13 nejlepších nástrojů SIEM pro rok 2022: seřazení dodavatelů a řešení

SIEM je zkratka pro Security Information and Event Management. Nástroje SIEM poskytují analýzu bezpečnostních výstrah generovaných aplikacemi a síťovým hardwarem v reálném čase.

Na trhu je více než 50 řešení SIEM a tato příručka vám pomůže určit to správné pro vaši organizaci.

Zde je náš seznam nejlepších nástrojů SIEM:

1. Datadog Security Monitoring VÝBĚR REDAKCECloudový nativní systém pro monitorování a správu sítě, který zahrnuje monitorování zabezpečení a správu protokolů v reálném čase. Dodává se s více než 500 integracemi dodavatelů ihned po vybalení. Začněte na 14denní bezplatné zkušební verzi.
2. Správce událostí zabezpečení SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA)Jeden z nejkonkurenceschopnějších nástrojů SIEM na trhu se širokou škálou funkcí správy protokolů.
3. LogPoint (PRÍSTUP K DEMO) Toto místní řešení SIEM je schopno koordinovat s dalšími bezpečnostními nástroji v síti shromažďovat data o aktivitách a implementovat nápravu hrozeb. K dispozici jako fyzické zařízení nebo softwarový balíček pro Linux.
4. Graylog (PLÁN ZDARMA)Tento balíček pro správu protokolů obsahuje rozšíření služby SIEM, které je dostupné v bezplatné a placené verzi a má možnost cloudu.
5. ManageEngine EventLog Analyzer (ZKUŠEBNÍ ZKOUŠKA ZDARMA) Nástroj SIEM, který spravuje, chrání a těží soubory protokolu. Tento systém se instaluje na Windows, Windows Server a Linux.
6. ManageEngine Log360 (ZKOUŠKA ZDARMA) Tento balíček SIEM shromažďuje protokoly z místních a cloudových systémů a také využívá informační kanál hrozeb. Běží na Windows Server.
7. Exabeam Fusion Tato cloudová platforma nabízí bezpečnostní řešení, které lze považovat za SIEM nové generace nebo XDR nové generace.
8. Splunk Enterprise SecurityTento nástroj pro Windows a Linux je světovým lídrem, protože kombinuje analýzu sítě se správou protokolů spolu s vynikajícím analytickým nástrojem.
9. OSSEC Open-source systém HIDS Security, který je zdarma k použití a funguje jako služba správy bezpečnostních informací.
10. Platforma LogRhythm NextGen SIEMTento provoz podporuje špičková technologie založená na umělé inteligenci nástroj pro analýzu protokolů pro Windows a Linux.
11. Jednotná správa zabezpečení AT&T Cybersecurity AlienVaultSkvělá hodnota SIEM, který běží na Mac OS i Windows.
12. RSA NetWitnessExtrémně komplexní a přizpůsobené velkým organizacím, ale trochu příliš pro malé a střední podniky. Běží na Windows.
13. IBM QRadarPřední nástroj SIEM na trhu, který běží v prostředí Windows.
14. McAfee Enterprise Security ManagerPopulární nástroj SIEM, který prochází vaše záznamy Active Directory a potvrzuje zabezpečení systému. Běží na Mac OS i Windows.

Co je správa bezpečnostních informací a událostí (SIEM)?

SIEM je zastřešující termín pro bezpečnostní softwarové balíčky od systémů správy protokolů po správu bezpečnostních protokolů / událostí, správu bezpečnostních informací a korelaci bezpečnostních událostí. Častěji než ne tyto funkce jsou kombinovány pro 360stupňové zobrazení.

I když systém SIEM není spolehlivý, je to jeden z klíčových ukazatelů toho, že organizace má jasně definovanou politiku kybernetické bezpečnosti. V devíti případech z deseti nemají kybernetické útoky žádné jasné informace na povrchové úrovni. K detekci hrozeb je efektivnější používat soubory protokolu. Díky vynikajícím možnostem správy protokolů SIEM se z nich stalo centrální centrum transparentnosti sítě.

Většina bezpečnostních programů funguje v mikroměřítku, řeší menší hrozby, ale chybí jim větší obraz kybernetických hrozeb. An Systém detekce narušení (IDS) sám o sobě málokdy dokáže více než sledovat pakety a IP adresy. Podobně vaše protokoly služeb zobrazují pouze uživatelské relace a změny konfigurace. SIEM spojuje tyto systémy a jemu podobné, aby poskytly úplný přehled o jakémkoli bezpečnostním incidentu prostřednictvím monitorování v reálném čase a analýzy protokolů událostí.

Co je správa bezpečnostních informací (SIM)?

SzabezpečeníjánformacíMřízení (Ano) je shromažďování, sledování a analýza dat souvisejících se zabezpečením z počítačových protokolů. Také označovaný jako správa protokolů .

Co je správa bezpečnostních událostí (SEM)?

SzabezpečeníAvětrací otvorMřízení (KTERÝ) je postup správy síťových událostí včetně analýzy hrozeb v reálném čase, vizualizace a reakce na incidenty.

SIEM vs SIM vs SEM – jaký je rozdíl?

SIEM, SIM a SEM se často používají zaměnitelně, ale existují určité klíčové rozdíly.

schopnosti SIEM

Základní schopnosti SIEM jsou následující:

• Sbírka protokolů
• Normalizace – shromažďování protokolů a jejich normalizace do standardního formátu)
• Oznámení a upozornění – Upozornit uživatele, když jsou identifikovány bezpečnostní hrozby
• Detekce bezpečnostních incidentů
• Pracovní postup reakce na hrozby – Pracovní postup pro zpracování minulých bezpečnostních událostí

SIEM zaznamenává data z celé vnitřní sítě nástrojů uživatelů a identifikuje potenciální problémy a útoky. Systém pracuje na základě statistického modelu pro analýzu záznamů protokolu. SIEM distribuuje agenty sběru dat a vyvolává data ze sítě, zařízení, serverů a firewallů.

