譯不同的數據源，從而更輕鬆地檢測發生的安全事件

誠然，McAfee 解決方案不僅僅是它的 Enterprise Security Manager。要獲得完整的 SIEM 解決方案，您還需要 Enterprise Log Manager 和 Event Receiver。幸運的是，所有產品都可以包裝在一個設備中。對於那些可能想在購買前試用該產品的人，可以免費試用。

6.IBM QRadar

IBM，可能是 IT 行業最知名的名字，已經成功建立了其 SIEM 解決方案，IBM QRadar 是市場上最好的產品之一。該工具使安全分析師能夠實時檢測異常情況、發現高級威脅並消除誤報。

IBM QRadar 擁有一套日誌管理、數據收集、分析和入侵檢測功能。它們共同幫助保持您的網絡基礎設施正常運行。還有可以模擬潛在攻擊的風險建模分析。