现代企业IT基础结构由许多系统和组件组成。单独跟踪它们可能非常困难-企业规模越大,这些任务就越繁重。但是,有一些工具可以在一处收集有关整个公司基础结构-SIEM系统(安全信息和事件管理)的运行情况的报告。根据Gartner专家的说法,请阅读有关这些产品中最好的产品的信息,并在比较表中了解其主要功能。
简而言之,SIEM技术为管理员提供了网络上正在发生的情况的概述。此类系统可提供对安全事件以及设备和用户活动的实时分析,使您能够在造成重大损害之前对其进行响应。
SIEM程序从服务器,域控制器,防火墙和许多其他网络设备收集信息,并以易于使用的报告的形式提供信息。此数据不一定与安全性相关。例如,在他们的帮助下,您可以了解网络基础结构的功能并制定优化计划。但是,最重要的当然是发现潜在的漏洞,以及定位和消除现有威胁。通过收集和聚合网络设备日志数据来提供此数据。
收集信息后(此过程将在指定的时间间隔自动发生),然后对事件进行识别和分类。然后(再次按照指定的设置)发送警报,告知设备,程序或用户的某些操作可能是潜在的安全问题。
正在打开什么机会?
SIEM帮助解决各种任务。其中包括:及时发现有针对性的攻击和用户无意间违反信息安全性,评估关键系统和资源的安全性,进行事件调查等等。
同时,SIEM平台有许多限制。例如,他们不知道如何对数据进行分类,经常不能很好地处理电子邮件,对自己的事件有盲点。而且,当然,它们不能完全涵盖企业中的信息安全问题。但与此同时,它们虽然不是至关重要的,但却是企业防御系统的重要组成部分。而且,SIEM平台的发展不会停滞不前。例如,某些现代产品具有分析功能,也就是说,它们不仅发布报告并指出潜在问题,而且还知道如何自行分析事件并做出有关通知某些事件的决策。
无论如何,在选择特定产品时,您应该关注许多参数,其中包括集中收集,处理和存储信息,事件通知和数据分析(相关性)以及企业网络覆盖范围的参数。而且,当然,如果可能的话,值得购买之前先运行试用版/演示版,然后看看它是否适合公司。
IBM QRadar安全情报
来自技术巨头IBM的SIEM平台是市场上最先进的平台之一:即使在Gartner领导者象限中,它也处于竞争地位之外,并且已经连续十年存在。该产品由多个集成系统组成,这些系统共同提供了网络中发生的事件的最大覆盖范围,并且许多功能开箱即用。该工具能够从各种来源收集数据,例如操作系统,安全设备,数据库,应用程序和许多其他来源。
QRadar Security Intelligence可以按优先级对事件进行排序,并突出显示构成最大安全威胁的事件。这是由于具有分析对象(公司网络中的用户,设备,服务和过程)的异常行为的功能。这包括确定与访问可疑IP地址或来自它们的请求有关的操作。提供了所有可疑活动的详细报告,例如,可以在工作时间以外检测到可疑活动。这种方法与用户监视功能和网络的应用程序级别可见性相结合,可以帮助对抗内部威胁。此外,在常规的网络攻击中,信息很快到达并且可以在信息被阻止之前他们将如何实现目标并造成重大损失。
IBM QRadar Security Intelligence的关键功能之一是使用资产,用户,网络活动,现有漏洞,威胁情报等之间的高级分析和关联,基于风险的检测和优先级划分。每个事件都有一个单独的过程。
由于信息被收集并显示在屏幕上的一个地方,因此管理员可以查看系统检测到的所有相关可疑活动。并且新的相关事件被添加到单个链中,因此分析师不必在多个警报之间切换。为了进行更深入的调查,特殊工具IBM QRadar Incident Forensics可以还原与该事件关联的所有网络数据包,并逐步创建攻击者的操作。
Splunk企业安全
该行业领先的平台之一,以其可使用的广泛信息源而著称。Splunk Enterprise Security能够从传统的网络组件(服务器,安全设备,网关,数据库等),移动设备(智能手机,便携式计算机,平板电脑),Web服务和分布式源中收集事件日志。收集的信息:有关用户操作,日志,诊断结果等的数据。这允许在自动和手动模式下方便地进行搜索和分析。该解决方案具有各种可自定义的通知,这些通知基于收集的信息来警告现有威胁并主动报告潜在问题。
该产品由几个模块组成,这些模块负责进行调查,保护资源的逻辑图以及与许多外部服务的集成。这种方法可以对各种参数进行详细分析,并在乍一看之间不以任何方式相互关联的事件之间建立关系。 Splunk Enterprise Security允许您按时间,位置,生成的查询,与各种系统的连接等关联数据。