Všechny tyto informace jsou poté předány do konzoly pro správu, kde je lze analyzovat a řešit tak vznikající hrozby. Není neobvyklé, že pokročilé systémy SIEM používají automatické odpovědi, analýzu chování entit a orchestraci zabezpečení. To zajišťuje, že zranitelná místa mezi nástroji kybernetické bezpečnosti lze monitorovat a řešit pomocí technologie SIEM.

Jakmile se potřebné informace dostanou do konzoly pro správu, prohlédne si je datový analytik, který může poskytnout zpětnou vazbu k celkovému procesu. To je důležité, protože zpětná vazba pomáhá vzdělávat systém SIEM v oblasti strojového učení a zvyšovat jeho obeznámenost s okolním prostředím.

Jakmile softwarový systém SIEM identifikuje hrozbu, komunikuje s ostatními bezpečnostními systémy na zařízení, aby nežádoucí aktivitu zastavil. Kolaborativní povaha systémů SIEM z nich dělá oblíbené řešení v podnikovém měřítku. Nárůst všudypřítomných kybernetických hrozeb však přiměl mnoho malých a středních podniků, aby také zvážily výhody systému SIEM.

Tato změna byla relativně nedávná kvůli značným nákladům na přijetí SIEM. Nejenže musíte zaplatit značnou částku za samotný systém; musíte vyčlenit jednoho nebo dva zaměstnance, aby na to dohlíželi. V důsledku toho byly menší organizace méně nadšené přijetím SIEM. To se však začalo měnit, protože malé a střední podniky mohou outsourcovat poskytovatelům řízených služeb.

Proč je SIEM důležitý?

SIEM se stal základní bezpečnostní složkou moderních organizací. Hlavním důvodem je, že každý uživatel nebo sledovač za sebou zanechává virtuální stopu v datech protokolu sítě. Systémy SIEM jsou navrženy tak, aby využívaly tato data protokolu za účelem vytvoření náhledu na minulé útoky a události. Systém SIEM nejen identifikuje, že k útoku došlo, ale umožňuje vám také vidět, jak a proč k němu došlo.

Jak organizace aktualizují a upgradují na stále složitější IT infrastruktury, SIEM se v posledních letech stává ještě důležitější. Na rozdíl od všeobecného přesvědčení, firewally a antivirové balíčky nestačí k ochraně sítě jako celku. Útoky nultého dne mohou stále proniknout obranou systému, i když jsou tato bezpečnostní opatření zavedena.

SIEM řeší tento problém tím, že detekuje aktivitu útoku a posuzuje ji proti minulému chování v síti. Systém SIEM má schopnost rozlišovat mezi legitimním použitím a škodlivým útokem. To pomáhá zvýšit ochranu systému před incidenty a vyhnout se poškození systémů a virtuálního majetku.

Použití SIEM také pomáhá společnostem dodržovat různé průmyslové předpisy pro kybernetický management. Správa protokolů je průmyslovým standardním způsobem auditu činnosti v síti IT. Systémy SIEM poskytují nejlepší způsob, jak splnit tento regulační požadavek a poskytují transparentnost protokolů za účelem vytváření jasných náhledů a vylepšení.

Základní vlastnosti SIEM Tools

Ne všechny systémy SIEM jsou postaveny stejně. V důsledku toho neexistuje univerzální řešení. Řešení SIEM, které je vhodné pro jednu společnost, může být pro jinou neúplné. V této části rozebereme základní funkce potřebné pro systém SIEM.

Správa dat protokolu

Jak bylo zmíněno výše, správa protokolových dat je základní součástí jakéhokoli podnikového systému SIEM. Systém SIEM potřebuje shromažďovat informace protokolu z různých zdrojů dat, z nichž každý má svůj vlastní způsob kategorizace a záznamu dat. Když hledáte systém SIEM, chcete systém, který má schopnost efektivně normalizovat data (pokud váš systém SIEM nespravuje nesourodá data protokolu, možná budete potřebovat program třetí strany).

Jakmile jsou data normalizována, jsou poté kvantifikována a porovnána s dříve zaznamenanými daty. Systém SIEM pak dokáže rozpoznat vzorce škodlivého chování a upozornit uživatele, aby provedl akci. Tato data pak může prohledávat analytik, který může definovat nová kritéria pro budoucí výstrahy. To pomáhá rozvíjet obranu systému proti novým hrozbám.

Hlášení o shodě

Z hlediska pohodlí a regulačních požadavků je velmi důležité mít SIEM s rozsáhlými funkcemi pro hlášení shody. Obecně platí, že většina systémů SIEM má nějaký druh integrovaného systému generování zpráv, který vám pomůže splnit vaše požadavky na shodu.

Zdroj požadavků norem, kterým se musíte přizpůsobit, bude mít velký vliv na to, jaký systém SIEM nainstalujete. Pokud jsou vaše bezpečnostní standardy diktovány zákaznickými smlouvami, nemáte příliš volnost při výběru systému SIEM – pokud nepodporuje požadovaný standard, nebude to žádný, na který jste zvyklí. Můžete být požádáni, abyste prokázali dodržování PCI DSS , FISMA , FERPA, HIPAA , SOX , ISO, NCUA, GLBA, NERC CIP, GPG13, DISA STIG nebo jeden z mnoha dalších průmyslových standardů.

Threat Intelligence

Pokud dojde k narušení nebo útoku, můžete vygenerovat zprávu, která podrobně popisuje, jak k němu došlo. Tato data pak můžete použít k upřesnění interních procesů a úpravám vaší síťové infrastruktury, aby se to už neopakovalo. Díky technologii SIEM se vaše síťová infrastruktura neustále vyvíjí, aby čelila novým hrozbám.

