2021 年 6 種最佳 ITIL 安全管理工具

ITIL 是一個相對廣泛且非常全面的 IT 服務管理框架。它最初來自英國，旨在為政府和私營企業提供服務，它是一套高度結構化的流程、建議和實踐。它被分成幾個特定的區域，安全管理只不過是它的許多方面之一。但由於安全是一個如此重要的話題——尤其是在考慮現代威脅場景以及組織如何不斷成為不道德黑客的目標時——我們決定看看一些最好的 ITIL 安全管理工具。

在進入 ITIL 安全管理的特定領域之前，我們將首先更詳細地解釋 ITIL 是什麼。接下來，我們將介紹安全信息和事件管理的概念，描述它的組成，並解釋它如何與 ITIL 安全管理相關聯。我們將最終進入有趣的部分，并快速回顧一些最佳 ITIL 安全管理工具，描述每個工具的最佳特性和功能。

ITIL 簡而言之

ITIL 曾經代表信息技術基礎設施圖書館，早在 80 年代，英國政府的中央計算機和電信局 (CCTA) 就開始努力為政府和政府部門的 IT 服務管理制定一套建議和標準做法。私營部門也是如此。它起源於一套書籍，每本書都涵蓋了 IT 服務管理中的特定實踐，並圍繞基於流程模型的控制和管理操作視圖而構建。

最初由 30 多卷組成，後來有所簡化，將服務分組，將捲數減少到 5 卷。仍在不斷發展中，最新版本的 Foundation 書籍已於去年 2 月出版，ITIL 將 IT 服務管理的各種要素分組進入實踐，ITIL 安全管理只是眾多實踐之一。

關於 ITIL 安全管理

至於安全管理 ITIL 流程，它“描述了信息安全在管理組織中的結構化適配”。它主要基於現在稱為 ISO/IEC 27001 的信息安全管理系統 (ISMS) 的行為準則。

顯然，安全管理的主要目標是確保足夠的信息安全。反過來，信息安全的主要目標是保護信息資產免受風險，從而保持其對組織的價值。通常，這表現為確保其機密性、完整性和可用性，但也包括相關屬性或目標，例如真實性、可問責性、不可否認性和可靠性。

安全管理有兩個主要方面。首先是安全要求，它可以在服務級別協議 (SLA) 中定義，也可以在合同、立法以及內部或外部政策中指定的其他要求中定義。它的第二個方面只是保證管理和服務連續性的基本安全性。它與第一個方面有些相關，因為需要實現信息安全的簡化服務級別管理。

雖然 ITIL 安全管理是一個廣泛的概念，但它在軟件工具的上下文中更受限制。在談論安全管理工具時，可能會想到幾種類型的工具。然而，一種類型似乎比其他類型更有趣：安全信息和事件管理 (SIEM) 工具。

引入安全信息和事件管理 (SIEM)

在最簡單的形式中，安全信息和事件管理是管理安全信息和事件的過程。具體來說，SIEM 系統不提供任何真正的保護。例如，這與主動阻止病毒感染受保護系統的防病毒軟件不同。SIEM 的主要目的是讓網絡和安全管理員的工作更輕鬆。典型的 SIEM 系統只是從各種系統（包括網絡設備和其他檢測和保護系統）收集信息。然後它關聯所有這些信息，組合相關事件，並以各種方式對有意義的事件做出反應。SIEM 系統還包括某種形式的報告，更重要的是，包括儀表板和警報子系統。

SIEM 系統中有什麼

SIEM 系統因供應商而異。然而，它們中似乎存在一定數量的組件。它們不會全部包含所有這些組件，並且當它們包含時，它們的功能可能會有所不同。讓我們更詳細地回顧一下 SIEM 系統的一些最重要和最常見的組件。

日誌收集與管理

日誌收集和管理無疑是 SIEM 系統最重要的組成部分。沒有它，就沒有 SIEM。SIEM 系統要做的第一件事是從各種不同的來源獲取日誌數據。它可以將其拉取（例如使用本地安裝的代理），或者不同的設備和系統可以將其推送到 SIEM 工具。

由於每個系統都有自己的分類和記錄數據的方式，SIEM 工具的下一個任務是規範化數據並使其統一，無論數據來自什麼來源。該步驟如何完成主要取決於接收數據的原始格式。

一旦標準化，通常會將記錄的數據與已知的攻擊模式進行比較，以嘗試儘早識別惡意行為。還可以將數據與之前收集的數據進行比較，從而幫助建立基線，進一步增強異常活動檢測。

事件響應

檢測事件是一回事，但是一旦檢測到事件，就必須啟動一些響應過程。這就是 SIEM 工具的事件響應模塊的全部內容。事件響應可以採用多種形式。在其最基本的實現中，將在系統的儀表板上生成警報消息。還可以生成電子郵件或 SMS 警報作為主要響應。