该工具还可以使用大型数据集,并且是成熟的大数据平台。可以实时和以历史搜索模式处理大量数据,并且如上所述,支持大量数据源。Splunk Enterprise Security每天可以索引数百TB的数据,因此它甚至可以应用于大型企业网络。专用工具MapReduce可让您快速地水平扩展系统并平均分配负载,从而使系统性能始终处于可接受的水平。同时,用户可以使用群集和灾难恢复的配置。
McAfee企业安全管理器
McAfee 的解决方案以物理和虚拟设备以及软件的形式提供。它由几个可以一起使用或分别使用的模块组成。 Enterprise Security Manager提供对企业IT基础结构的连续监视,收集有关威胁和风险的信息,使您能够确定威胁的优先级并快速进行调查。对于所有传入的信息,解决方案将计算基线活动级别并预先生成通知,如果违反此活动的范围,则将发送给管理员。该工具还知道如何使用上下文,从而大大扩展了分析和检测威胁的能力,并减少了虚假信号的数量。
McAfee ESM无需使用API即可与第三方产品很好地集成,从而使其与许多其他流行的安全解决方案兼容。它还支持McAfee Global Threat Intelligence平台,该平台扩展了传统的SIEM功能。多亏了它,ESM不断收到来自世界各地的有关威胁的最新信息。实际上,这使得例如检测与可疑IP地址相关的事件成为可能。
为了提高系统性能,开发人员向其客户提供了一组McAfee Connect工具。这些工具包含开箱即用的配置,可帮助您处理复杂的SIEM用例。例如,用户行为分析工具包使您可以更好,更快地找到潜在威胁,使安全操作更准确,并大大缩短事件调查时间。Windows软件包使您可以监视此OS的服务,以评估它们的正确使用并检测威胁。总共有50多个软件包,可用于不同的方案,产品和标准合规性。
AlienVault统一安全平台
公司AlienVault最近以AT&T Security品牌与AT&T Business合并,但其旗舰产品目前以旧名称出售。与本评论中的其他大多数平台一样,该工具具有比传统SIEM更多的功能。因此,在AlienVault USM中,有各种模块负责资产控制,完整数据包捕获等。该平台还能够测试网络的漏洞,这可以是一次性检查和连续监控。在后一种情况下,关于新漏洞存在的通知几乎是在它们出现的同时收到的。
其他平台功能包括基础结构漏洞评估,该评估显示了网络的安全性以及如何配置网络以满足安全标准。该平台还能够检测网络上的攻击并及时通知它们。在这种情况下,管理员会收到有关入侵来源,网络受到攻击的部分以及攻击者使用哪种方法以及首先应采取哪些措施的详细信息。此外,该系统能够检测网络内部的内部攻击并进行通知。
借助专有的AlienApps解决方案,USM可以集成和有效补充来自许多第三方供应商的安全解决方案。这些工具还增强了AlienVault USM的安全性自定义和威胁响应自动化功能。因此,有关公司网络安全状态的几乎所有信息都可以直接通过平台界面获得。这些工具还提供了在检测到威胁时自动组织响应动作的能力,从而使检测和响应事件变得更加轻松快捷。例如,如果找到了网络钓鱼站点的链接,则管理员可以将数据发送到第三方DNS保护服务以自动阻止该地址-因此从组织内的计算机访问将无法使用它。
Micro Focus ArcSight Enterprise Security Manager
由HPE一直开发到2017年的Micro Focus 的SIEM平台是用于实时发现,分析和管理工作流的综合工具。该工具为收集有关网络状态及其中发生的进程的信息以及大量现成的安全规则集提供了充足的机会。 ArcSight Enterprise Security Manager中的许多功能是自动化的,例如威胁识别和优先级划分。为了进行调查,该工具可以与另一个专有解决方案-ArcSight Investigate集成。它可以检测未知威胁并执行快速智能搜索,以及可视化数据。
根据开发人员的说法,该平台能够处理来自多种设备的信息,其中有500多种,其机制支持所有常见的事件格式。从在线来源收集的信息将转换为通用格式,以供平台使用。这种方法使您能够快速识别需要调查或立即采取行动的情况,并帮助管理员专注于最紧急,高风险的威胁。