Podmínky upozornění na jemné doladění

Schopnost nastavit kritéria pro budoucí bezpečnostní výstrahy je nezbytná pro udržení efektivního systému SIEM prostřednictvím zpravodajství o hrozbách. Upřesnění výstrah je hlavním způsobem, jak udržovat systém SIEM aktualizovaný proti novým hrozbám. Inovativní kybernetické útoky se objevují každý den, takže používání systému, který je navržen tak, aby přidával nová bezpečnostní upozornění, vám zabrání zůstat pozadu.

Chcete se také ujistit, že najdete softwarovou platformu SIEM, která může omezit počet bezpečnostních výstrah, které obdržíte. Pokud jste zaplaveni výstrahami, váš tým nebude schopen včas řešit bezpečnostní problémy. Bez dolaďování výstrah budete vystaveni prohledávání spousty událostí od firewallů po protokoly narušení.

Přístrojová deska

Rozsáhlý systém SIEM není k ničemu, pokud za ním máte špatnou palubní desku. Díky řídicímu panelu s jednoduchým uživatelským rozhraním je mnohem snazší identifikovat hrozby. V praxi hledáte řídicí panel s vizualizací. Okamžitě to umožní vašemu analytikovi zjistit, zda se na displeji vyskytují nějaké anomálie. V ideálním případě chcete systém SIEM, který lze nakonfigurovat tak, aby zobrazoval konkrétní data událostí.

Nejlepší nástroje SIEM

Před výběrem nástroje SIEM je důležité zhodnotit své cíle. Pokud například hledáte nástroj SIEM pro splnění regulačních požadavků, generování zpráv bude jednou z vašich hlavních priorit.

Na druhou stranu, pokud chcete používat systém SIEM, abyste zůstali chráněni proti vznikajícím útokům, potřebujete systém s vysokou funkční normalizací a rozsáhlými uživatelsky definovanými možnostmi upozornění. Níže se podíváme na některé z nejlepších nástrojů SIEM na trhu.

Naše metodika pro výběr nástroje SIEM

Zkontrolovali jsme trh SIEM a analyzovali nástroje na základě následujících kritérií:

• Systém, který shromažďuje jak protokolové zprávy, tak živá dopravní data
• Modul pro správu souborů protokolu
• Nástroje pro analýzu dat
• Možnost hlásit se podle standardů ochrany dat
• Snadná instalace se snadno použitelným rozhraním
• Zkušební období pro posouzení
• Správná rovnováha mezi funkčností a hodnotou za peníze

1. Monitorování zabezpečení Datadog (ZKUŠEBNÍ ZKOUŠKA ZDARMA)

Operační systém:Na bázi cloudu

Datadogje balíček pro monitorování systému na bázi cloudu která zahrnuje bezpečnostní monitorování. Bezpečnostní prvky systému jsou obsaženy ve specializovaném modulu. Toto je úplný systém SIEM, protože monitoruje živé události, ale shromažďuje je jako záznamy v souboru protokolu, takže funguje na obou log informace a dál monitorovací údaje . Služba shromažďuje místní informace prostřednictvím agenta, který nahraje každý záznam na server Datadog. Modul bezpečnostního monitorování poté analyzuje všechna příchozí oznámení a zaznamenává je.

Klíčové vlastnosti:

• Detekce bezpečnostních událostí v reálném čase
• Více než 500 integrací dodavatelů
• Sledujte metriky, trasování, protokoly a další z jednoho řídicího panelu
• Solidní předem nakonfigurovaná detekční pravidla

Spouštěcí události zabezpečení upozornění v konzole pro službu. Konzole také umožňuje přístup ke všem záznamům událostí. Zaprotokolované zprávy jsou indexovány a uchovávány po dobu 15 měsíců. Lze k nim přistupovat pro analýzu prostřednictvím konzole Datadog nebo je lze extrahovat za účelem importu do jiného analytického nástroje.

Možnosti zpracování mimo pracoviště snižují nároky na zpracování vaší infrastruktury. To také velmi usnadňuje monitorovat vzdálené sítě . Služba analýzy má předdefinovanou sadu pravidel, která automaticky odhalí známé útočné vektory.

Fond pravidel detekce dostane automaticky aktualizovány Datadog, když jsou objeveny nové strategie útoku. To znamená, že správci systému se nemusí starat o aktualizaci bezpečnostního softwaru, protože tento proces probíhá automaticky na cloudovém serveru. Pro správce systému je to také velmi snadné vytvořit vlastní pravidla detekce a zmírnění .

Klady:

• Detekce hrozeb v reálném čase
• Plná viditelnost zabezpečení s více než 500 integracemi
• Začněte okamžitě detekovat hrozby pomocí výchozích pravidel mapovaných na rámec MITER ATT&CK
• Datadog dosáhl skóre 4,6/5 v průzkumu společnosti Gartner mezi IT zákazníky
• 14denní bezplatná zkušební verze

Nevýhody:

• Bohatství funkčnosti může být zpočátku trochu ohromující

Datadog je dostupný na 14denní bezplatná zkušební verze .

VÝBĚR REDAKCE

Datadog je naše nejlepší volba.Nabízí nabídku specializovaných modulů a všechny lze nasadit samostatně nebo jako sadu. Větší funkčnost získáte kombinací modulů, které jsou všechny schopny sdílet data o sledovaném systému.