然而，最好的 SIEM 系統更進一步，它們通常可以啟動某種補救過程。同樣，這可以採取多種形式。最好的系統有一個完整的事件響應工作流系統，可以定制，準確地提供您需要的響應類型。事件響應不必是統一的，不同的事件——或不同類型的事件——可以觸發不同的過程。頂級 SIEM 工具可以讓您完全控制事件響應工作流。

報告

擁有日誌收集和管理以及事件響應系統是一回事，但您還需要另一個重要元素：報告。即使您可能還不知道，您也需要報告；乾淨利落。您組織的高管將需要他們親眼見證他們在 SIEM 系統上的投資是否獲得回報。但這還不是全部，您可能還需要出於符合性目的的報告。當您的 SIEM 系統可以生成符合性報告時，遵守 PCI DSS、HIPAA 或 SOX 等標準會容易得多。

報告可能不是每個 SIEM 系統的核心，但它們仍然是其重要組成部分之一。實際上，報告是競爭系統之間的主要區別因素之一。報告就像糖果一樣，您永遠不會擁有太多。在評估系統時，請查看可用的報告及其外觀，並記住最好的系統可以讓您創建自定義報告。

儀表板

大多數 SIEM 工具的最後一個重要組件是儀表板。這很重要，因為它是您了解 SIEM 系統狀態以及進一步了解 IT 環境安全性的窗口。我們可以說儀表板（帶有 S），就像某些系統中可能有多個儀表板一樣。不同的人有不同的優先事項和興趣，網絡管理員的完美儀表板將與安全管理員的儀表板不同。同樣，高管也需要一個完全不同的儀表板。

雖然我們不能僅根據提供的儀表板數量來評估 SIEM 系統，但您需要選擇一個具有所需儀表板的系統。這絕對是您在評估供應商時需要牢記的事情。就像報告一樣，最好的工具允許您根據自己的喜好構建自定義儀表板。

使用 SIEM 作為 IT​​IL 安全管理工具

無論安全管理的概念在 ITIL 框架的上下文中多麼複雜。它實際上歸結為一個主要目標：確保數據安全。而且，雖然整個 IT 安全管理範式有幾個不同的方面，但當涉及到您可以使用的軟件工具時，似乎沒有一個 ITIL 安全管理軟件包。另一方面，各種軟件發行商提供了無數旨在確保數據安全的工具。

我們還看到了 SIEM 工具如何具有保護數據安全性的類似目標。在我們看來，正是這一共同目標使它們成為 IT 安全管理的最佳工具類型之一。但是請記住，ITIL 安全管理實踐遠遠超出了 SIEM，雖然它們是一個很好的起點，但它們只是解決方案的一部分，儘管很重要。

最佳 ITIL 安全管理工具

由於我們已經確定最好的 ITIL 安全管理工具確實是 SIEM 工具，因此我們已經在市場上尋找最好的工具。我們從一些最知名的組織中找到了各種各樣的工具。我們列表中的所有工具都具有您期望從安全管理工具中獲得的所有主要功能。為您的特定需求選擇最好的通常是個人品味的問題。或者其中一個工具具有吸引您的獨特功能。

1. SolarWinds 安全事件管理器（免費試用）

SolarWinds是網絡監控領域的通用名稱。它的旗艦產品網絡性能監視器是最好的 SNMP 監視工具之一。該公司還以其眾多的免費工具，比如它的高級子網計算器或它的免費SFTP小號erver。

談到 SIEM，SolarWinds的產品是SolarWinds 安全事件管理器。該工具以前稱為SolarWinds 日誌和事件管理器，最好將其描述為入門級 SIEM 工具。然而，它是市場上最好的入門級系統之一。該工具幾乎擁有您可以從 SIEM 系統中獲得的一切。這包括出色的日誌管理和關聯功能以及令人印象深刻的報告引擎。

• 免費試用：SolarWinds 安全事件管理器
• 官方下載鏈接：https://www.solarwinds.com/security-event-manager/registration

該工具還擁有出色的事件響應功能，沒有任何不足之處。例如，詳細的實時響應系統將對每個威脅做出積極的反應。由於它基於行為而不是簽名，因此您可以免受未知或未來威脅和零日攻擊。

除了令人印象深刻的功能集之外，SolarWinds 安全事件管理器的儀表板可能是其最佳資產。憑藉其簡單的設計，您可以輕鬆找到使用該工具的方法并快速識別異常。該工具的起價約為 4,500 美元，非常實惠。如果您想試用它並了解它在您的環境中是如何工作的，可以下載一個免費的全功能 30 天試用版。

2. Splunk 企業安全

Splunk的企業安全-or Splunk的ES，因為它通常被稱為-可能是最流行的SIEM系統之一。它以其分析能力而聞名。Splunk ES實時監控您系統的數據，尋找漏洞以及異常和/或惡意活動的跡象。