对于拥有广泛办公室和部门网络的公司,当远程安全团队联合起来并可以实时交换报告,流程,工具和信息时,ArcSight ESM可以使用SecOps操作模型。因此,对于所有部门和办公室,他们可以应用集中的设置,策略和规则集,使用统一的角色和访问权限矩阵。这种方法使您可以快速应对威胁,无论它们出现在公司何处。
RSA NetWitness平台
从平台RSA(戴尔公司的部门之一)是一组基于从各种网络源数据提供威胁可见性模块:从传输的数据包,等等。对于这一点,组合端点,NetFlow的,安全设备,信息多个物理和/或虚拟设备可以实时处理信息并基于该信息发出警告,并存储数据以备将来调查之用。而且,开发人员为小型公司和大型分布式网络提供了一种体系结构。
NetWitness Platform能够识别内部威胁,并可以使用有关特定基础结构的上下文信息,从而使您可以根据组织的具体情况确定警报的优先级并优化工作。该平台还能够比较有关单个事件的信息,从而使您能够确定网络上的攻击的全面范围并进行配置,以最大程度地减少将来的类似风险。
开发人员非常重视使用端点。因此,在RSA NetWitness平台中为此提供了一个单独的模块,该模块在用户级别和内核级别均提供了可见性。该工具可以检测异常活动,阻止可疑进程并评估特定设备的漏洞程度。并且收集到的数据在整个系统的运行中都被考虑在内,并且也影响着网络安全的整体评估。
FireEye Helix安全平台
FireEye的 基于云的平台使组织可以控制任何事件,从报告事件到纠正情况。它结合了许多专有工具,并且可以与第三方工具集成。 Helix安全平台利用广泛的用户行为分析来识别内部威胁和非恶意软件攻击。
为了应对威胁,该工具不仅使用了来自管理员的通知,而且还应用了预定义的规则集(数量约为400个)。这最大程度地减少了误报次数,并减轻了管理员不断扫描威胁消息的风险。此外,该系统还具有调查和搜索威胁,行为分析,支持多种资源以获取信息的能力以及对整个安全系统的便捷管理的能力。
该工具可以很好地检测高级威胁。Helix安全平台能够集成FireEye和第三方供应商提供的300多种安全工具。通过分析其他事件的上下文,这些工具可提供对隐蔽和伪装攻击的高级别检测。
Rapid7 InsightIDR
Rapid7 公司为客户提供了通过分析行为而磨练的云SIEM平台。该系统对日志和日志进行深入分析,并设置特殊陷阱以检测对网络的非法入侵。InsightIDR工具持续监视用户活动并将其与网络事件相关联。这不仅有助于识别内部人员,还可以防止故意的安全漏洞。
Rapid7 InsightIDR持续监控端点。这样就可以看到异常的过程,非典型的用户行为,奇怪的任务等。如果检测到此类操作,系统将允许您检查它们是否在其他计算机上重复出现或仍然是本地问题。并且,当出现问题并调查事件时,可以使用可视化工具方便地随时间推移对累积的数据进行系统化,从而大大简化调查过程。
为了更好地应对威胁,开发人员专家可以独立评估公司环境的保护程度,从设备到当前流程和策略。这使您可以使用Rapid7 InsightIDR从头开始构建最佳的网络保护方案,或改进现有方案。
Fortinet FortiSIEM
Fortinet的 全面而可扩展的解决方案是Fortinet Security Fabric平台的一部分。该解决方案以物理设备的形式出现,但也可以在云基础架构或虚拟设备的基础上使用。该工具提供了广泛的信息来源-支持其他制造商提供的400多种设备。其中包括端点,IoT设备,应用程序,安全工具等。
该平台能够从端点收集和处理信息,包括文件完整性,注册表更改和已安装程序以及其他可疑事件。FortiSIEM具有深入的分析工具,包括实时和过去的事件搜索,属性和关键字搜索,动态变化的监视列表(用于检测严重违规)等。
该工具为管理员提供了功能齐全,可自定义的仪表板,可显着提高系统的可用性。他们具有播放幻灯片的能力,以演示系统性能,生成各种报告和分析以及使用颜色编码突出显示重要事件。
而不是后记
市场上有大量的SIEM解决方案,其中大多数功能都很强大。通常,它们的功能超出了标准SIEM定义,并为客户提供了多种网络管理工具。此外,许多工作都是开箱即用的,在安装和初始配置过程中所需的干预最少。但是也有一个问题:它们可以有许多小的参数不同,在一个评论中不可能谈论这些参数。因此,在每种特定情况下,您不仅需要根据企业的主要需求来选择解决方案,而且还需要考虑一些小的细节以及组织的未来发展。
我们已提请您注意要点,测试产品的试用版将有助于您仔细了解其复杂性和细微差别。幸运的是,几乎所有供应商都提供了这样的机会。
作者:德米特里·奥尼申科