Získejte 14denní bezplatnou zkušební verzi:datadoghq.com/product/security-monitoring/

VY:Cloud-nativní

2. Správce událostí zabezpečení SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA)

Operační systém:Okna

Pokud jde o základní nástroje SIEM,Správce událostí zabezpečení SolarWinds(KTERÝ) je jednou z nejkonkurenceschopnějších nabídek na trhu. SEM ztělesňuje všechny základní funkce, které byste očekávali od systému SIEM, s rozsáhlými funkcemi pro správu protokolů a vytváření sestav. Detailní odezva na incidenty SolarWinds v reálném čase z něj dělá skvělý nástroj pro ty, kteří chtějí využívat protokoly událostí Windows k aktivní správě své síťové infrastruktury proti budoucím hrozbám.

Klíčové vlastnosti:

• Automatizované protokolové vyhledávání narušení
• Živá detekce anomálií
• Historická analýza
• Systémová upozornění
• 30denní bezplatná zkušební verze

Jednou z nejlepších věcí na SEM je jeho detailní a intuitivní design přístrojové desky. Jednoduchost vizualizačních nástrojů umožňuje uživateli snadno identifikovat jakékoli anomálie. Jako uvítací bonus společnost nabízí nepřetržitou podporu, takže se na ni můžete obrátit s žádostí o radu, pokud narazíte na chybu.

Klady:

• SIEM zaměřený na podniky se širokou škálou integrací
• Jednoduché filtrování protokolů, není třeba se učit vlastní dotazovací jazyk
• Desítky šablon umožňují správcům začít používat SEM s malým nastavováním nebo přizpůsobením
• Nástroj pro historickou analýzu pomáhá najít anomální chování a odlehlé hodnoty v síti

Nevýhody:

• SEM Je pokročilý produkt SIEM vytvořený pro profesionály, vyžaduje čas, aby se plně naučil platformu

Dobře vypadající rozhraní se spoustou grafické vizualizace dat stojí v popředí výkonného a komplexního nástroje SIEM, který běží na Windows Server. Odezva na incidenty v reálném čase usnadňuje aktivní správu vaší infrastruktury a díky podrobnému a intuitivnímu řídicímu panelu je to jedna z nejsnadněji použitelných na trhu.

Získejte 30denní bezplatnou zkušební verzi:solarwinds.com/security-event-manager/

VY:Okna

3. LogPoint (VSTUP ZDARMA K DEMO)

LogPointje místní systém SIEM, který používá detekce anomálií pro svou strategii lovu hrozeb.

Služba pomocí procesů strojového učení zaznamenává pravidelnou aktivitu každého uživatele a zařízení. To vytváří základní linii, ze které lze identifikovat neobvyklé chování, které spouští cílené sledování aktivity. Tato technika se nazývá analytika chování uživatelů a entit (UEBA). The Na bázi AI technika strojového učení snižuje požadavky na zpracování, protože omezuje intenzivní vyšetřování pouze na ty účty nebo zařízení, která vyvolala podezření.

Klíčové vlastnosti:

• Efektivní zpracování
• UEBA pro základní činnost
• Detekce převzetí účtu
• Inteligence o hrozbách

Systém LogPoint je informován databází typických strategií útoku, které jsou tzv Ukazatele kompromisu (IoC). Tento seznam triků je poměrně statický, ale kdykoli LogPoint identifikuje novou strategii, společnost aktualizuje všechny instance svého systému SIEM běžící na klientských webech po celém světě.

Strategie třídění LogPointu nejen snižuje využití procesoru, ale také zrychluje systém. The detekce hrozeb indikátory jsou uloženy centrálně, takže následné indikátory, které jsou identifikovány, budou korelovány, ať se v systému vyskytují kdekoli.

Klady:

• Pravidla detekce hrozeb
• Orchestrování s dalšími nástroji
• Detekce vnitřní hrozby
• Hlášení GDPR

Nevýhody:

• Žádné bezplatné zkušební období

LogPoint je schopen komunikovat s nástroji třetích stran pro extrakci dat o aktivitě a shromažďuje výstupy těchto protokolových zpráv z více než 25 000 různých zdrojů. Integrace s dalšími nástroji se nazývá bezpečnostní orchestraci, automatizaci a odezvu (SOAR) a může také poslat pokyn k nápravě zpět do těchto jiných systémů. V systému je vysoký stupeň automatizace, který zahrnuje schopnost generovat vstupenky, které se vloží do vašeho systému Service Desk.

LogPoint můžete získat jako síťové zařízení nebo jako softwarový balíček pro instalaci Linux . Neexistuje žádná bezplatná zkušební verze, ale můžetepožádat o demok posouzení balíčku

LogPoint Access ZDARMA DEMO

4. Graylog (PLÁN ZDARMA)

Graylogje systém správy protokolů, který lze upravit pro použití jako nástroj SIEM . Balíček obsahuje datový kolektor, který sbírá zprávy protokolu pocházející z operačních systémů. Je také schopen zachytit data protokolu ze seznamu aplikací, se kterými je balíček integrován. Dva hlavní formáty, které Graylog zachytí, jsou Syslog a Události systému Windows .

Klíčové vlastnosti:

• Sběratel dat
• Integrace aplikací
• Syslog a události Windows
• Konsolidátor

Kolektor dat předává zprávy protokolu na server protokolu, kde jsou konsolidovány do společného formátu. Systém Graylog vypočítává statistiky propustnosti protokolů a zobrazuje je živý ocas záznamy v konzole, jakmile přijdou. Log server pak ukládá zprávy a spravuje smysluplnou adresářovou strukturu. Kterýkoli z protokolů lze vyvolat zpět do prohlížeče dat pro analýzu.

Systém Graylog obsahuje předem napsané šablony pro Funkce SIEM . Ty lze přizpůsobit a je také možné implementovat playbooky pro automatizované reakce na detekci hrozby.

