etechblog

6 nejlepších nástrojů pro správu bezpečnostních informací a událostí (SIEM), které stojí za to vyzkoušet v roce 2020

Venku je džungle! Jednotlivci se špatnými úmysly jsou všude a jdou po vás. No, pravděpodobně ne vy osobně, ale spíše vaše data. Už to nejsou jen viry, před kterými se musíme chránit, ale všechny druhy útoků, které mohou vaši síť – a vaši organizaci – dostat do zoufalé situace. Kvůli rozšiřování různých ochranných systémů, jako jsou antiviry, firewally a systémy detekce narušení, jsou nyní správci sítí zaplaveni informacemi, které musí korelovat a snažit se jim dát smysl. Zde se hodí systémy pro správu bezpečnostních informací a událostí (SIEM). Zvládnou většinu příšerné práce s příliš velkým množstvím informací. Abychom vám usnadnili výběr SIEM, představujeme vám nejlepší nástroje pro správu bezpečnostních informací a událostí (SIEM).

Dnes zahájíme naši analýzu diskusí o moderní scéně hrozeb. Jak jsme řekli, už to nejsou jen viry. Poté se pokusíme lépe vysvětlit, co přesně SIEM je, a promluvíme si o různých komponentách, které tvoří systém SIEM. Některé z nich mohou být důležitější než jiné, ale jejich relativní význam se může pro různé lidi lišit. A nakonec představíme náš výběr šesti nejlepších nástrojů pro správu bezpečnostních informací a událostí (SIEM) a stručně zkontrolujeme každý z nich.

Moderní scéna ohrožení

Počítačová bezpečnost byla dříve pouze o antivirové ochraně. V posledních letech však bylo odhaleno několik různých druhů útoků. Mohou mít podobu útoků DoS (Denial of Service), krádeží dat a mnoha dalších. A už nepřicházejí jen zvenčí. Mnoho útoků pochází ze sítě. Takže pro maximální ochranu byly vynalezeny různé typy ochranných systémů. Kromě tradičního antiviru a firewallu máme nyní například systémy detekce narušení a prevence ztráty dat (IDS a DLP).

Samozřejmě, čím více systémů přidáte, tím více práce budete mít s jejich správou. Každý systém monitoruje některé specifické parametry kvůli abnormalitám a zaznamená je a/nebo spustí výstrahy, když jsou objeveny. Nebylo by hezké, kdyby se sledování všech těchto systémů dalo automatizovat? Některé typy útoků může navíc detekovat několik systémů, když procházejí různými fázemi. Nebylo by mnohem lepší, kdybyste pak mohli reagovat na všechny související události jako jeden? No a přesně o tom SIEM je.

Co je to SIEM, přesně?

Název mluví za vše. Správa bezpečnostních informací a událostí je proces správy bezpečnostních informací a událostí. Konkrétně systém SIEM neposkytuje žádnou ochranu. Jeho primárním účelem je usnadnit život síťovým a bezpečnostním správcům. Typický systém SIEM ve skutečnosti sbírá informace z různých systémů ochrany a detekce, koreluje všechny tyto informace, shromažďuje související události a reaguje na smysluplné události různými způsoby. Systémy SIEM budou často zahrnovat také určitou formu hlášení a řídicích panelů.

Základní součásti systému SIEM

Chystáme se podrobněji prozkoumat každou hlavní součást systému SIEM. Ne všechny systémy SIEM obsahují všechny tyto komponenty, a i když je obsahují, mohou mít různé funkce. Jsou to však nejzákladnější součásti, které by se v té či oné podobě běžně nacházely v jakémkoli systému SIEM.

  Jak vrátit peníze za hru GOG

Sběr a správa protokolů

Sběr a správa protokolů je hlavní součástí všech systémů SIEM. Bez toho není SIEM. Systém SIEM musí získávat data protokolu z řady různých zdrojů. Může ji buď stáhnout, nebo ji mohou do SIEM podat různé detekční a ochranné systémy. Vzhledem k tomu, že každý systém má svůj vlastní způsob kategorizace a záznamu dat, je na SIEM normalizovat data a učinit je jednotnými, bez ohledu na to, jaký je jejich zdroj.