除了出色的監控之外，安全響應是Splunk ES的另一個強項。該系統使用 Splunk 所謂的自適應響應框架( ARF )，該框架與來自超過 55 家安全供應商的設備集成。所述ARF執行自動響應，加快的手動任務。這會讓你迅速佔上風。再加上一個簡單而整潔的用戶界面，您就有了一個成功的解決方案。其他有趣的功能包括顯示用戶可自定義警報的Notables功能和用於標記惡意活動和防止進一步問題的資產調查器。

Splunk ES是真正的企業級產品，這意味著它具有企業級的價格標籤。不幸的是，Splunk的網站上沒有現成的定價信息。您需要聯繫銷售部門以獲取報價。如果您想試用該產品，聯繫 Splunk 還可以讓您利用免費試用。

3. RSA 網絡見證

自2016年以來，NetWitness專注於支持“深度、實時的網絡態勢感知和敏捷的網絡響應”的產品。通過被收購後，EMC然後與合併戴爾的氖TW itness品牌是現在的一部分RSA該公司的分公司。這是個好消息，因為 RSA 是 IT 安全領域備受推崇的名稱。

RSA NetWitness是尋求完整網絡分析解決方案的組織的理想選擇。該工具集成了有關您的組織的信息，用於幫助確定警報的優先級。根據RSA 的說法，該系統“比其他 SIEM 解決方案收集更多的捕獲點、計算平台和威脅情報源的數據”。該工具還具有先進的威脅檢測功能，結合了行為分析、數據科學技術和威脅情報。最後，高級響應系統擁有編排和自動化功能，可幫助您在威脅影響您的業務之前將其消除。

據其用戶社區報告，RSA NetWitness的主要缺點之一是它不是最容易設置和使用的。但是，有全面的文檔可以幫助您設置和使用該產品。這是另一種企業級產品，通常情況下，您需要聯繫銷售人員以獲取定價信息。

4. ArcSight 企業安全管理器

ArcSight Enterprise Security Manager有助於識別安全威脅並確定其優先級，組織和跟踪事件響應活動，並簡化審計和合規性活動。它曾經以HP品牌銷售，但ArcSight現在已併入HP 的另一家子公司Micro Focus。

ArcSight Enterprise Security Manager已經問世15 多年，是另一種非常流行的 SIEM 工具。它編譯來自各種來源的日誌數據並執行廣泛的數據分析，尋找惡意活動的跡象。為了便於快速識別威脅，該工具可讓您實時查看分析結果。

至於產品的功能，它沒有任何不足之處。它具有強大的分佈式實時數據關聯、工作流自動化、安全編排和社區驅動的安全內容。的的ArcSight企業安全管理器還集成了其它的ArcSight的產品，如ArcSight可數據平台和事件代理或ArcSight可調查。這是另一種企業級產品，因此價格信息不易獲得。這將要求您聯繫ArcSight銷售團隊以獲取定制報價。

5. 邁克菲企業安全管理器

McAfee 絕對是安全行業的另一個家喻戶曉的名字。然而，它以其病毒防護系列產品而聞名。不同於其他產品在此列表中，邁克菲企業小號ecurity中號anager不只是軟件，它是一個設備，你可以得到無論是作為一個硬件或虛擬形式。

就其分析功能而言，McAfee Enterprise Security Manager被許多人認為是最好的 SIEM 工具之一。該系統收集各種設備的日誌，其標準化能力是首屈一指的。關聯引擎可輕鬆編譯不同的數據源，從而更輕鬆地檢測發生的安全事件。

但事實上，這個McAfee解決方案不僅僅是它的Enterprise Security Manager。要獲得完整的 SIEM 解決方案，您還需要Enterprise Log Manager和Event Receiver。幸運的是，所有產品都可以包裝在一個設備中。對於那些可能想在購買前試用該產品的人，可以免費試用。

6.IBM QRadar

毫無疑問，IBM 是 IT 行業最知名的公司之一。因此，該公司設法將其 SIEM 解決方案IBM QRadar 確立為市場上最好的產品之一也就不足為奇了。該工具使安全分析師能夠實時檢測異常情況、發現高級威脅並消除誤報。

IBM QRadar擁有一套日誌管理、數據收集、分析和入侵檢測功能。它們共同幫助保持您的網絡基礎設施正常運行。還有可以模擬潛在攻擊的風險建模分析。

IBM QRadar的一些關鍵特性包括能夠在本地或云環境中部署解決方案。它是一種模塊化解決方案，可以隨著需求的增長而快速且經濟地添加更多存儲或處理能力。該系統使用來自IBM X-Force 的情報專業知識，並與數百種IBM和非IBM產品無縫集成。

不過，IBM就是IBM，您可以期望為其 SIEM 解決方案支付高價。但是，如果您需要市場上最好的 SIEM 工具之一以及由可靠組織支持的工具，那麼IBM QRadar可能非常值得投資。