Klady:

• Přizpůsobitelné funkce SIEM
• Organizace se správci přístupových práv a firewally
• Ad-hoc dotazovací nástroj
• Formáty zpráv

Nevýhody:

• Nenainstaluje se na Windows

Existují čtyři verze Graylogu. Původní vydání je tzv Graylog Open , což je bezplatný balíček s otevřeným zdrojovým kódem s podporou komunity. Tento balíček se nainstaluje na Linux nebo přes virtuální počítač. Dvě hlavní verze jsou Společnost Graylog Enterprise a Graylog Cloud. Rozdíl mezi těmito je ten Graylog Cloud je balíček SaaS a zahrnuje úložný prostor pro soubory protokolu. Enterprise systém běží přes virtuální počítač. Existuje také bezplatná verze Enterprise, tzv Greylog Small Business . Žebezplatný plánje omezena na zpracování2 GB dat za den. Můžete získat demo plné edice Graylog Cloud.

Graylog Small Business Download – ZDARMA až 2 GB/den

5. ManageEngine EventLog Analyzer (ZKUŠEBNÍ ZKOUŠKA ZDARMA)

Operační systém: Windows a Linux

TheManageEngine EventLog Analyzerje nástroj SIEM protože se zaměřuje na správu protokolů a získávání informací o zabezpečení a výkonu z nich.

Nástroj je schopen shromažďovat protokol událostí systému Windows a zprávy Syslog. Tyto zprávy pak uspořádá do souborů, otáčení na nové soubory kde je to vhodné, a ukládat tyto soubory do smysluplně pojmenovaných adresářů pro snadný přístup. EventLog Analyzer pak tyto soubory chrání před neoprávněnou manipulací.

Klíčové vlastnosti:

• Shromažďuje protokoly událostí systému Windows a zprávy Syslog
• Živá detekce narušení
• Log analýza
• Mechanismus upozornění

Systém ManageEngine je však více než protokolový server. Má to analytické funkce který vás bude informovat o neoprávněném přístupu ke zdrojům společnosti. Nástroj také vyhodnotí výkon klíčových aplikací a služeb, jako jsou webové servery, databáze, servery DHCP a tiskové fronty.

Moduly auditu a reportování EventLog Analyzeru jsou velmi užitečné pro prokázání souladu se standardy ochrany dat. Nástroj pro vytváření sestav obsahuje formáty pro shodu s PCI DSS , FISMA , GLBA , SOX , HIPAA , a ISO 27001 .

Klady:

• Multiplatformní, dostupný pro Linux i Windows
• Podporuje audit shody pro všechny hlavní standardy, HIPAA, PCI, FISMA, atd
• Inteligentní upozornění pomáhá snižovat počet falešných poplachů a usnadňuje upřednostňování konkrétních událostí nebo oblastí sítě
• Zahrnuje bezplatnou verzi pro testování

Nevýhody:

• Jedná se o produkt s velkým množstvím funkcí, noví uživatelé, kteří nikdy nepoužívali SIEM, budou muset do tohoto nástroje investovat čas

Existují čtyři vydání ManageEngine EventLog Analyzer a první z nich je Volný, uvolnit . Tato bezplatná verze je omezena na pět zdrojů protokolů a má omezenou sadu funkcí. Nejlevnější placený balíček je Pracovní stanice edice, která dokáže sbírat protokoly až ze 100 uzlů. Pro větší síť byste potřebovali Pojistné vydání a existuje Distribuováno vydání, které bude shromažďovat protokoly z více stránek. Všechny verze poběží dál Windows Server a Linux a můžete získat kteroukoli z placených edic na a30denní bezplatná zkušební verze.

ManageEngine EventLog Analyzer Stáhněte si 30denní zkušební verzi ZDARMA

6. ManageEngine Log360 (ZKUŠEBNÍ ZKOUŠKA ZDARMA)

ManageEngine Log360 je místní balíček, který obsahuje agenty pro různé operační systémy a cloudové platformy. Agenti shromažďují protokolové zprávy a odesílají je na centrální serverovou jednotku. Agenti se integrují s více než 700 aplikacemi, takže z nich mohou extrahovat informace. Zpracovávají také události Windows a zprávy Syslog.

Server protokolů konsoliduje zprávy protokolu a zobrazí je v prohlížeči dat na řídicím panelu, jakmile přijdou. Nástroj také poskytuje metadata o zprávách protokolu, jako je rychlost příchodu.

Klíčové vlastnosti:

• Sběr protokolů z webu a cloudových systémů
• Inteligence o hrozbách
• Výstrahy zasílané do balíčků service desk

Tento SIEM přijímá informační kanál o hrozbách, který zvyšuje rychlost detekce hrozeb. Pokud je zaznamenána podezřelá aktivita, Log360 vyvolá výstrahu. Upozornění lze zasílat prostřednictvím systémů service desk, jako je např Správa Engine Service Desk Plus , Ano , a Kayoko . Balíček také obsahuje modul hlášení shody pro PCI DSS, GDPR, FISMA, HIPAA, SOX a GLBA.

Klady:

• Monitorování integrity souborů
• Sloučí události Windows a zprávy Syslog do společného formátu
• Nástroje pro manuální analýzu dat
• Automatická detekce hrozeb
• Správa protokolů a reporting shody

Nevýhody:

• Není k dispozici pro Linux

ManageEngine Log360 běží na Windows Server a je k dispozici na 30denní bezplatnou zkušební verzi.

ManageEngine Log360 Stáhněte si 30denní zkušební verzi ZDARMA

7. Exabeam Fusion

Operační systém : Cloudové

Exabeam Fusion je předplatitelská služba. Jako balíček SaaS je systém hostován a zahrnuje výpočetní výkon cloudového serveru a úložný prostor pro data protokolu. Systém potřebuje zdrojová data pro své rutiny pro vyhledávání hrozeb a ta jsou zajišťována agenty, které je třeba nainstalovat do sítí, které mají být chráněny Exabeamem.