Po normalizaci budou zaznamenaná data často porovnána se známými vzory útoků ve snaze co nejdříve rozpoznat škodlivé chování. Data budou také často porovnávána s dříve shromážděnými daty, aby se pomohla vytvořit základní linii, která dále zlepší detekci abnormální aktivity.

Odezva na událost

Jakmile je událost detekována, je třeba s ní něco udělat. O tom je modul odezvy na události pro systém SIEM. Odezva na událost může mít různé podoby. Ve své nejzákladnější implementaci bude na konzole systému generována výstražná zpráva. Často lze také generovat upozornění e-mailem nebo SMS.

Ale nejlepší systémy SIEM jdou ještě o krok dále a často zahájí nějaký proces nápravy. Opět jde o něco, co může mít mnoho podob. Nejlepší systémy mají kompletní systém workflow reakce na incidenty, který lze přizpůsobit tak, aby poskytoval přesně takovou reakci, jakou chcete. A jak by se dalo očekávat, reakce na incidenty nemusí být jednotná a různé události mohou spustit různé procesy. Nejlepší systémy vám poskytnou úplnou kontrolu nad pracovním postupem reakce na incidenty.

Hlášení

Jakmile budete mít shromažďování a správu protokolů a systémy odezvy na místě, dalším stavebním kamenem, který potřebujete, je hlášení. Možná to ještě nevíte, ale budete potřebovat zprávy. Vyšší management je bude potřebovat, aby se na vlastní oči přesvědčili, že se jim investice do systému SIEM vyplácí. Můžete také potřebovat zprávy pro účely shody. Vyhovění standardům jako PCI DSS, HIPAA nebo SOX lze usnadnit, když váš systém SIEM dokáže generovat zprávy o shodě.

Zprávy nemusí být jádrem systému SIEM, ale přesto jsou jednou ze základních součástí. A často bude podávání zpráv hlavním rozlišovacím faktorem mezi konkurenčními systémy. Zprávy jsou jako bonbóny, nikdy jich nemůžete mít příliš mnoho. A samozřejmě nejlepší systémy vám umožní vytvářet vlastní sestavy.

řídicí panely

V neposlední řadě bude dashboard vaším oknem do stavu vašeho SIEM systému. A dokonce může existovat více přístrojových panelů. Protože různí lidé mají různé priority a zájmy, dokonalý řídicí panel pro správce sítě se bude lišit od panelu pro správce zabezpečení. A jednatel bude potřebovat také úplně jiného.

I když nemůžeme hodnotit systém SIEM podle počtu řídicích panelů, které má, musíte si vybrat takový, který má všechny řídicí panely, které potřebujete. To je určitě něco, co budete chtít mít na paměti, když budete hodnotit dodavatele. A stejně jako u sestav vám nejlepší systémy umožní vytvářet přizpůsobené řídicí panely podle vašich představ.

Našich 6 nejlepších nástrojů SIEM

Existuje mnoho systémů SIEM. Vlastně až příliš mnoho na to, abychom je zde mohli všechny zhodnotit. Prohledali jsme tedy trh, porovnali systémy a vytvořili seznam toho, co jsme našli jako šest nejlepších nástrojů pro správu informací a zabezpečení (SIEM). Uvádíme je v pořadí podle preferencí a stručně je zkontrolujeme. Ale i přes jejich pořadí je všech šest vynikajících systémů, které vám můžeme jen doporučit vyzkoušet.

  Notebook se nepřipojí k hotspotu iPhone (nefunguje)

Zde je našich 6 nejlepších nástrojů SIEM

Správce protokolů a událostí SolarWinds
Splunk Enterprise Security
RSA NetWitness
ArcSight Enterprise Security Manager
McAfee Enterprise Security Manager
IBM QRadar SIEM

1. SolarWinds Log & Event Manager (30 DENNÍ ZKUŠEBNÍ ZKOUŠKA ZDARMA)

SolarWinds je běžný název ve světě monitorování sítě. Jejich vlajkový produkt, Network Performance Monitor, je jedním z nejlepších dostupných nástrojů pro monitorování SNMP. Společnost je také známá svými četnými bezplatnými nástroji, jako je jejich kalkulačka podsítě nebo jejich SFTP server.