Klíčové vlastnosti:

• Adaptabilní základní linie prostřednictvím UEBA
• SOAR pro detekci a odezvu

Agenti na místě shromažďují zprávy protokolu a nahrávají je na server Exabeam. Spolupracují také s bezpečnostními balíčky na místě, jako jsou firewally a antivirové systémy, aby získali více informací o událostech. Jedná se o bezpečnostní orchestraci, automatizaci a odezvu (SOAR) a spolupráce s nástroji třetích stran také funguje na odstavení zjištěných hrozeb.

Konzole Exabeam také obsahuje modul analýzy. To umožňuje technikům sledovat události a zkoumat hraniční anomálie, které by mohly být považovány za hrozby nebo by mohly být jen legitimními, zřídka se vyskytujícími akcemi. Systém analýzy představuje časovou osu útoku a ukazuje, jaké řetězce událostí vedou k rozhodnutí považovat tyto aktivity za hrozbu.

Klady:

• Bezpečný balíček mimo web, který není zranitelný vůči útoku
• Automatické aktualizace informací o hrozbách
• Automatické reakce na zastavení útoků

Nevýhody:

• Žádná bezplatná zkušební verze
• Žádný ceník

Exabeam je působivý bezpečnostní produkt se seznamem vysoce profilovaných uživatelů, který zahrnuje banky, veřejné služby a technologické firmy. Jedním z problémů tohoto systému je, že Exabeam nezveřejňuje svůj ceník a neposkytuje bezplatnou zkušební verzi. Nicméně můžete získat demo prozkoumat systém SIEM.

8. Splunk Enterprise Security

Operační systém:Windows a Linux

Splunkje jedním z nejpopulárnějších řešení správy SIEM na světě. Od konkurence se odlišuje tím, že do srdce svého SIEM začlenila analytiku. Síťová a strojová data lze monitorovat v reálném čase, protože systém hledá potenciální zranitelnosti a může dokonce poukazovat na abnormální chování. Funkce Notables Enterprise Security zobrazuje výstrahy, které může uživatel upřesnit.

Klíčové vlastnosti:

• Monitorování sítě v reálném čase
• Asset Investigator
• Historická analýza

Z hlediska reakce na bezpečnostní hrozby je uživatelské rozhraní neuvěřitelně jednoduché. Při provádění kontroly incidentu může uživatel začít se základním přehledem, než se proklikne k podrobným anotacím minulé události. Stejně tak Asset Investigator odvádí dobrou práci při označování škodlivých akcí a předcházení budoucím škodám.

Klady:

• Může využít analýzu chování k detekci hrozeb, které nejsou objeveny prostřednictvím protokolů
• Vynikající uživatelské rozhraní, vysoce vizuální se snadnými možnostmi přizpůsobení
• Snadné stanovení priorit událostí
• Zaměřeno na podnikání
• K dispozici pro Linux a Windows

Nevýhody:

• Cena není transparentní, vyžaduje cenovou nabídku od dodavatele
• Vhodné spíše pro velké podniky
• Pro dotazy používá jazyk SPL (Search Processing Language), čímž prohlubuje křivku učení

Pro cenovou nabídku musíte kontaktovat dodavatele, aby bylo jasné, že se jedná o škálovatelnou platformu navrženou s ohledem na větší organizace. K dispozici je také verze SaaS této služby Splunk s názvem Splunk Security Cloud. To je k dispozici pro a 15denní bezplatná zkušební verze . Zkušební verze systému je omezena na zpracování 5 GB dat denně.

9. OSSEC

Operační systém: Windows, Linux, Unix a Mac

OSSEC je přední hostitelský systém prevence narušení (HIDS). OSSEC je nejen velmi dobrý HIDS, ale je zdarma k použití. Metody HIDS jsou zaměnitelné se službami prováděnými systémy SIM, takže OSSEC také zapadá do definice nástroje SIEM.

Klíčové vlastnosti:

• Správa souborů protokolu
• Možnost balíčku podpory
• Zdarma k použití

Software se zaměřuje na informace dostupné v souborech protokolu, aby hledal důkazy o narušení. Kromě čtení souborů protokolů software sleduje kontrolní součty souborů, aby zjistil neoprávněnou manipulaci. Hackeři vědí, že soubory protokolů mohou odhalit jejich přítomnost v systému a sledovat jejich aktivity, takže mnoho pokročilého malwaru narušujícího vniknutí pozmění soubory protokolu, aby tyto důkazy odstranilo.

Jako bezplatný software neexistuje žádný důvod, proč OSSEC neinstalovat na mnoho míst v síti. Nástroj prověřuje pouze soubory protokolu, které se nacházejí na jeho hostiteli. Programátoři softwaru vědí, že různé operační systémy mají různé systémy protokolování. OSSEC tedy prozkoumá protokoly událostí a pokusy o přístup do registru na záznamech Windows a Syslog a pokusy o přístup root na zařízeních Linux, Unix a Mac OS. Vyšší funkce v softwaru umožňují komunikovat po síti a konsolidovat záznamy protokolu identifikované na jednom místě do centrálního úložiště protokolů SIM.

Přestože je OSSEC k použití zdarma, je ve vlastnictví komerčního podniku – Trend Micro. Frontend systému je ke stažení jako samostatný program a není dokonalý. Většina uživatelů OSSEC dodává svá data do Graylog nebo Kibana jako frontend a jako analytický stroj.

Klady:

• Může být použit na široké škále operačních systémů, Linux, Windows, Unix a Mac
• Může fungovat jako kombinace SIEM a HIDS
• Rozhraní se snadno přizpůsobuje a je vysoce vizuální
• Šablony vytvořené komunitou umožňují administrátorům rychle začít

Nevýhody:

• Pro další analýzu vyžaduje sekundární nástroje jako Graylog a Kibana
• Open-source verze postrádá placenou podporu

Chování OSSEC je diktováno „zásadami“, což jsou signatury aktivit, které je třeba hledat v souborech protokolu. Tyto zásady jsou k dispozici zdarma na fóru komunity uživatelů. Podniky, které upřednostňují pouze používání plně podporovaného softwaru, si mohou předplatit balíček podpory od Trend Micro.

Viz také: Nejlepší HIDS

10. Platforma LogRhythm NextGen SIEM

Operační systém : Windows, zařízení nebo cloud

LogRhythmse již dlouho etablovali jako průkopníci v sektoru řešení SIEM. Od analýzy chování po korelaci protokolů a umělou inteligenci pro strojové učení, tato platforma má vše.

Klíčové vlastnosti:

• Na bázi AI
• Správa souborů protokolu
• Řízená analýza

Systém je kompatibilní s velkým množstvím zařízení a typů protokolů. Pokud jde o konfiguraci nastavení, většina aktivit je spravována prostřednictvím Správce nasazení. Můžete například použít Průvodce hostitelem systému Windows k procházení protokolů systému Windows.

Díky tomu je mnohem snazší zúžit, co se děje ve vaší síti. Zpočátku má uživatelské rozhraní křivku učení, ale obsáhlý návod k použití pomáhá. Třešničkou na dortu je, že návod k použití skutečně poskytuje hypertextové odkazy na různé funkce, které vám pomohou na vaší cestě.

Klady:

• Používá jednoduché průvodce k nastavení shromažďování protokolů a dalších úkolů zabezpečení, díky čemuž je nástroj přívětivější pro začátečníky
• Elegantní rozhraní, vysoce přizpůsobitelné a vizuálně přitažlivé
• Pro analýzu chování využívá umělou inteligenci a strojové učení

Nevýhody:

• Chtěli byste vidět zkušební možnost
• Podpora napříč platformami by byla vítanou funkcí

Cenovka této platformy z ní dělá dobrou volbu pro středně velké organizace, které chtějí zavést nová bezpečnostní opatření.

11. Jednotná správa zabezpečení AT&T Cybersecurity AlienVault

Operační systém : Cloudové

Jako jedno z cenově výhodnějších řešení SIEM na tomto seznamu,AlienVault(nyní součástíAT&T Cybersecurity)je velmi atraktivní nabídka. Ve svém jádru se jedná o tradiční produkt SIEM s vestavěnou detekcí narušení, monitorováním chování a hodnocením zranitelnosti. AlienVault má integrovanou analýzu, kterou byste očekávali od škálovatelné platformy.

Klíčové vlastnosti:

• Detekce narušení
• Monitorování chování

Jedním z unikátnějších aspektů platformy AlienVault je Open Threat Exchange (OTX). OTX je webový portál, který uživatelům umožňuje nahrávat „indikátory kompromisu“ (IOC), které pomáhají ostatním uživatelům označovat hrozby. Jedná se o skvělý zdroj z hlediska obecných znalostí a hrozeb.

Klady:

• Může skenovat soubory protokolu a také poskytovat zprávy o hodnocení zranitelnosti na základě zařízení a aplikací skenovaných v síti
• Uživatelsky poháněný portál umožňuje zákazníkům sdílet svá data o hrozbách za účelem vylepšení systému
• Využívá umělou inteligenci k pomoci správcům při hledání hrozeb

Nevýhody:

• Rád bych viděl delší zkušební dobu
• Protokoly mohou být obtížnější pro vyhledávání a čtení
• Rád bych viděl více možností integrace do jiných bezpečnostních systémů

Díky nízké ceně je tento systém SIEM ideální pro malé a středně velké podniky, které chtějí upgradovat svou bezpečnostní infrastrukturu. Nabídka kybernetické bezpečnosti AT&T zkušební verze zdarma .

12. IBM QRadar SIEM

Operační systém : Linux, virtuální zařízení a cloud

Během posledních několika let se odpověď IBM na SIEM etablovala jako jeden z nejlepších produktů na trhu. Platforma nabízí sadu funkcí pro správu protokolů, analýzy, shromažďování dat a detekci narušení, které pomáhají udržovat vaše kritické systémy v provozu. Veškerá správa protokolů prochází jedním nástrojem:Správce protokolů QRadar. Pokud jde o analýzu, QRadar je téměř kompletní řešení.

Klíčové vlastnosti:

• Správa protokolů
• Detekce narušení
• Analytické funkce

Systém má analýzu modelování rizik, která dokáže simulovat potenciální útoky. To lze použít k monitorování různých fyzických a virtuálních prostředí ve vaší síti. IBM QRadar je jednou z nejúplnějších nabídek na tomto seznamu a je skvělou volbou, pokud hledáte všestranné řešení SIEM.

Klady:

• K hodnocení rizik využívá umělou inteligenci
• Dokáže posoudit dopad na síť na základě simulovaných útoků
• Má jednoduché, ale efektivní rozhraní

Nevýhody:

• Chybí integrace do jiných platforem SOAR a SIEM
• Mohl by použít lepší nástroje pro analýzu toku

Různorodá funkčnost tohoto průmyslového standardu SIEM systému z něj udělala průmyslový standard pro mnoho větších organizací.

Software pro QRadar lze nainstalovat na Red Hat Enterprise Linux nebo jej lze spustit jako virtuální zařízení VMWare , Hyper-V nebo KVM virtualizace. Systém je dostupný také jako cloudová platforma. IBM vytvořilo zdarma Komunitní vydání QRadar, který také funguje jako a zkušební verze systému.

13. McAfee Enterprise Security Manager

Operační systém : Okna. VMWare ESX/ESXi a Cloud

McAfee Enterprise Security Managerje považována za jednu z nejlepších platforem SIEM z hlediska analytiky. Uživatel může prostřednictvím systému Active Directory shromažďovat různé protokoly z celé řady zařízení.