Nástroj SIEM společnosti SolarWinds, Log and Event Manager (LEM) je nejlépe popsán jako systém SIEM základní úrovně. Ale je to možná jeden z nejkonkurenceschopnějších systémů základní úrovně na trhu. SolarWinds LEM má vše, co můžete očekávat od systému SIEM. Má vynikající funkce pro dlouhé řízení a korelaci a působivý nástroj pro vytváření zpráv.

Pokud jde o funkce odezvy na události nástroje, ty neponechávají žádná přání. Podrobný systém odezvy v reálném čase bude aktivně reagovat na každou hrozbu. A protože je založeno spíše na chování než na podpisu, jste chráněni před neznámými nebo budoucími hrozbami.

Ale přístrojová deska tohoto nástroje je možná jeho nejlepší výhodou. Díky jednoduchému designu nebudete mít problém rychle identifikovat anomálie. Nástroj začíná na přibližně 4 500 USD a je více než cenově dostupný. A pokud si to chcete nejprve vyzkoušet, je k dispozici ke stažení bezplatná plně funkční 30denní zkušební verze.

2. Splunk Enterprise Security

Možná jeden z nejpopulárnějších systémů SIEM, Splunk Enterprise Security– nebo Splunk ES, jak se mu často říká – je zvláště známý pro své analytické schopnosti. Splunk ES monitoruje data vašeho systému v reálném čase a hledá slabá místa a známky abnormální aktivity.

Bezpečnostní reakce je další ze silných stránek Splunk ES. Systém využívá to, co Splunk nazývá Adaptive Response Framework (ARF), který se integruje se zařízením od více než 55 dodavatelů zabezpečení. ARF provádí automatickou odezvu a urychluje manuální úkoly. To vám umožní rychle získat převahu. Přidejte k tomu jednoduché a přehledné uživatelské rozhraní a máte vítězné řešení. Mezi další zajímavé funkce patří funkce Notables, která zobrazuje uživatelsky přizpůsobitelná upozornění a Asset Investigator pro označování škodlivých aktivit a předcházení dalším problémům.

Splunk ES je skutečně produktem podnikové třídy a přichází s cenovkou podnikové velikosti. Nemůžete získat ani informace o cenách z webových stránek společnosti Splunk. Pro získání ceny musíte kontaktovat obchodní oddělení. Navzdory své ceně je to skvělý produkt a možná budete chtít kontaktovat Splunk a využít bezplatnou zkušební verzi.

3. RSA NetWitness

Od roku 20016 se NetWitness zaměřuje na produkty podporující „hluboké situační povědomí o síti v reálném čase a agilní síťovou odezvu“. Po akvizici společností EMC, která se poté sloučila se společností Dell, je nyní podnik Newitness součástí pobočky RSA korporace. A to je dobrá zpráva RSA je slavné jméno v oblasti bezpečnosti.

RSA NetWitness je ideální pro organizace, které hledají kompletní řešení síťové analýzy. Tento nástroj obsahuje informace o vaší firmě, které pomáhají upřednostňovat upozornění. Podle RSA systém „shromažďuje data z více záchytných bodů, počítačových platforem a zdrojů informací o hrozbách než jiná řešení SIEM“. K dispozici je také pokročilá detekce hrozeb, která kombinuje analýzu chování, techniky datové vědy a zpravodajství o hrozbách. A konečně, pokročilý systém odezvy se může pochlubit schopnostmi orchestrace a automatizace, které vám pomohou zbavit se hrozeb dříve, než ovlivní vaše podnikání.

  Jak nainstalovat klienta DBeaver MySQL na Ubuntu

Jednou z hlavních nevýhod RSA NetWitness je, že není nejjednodušší používat a konfigurovat. K dispozici je však obsáhlá dokumentace, která vám může pomoci s nastavením a používáním produktu. Toto je další produkt podnikové úrovně a budete muset kontaktovat prodejce, abyste získali informace o cenách.