Klíčové vlastnosti:

• Konsolidace logu
• Živé sledování

Pokud jde o normalizaci, korelační stroj společnosti McAfee snadno kompiluje různé zdroje dat. Díky tomu je mnohem snazší zjistit, kdy dojde k bezpečnostní události.

Pokud jde o podporu, uživatelé mají přístup jak k technické podpoře McAfee Enterprise, tak k technické podpoře McAfee Business. Uživatel se může rozhodnout, že jeho stránky navštíví manažer účtu podpory dvakrát ročně, pokud se tak rozhodne. Platforma McAfee je zaměřena na středně velké společnosti, které hledají kompletní řešení správy bezpečnostních událostí.

Klady:

• Používá výkonný korelační modul, který pomáhá rychleji najít a eliminovat hrozby
• Dobře se integruje do prostředí Active Directory
• Postaveno s ohledem na velké sítě

Nevýhody:

• Rozhraní je nepřehledné a často ohromující
• Pro cenovou nabídku je nutné kontaktovat prodej
• Mohl by použít více možností integrace
• Je poměrně náročná na zdroje

Software pro Enterprise Security Manager se nainstaluje na Okna a Windows Server nebo jej můžete spustit jako virtuální zařízení VMWare ESX/ESXi virtualizace. Verze systému VM je k dispozici pro a zkušební verze zdarma , která trvá do konce následujícího měsíce – tedy více než 30 dní. ESM je k dispozici také jako balíček SaaS a tomu se říká ESM Cloud .

Implementace SIEM

Bez ohledu na to, jaký nástroj SIEM se rozhodnete začlenit do svého podnikání, je důležité přijímat řešení SIEM pomalu. Neexistuje žádný rychlý způsob implementace systému SIEM. Nejlepší metodou, jak integrovat platformu SIEM do vašeho IT prostředí, je zavádět ji postupně. To znamená přijmout jakékoli řešení kus po kusu. Měli byste se snažit mít funkce monitorování v reálném čase i analýzy protokolů.

Díky tomu budete mít možnost provést inventuru vašeho IT prostředí a doladit proces přijetí. Postupná implementace systému SIEM vám pomůže zjistit, zda se nevystavujete škodlivým útokům. Nejdůležitější je ujistit se, že máte jasnou představu o cílech, které chcete při používání systému SIEM splnit.

V této příručce uvidíte řadu různých poskytovatelů SIEM nabízejících velmi odlišné koncové produkty. Pokud chcete najít službu, která je pro vás to pravé, věnujte čas prozkoumání dostupných možností a najděte takovou, která odpovídá cílům vaší organizace. V počátečních fázích se budete chtít připravit na nejhorší scénář.

Příprava na nejhorší scénář znamená, že jste připraveni čelit i těm nejtvrdším útokům. Nakonec je lepší být před kybernetickými útoky chráněn nadměrně než nedostatečně. Jakmile si vyberete nástroj, který chcete použít, zavázejte se k aktualizaci. Systém SIEM je jen tak dobrý, jak dobré jsou jeho aktualizace. Pokud se vám nepodaří aktualizovat protokoly a zpřesnit oznámení, nebudete připraveni, až udeří nová hrozba.

Pokud vaše organizace není připravena čelit výzvám spojeným s nasazením nástroje SIEM nebo pokud to váš rozpočet přísně zakazuje, můžete své potřeby SIEM zadat externě společně spravovanému SIEM nebo spravovanému poskytovateli SIEM. Podívejte se na náš příspěvek na nejlépe spravovaná řešení SIEM .

Nejlepší SIEM prodejci

1. Datadog Security Monitoring VÝBĚR REDAKCE
2. SolarWinds (ZKOUŠKA ZDARMA)
3. LogPoint (PRÍSTUP K DEMO)
4. Graylog (PLÁN ZDARMA)
5. ManageEngine EventLog Analyzer (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
6. ManageEngine Log360 (ZKOUŠKA ZDARMA)
7. Splunk
8. OSSEC
9. LogRhythm
10. Kybernetická bezpečnost AT&T
11. RSA
12. IBM
13. McAfee

SIEMFAQ

Co je proces SIEM?

„Proces SIEM“ označuje strategii společnosti v oblasti zabezpečení dat. Nástroje SIEM jsou důležitým prvkem této strategie, ale způsob, jakým jsou nástroje integrovány do pracovních postupů, je dán požadavky na dodržování standardů zabezpečení dat.

Co je SIEM jako služba?

Cloudový software zahrnuje server, na kterém běží software, a také úložný prostor pro data protokolu a nazývá se „Software jako služba“ (SaaS). SIEM as a Service (SIEMaaS) je formou SIEM SaaS a vyšší plány budou zahrnovat poskytování expertních datových analytiků i IT zdrojů.

Co je bezpečnostní událost?

Událost zabezpečení je neočekávané použití systémového prostředku, které indikuje neoprávněné použití dat nebo infrastruktury. Jednotlivá událost se může zdát neškodná, ale v kombinaci s jinými akcemi by mohla přispět k narušení bezpečnosti.

Co je to analýza protokolu v SIEM?

Analýza protokolů restrukturalizuje existující data pro použití v bezpečnostní analýze v SIEM. Klíčová data budou extrahována z pravidelných protokolových souborů, které pocházejí z různých systémů uchovávání záznamů, čímž se sjednotí informace o událostech, které pocházejí z několika zdrojů.

Kolik stojí SIEM?

Systémy SIEM přicházejí v mnoha konfiguracích a sahají od implementací s otevřeným zdrojovým kódem pro začínající nebo střední podniky až po balíčky licencí pro více uživatelů, které jsou vhodnější pro větší podniky.