4. ArcSight Enterprise Security Manager

ArcSight Enterprise Security Manager pomáhá identifikovat a upřednostňovat bezpečnostní hrozby, organizovat a sledovat aktivity reakce na incidenty a zjednodušit audit a činnosti v oblasti dodržování předpisů. Dříve se prodával pod značkou HP, nyní se sloučil s Micro Focus, další dceřinou společností HP.

ArcSight, který existuje již více než patnáct let, je dalším nesmírně oblíbeným nástrojem SIEM. Sestavuje logová data z různých zdrojů a provádí rozsáhlou analýzu dat, hledá známky škodlivé činnosti. Chcete-li usnadnit rychlou identifikaci hrozeb, můžete si prohlédnout výsledky analýzy real0tme.

Zde je přehled hlavních funkcí produktů. Má výkonnou distribuovanou korelaci dat v reálném čase, automatizaci pracovních postupů, orchestraci zabezpečení a bezpečnostní obsah řízený komunitou. Enterprise Security Manager se také integruje s dalšími produkty ArcSight, jako je ArcSight Data Platform a Event Broker nebo ArcSight Investigate. Toto je další produkt podnikové třídy – jako téměř všechny kvalitní nástroje SIEM – který vyžaduje, abyste kontaktovali prodejní tým společnosti ArcSight, abyste získali informace o cenách.

5. McAfee Enterprise Security Manager

McAfee je jistě další jméno v bezpečnostním průmyslu. Známější je však svými produkty na ochranu proti virům. The Podnikový bezpečnostní manažer není jen software. Je to vlastně spotřebič. Můžete jej získat ve virtuální nebo fyzické podobě.

Z hlediska analytických schopností je McAfee Enterprise Security Manager mnohými považován za jeden z nejlepších nástrojů SIEM. Systém shromažďuje protokoly z celé řady zařízení. Pokud jde o jeho normalizační schopnosti, je také špičkový. Korelační stroj snadno kompiluje různé zdroje dat, což usnadňuje detekci bezpečnostních událostí, jakmile k nim dojde

Po pravdě řečeno, v řešení McAfee je více než jen jeho Enterprise Security Manager. Chcete-li získat kompletní řešení SIEM, potřebujete také Enterprise Log Manager a Event Receiver. Naštěstí lze všechny produkty zabalit do jednoho zařízení. Pro ty z vás, kteří si chtějí produkt před zakoupením vyzkoušet, je k dispozici bezplatná zkušební verze.

6. IBM QRadar

IBM, možná nejznámější jméno v IT průmyslu, dokázalo zavést své řešení SIEM, IBM QRadar je jedním z nejlepších produktů na trhu. Tento nástroj umožňuje bezpečnostním analytikům odhalovat anomálie, odhalovat pokročilé hrozby a odstraňovat falešné poplachy v reálném čase.

IBM QRadar se může pochlubit sadou funkcí pro správu protokolů, sběr dat, analýzu a detekci narušení. Společně pomáhají udržovat vaši síťovou infrastrukturu v provozu. Existuje také analýza modelování rizik, která může simulovat potenciální útoky.

Některé z klíčových funkcí QRadar zahrnují schopnost nasadit řešení on-premise nebo v cloudovém prostředí. Je to modulární řešení a lze rychle a levně přidat další úložiště výpočetního výkonu. Systém využívá odborné znalosti z IBM X-Force a lze jej hladce integrovat se stovkami produktů IBM i jiných společností.

Protože IBM je IBM, můžete očekávat, že za jejich řešení SIEM zaplatíte vyšší cenu. Pokud ale potřebujete jeden z nejlepších nástrojů SIEM na trhu, do QRadar se možná vyplatí investovat.

Závěrem

Jediný problém, který vám hrozí při nákupu nejlepšího nástroje pro monitorování bezpečnostních informací a událostí (SIEM), je množství vynikajících možností. Právě jsme představili šest nejlepších. Všechny jsou vynikající volbou. Ten, který si vyberete, bude do značné míry záviset na vašich přesných potřebách, vašem rozpočtu a času, který jste ochotni věnovat jeho nastavení. Bohužel, počáteční konfigurace je vždy tou nejtěžší částí a zde se může něco pokazit, protože pokud není nástroj SIEM správně nakonfigurován, nebude schopen správně vykonávat svou práci.

Text 50 – 2300