7 nejlepších Next-Gen SIEM – Aktualizováno 2022
SIEM zkoumá data protokolu, aby identifikoval podezřelou aktivitu. SIEM nové generace získává externí data a využívá zkušenosti jiných IT systémů k rozpoznání nových vektorů útoků, jakmile se začnou šířit.
SIEM nové generace používat strojové učení a další techniky založené na umělé inteligenci ke zkrácení doby detekce škodlivé činnosti. Tomu se říká Analýza chování uživatelů a entit (UEBA) . To sleduje veškerou aktivitu v systému, aby zjistil, co je považováno za „normální chování“. Odchylky od této normy vyvolávají poplach. Strategie využívá metodu třídění, aby se zaměřila na potenciální hrozby pro hlubší sledování. Palubní vylepšení detekčních metod urychluje první identifikaci útok nultého dne . Tyto informace o hrozbách jsou okamžitě nahrány do fondu informací o hrozbách a staženy dalšími SIEM nové generace po celém světě pro okamžitou akci.
Zde je náš seznam sedmi nejlepších SIEM nové generace:
- VOLBA REDAKTORU ManageEngine Log360 Tento místní balíček integruje informační kanál hrozeb, který do tohoto efektivního systému detekce hrozeb přidává funkce nové generace. Běží na Windows Server. Zahajte 30denní bezplatnou zkušební verzi.
- Logpoint (ZÍSKEJTE ZDARMA DEMO) Cloudové měřené zpracování protokolů SIEM s UEBA a CTI feed. Přístup k bezplatné ukázce.
- odejdu To vylepšilo svůj systém SIEM o interně vyvinuté UEBA a akvizici společnosti SkyFormation, která shromažďuje data o bezpečnostních událostech třetích stran z cloudových platforem a vytváří z nich CTI. Jedná se o cloudovou službu.
- LogRhythm Tento systém, přední SIEM od roku 2003, se přesunul do cloudu a stal se Next-Gen. Tento SIEM můžete také získat jako zařízení nebo jako software pro instalaci na Windows Server.
- Platforma Rapid7 Insight Tato cloudová platforma, klasifikovaná jako XDR, má všechny prvky SIEM nové generace.
- FireEye Helix Platforma bezpečnostních operací, která zahrnuje SIEM, UEBA a zpravodajství o hrozbách. Jedná se o cloudový systém.
- LogSentinel Tento cloudový SIEM nové generace, jeden z menších hráčů na trhu, je silný v dodržování standardů.
Poté, co jsme již objevili realitu vývoje a marketingu SIEM nové generace, nemělo by být žádným překvapením, že nejlepší SIEM nové generace jsou všechny produkty těchto známých značek kybernetické bezpečnosti. Cloudové SIEM nabízejí nejrychlejší distribuci informací o hrozbách a zahrnují také čas serveru potřebný ke zpracování velkých objemů dat protokolu.
Nejlepší SIEM nové generace
Získání dobrého Next-Gen SIEM je časově náročný úkol. Klíčové prvky, které dělají SIEM „Next-Gen“, jsou jeho fond pro informace o hrozbách a UEBA. Jak však víte, zda je každá implementace dobrá? Jakákoli softwarová společnost může sestavit centrální oznamovací systém, ale jeho síla je zcela závislá na dostupnosti služby a velikosti její přispívající komunity.
Ačkoli existují pro dodavatele neutrální otevřené standardy zpravodajství o kybernetických hrozbách (CTI) Pro nechráněné databáze je obtížné se rozjet. Hlavní poskytovatelé SIEM dbají na to, aby poskytli CTI pro své nástroje NextGen a víceméně pevně zakódovali přístup CTI do své služby. Výběr CTI je tedy trochu kmenový a znamená to, že v rovnováze mají výhodu velcí hráči v odvětví kybernetické bezpečnosti.
Pokud nemáte čas na úplné prozkoumání celého SIEM nové generace sektoru, jděte na velká jména, která se vyvinula ze skálopevných SIEM. Osvědčení poskytovatelé bezpečnostního softwaru investovali do vývoje UEBA velmi velké rozpočty. I když jsou velké technologické skoky často řízeny inovativními účastníky na trhu, UEBA vyžadovala velké množství peněz na vývoj a tyto výdaje si mohly dovolit pouze velké zavedené značky.
1. ManageEngine Log360 (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
ManageEngine Log360 je místní systém, který provádí sběr a konsolidaci protokolů, vyhledávání hrozeb a upozornění na hrozby. Systém získává informace o hrozbách od ManageEngine, což z něj dělá SIEM nové generace.
Informace o hrozbách jsou shromažďovány z celého světa. Jakákoli nová hackerská kampaň, která se objeví, je nahlášena do centrálního fondu a balíčků ManageEngine, které do řady indikátorů a posílá je do všech instancí Log360, které jsou na světě spuštěny.
Zdroj informací o hrozbách vytváří prioritní vyhledávání. Systémy SIEM musí neustále prohledávat objemy dat a tento úkol zabere čas, než jsou všechna data prozkoumána, přicházejí nové záznamy – zálohují se. Zaměření na pravděpodobné vzory útoků urychluje vyhledávání hrozeb. To zvyšuje jeho šance na identifikaci vetřelce dříve, než dojde k poškození nebo krádeži dat.
Záznamy, které SIEM třídí, jsou shromážděné programy agentů, které jsou součástí balíčku Log360. Existují agenti, kteří poběží na všech hlavních operačních systémech. Existují také agenti pro cloudové platformy, včetně AWS, Azure a Salesforce.
Záznamy protokolu zahrnují protokoly operačního systému ve formátech Windows Events a Syslog a také data extrahovaná ze softwaru třetích stran. Agenti mohou komunikovat s více než 700 aplikacemi.
Agenti odesílají shromážděné protokolové zprávy na server, kde jsou převedeny do neutrálního formátu, takže je lze prohledávat a ukládat společně. Ukládání dat protokolu pro audit je požadavkem mnoha standardů zabezpečení dat a balíček Log360 poskytuje hlášení o shodě pro HIPAA, PCI DSS, FISMA, SOX, GDPR a GLBA.
ManageEngine Log360 běží na Windows Server a je k dispozici pro a30denní bezplatná zkušební verze.
ManageEngine Log360 Start 30denní zkušební verze ZDARMA
dva. Logpoint (VSTUP ZDARMA DEMO)
Logpoint není tak široce používán jako nejlepší produkty v našem seznamu. Pokud však cena měsíčního předplatného Rapid 7 InsightIDR byla mimo vaši ligu nebo pokud jste malý nebo středně velký podnik s relativně nízkým objemem dat protokolů, pak měřená sazba LogPoint by vás měl zajímat.
Logpoint si uvědomuje, že mnoho firem s nízkými objemy zpracování dat nebude mít zájem o paušální sazbu předplatného SIEM nové generace . Nicméně tento systém SIEM používají některé velmi velké podniky, včetně Boeingu a Airbusu.
Cenová struktura Logpoint je vypočítána na základě kombinace ukazatelů propustnosti. Jedná se o počet událostí za sekundu (EPS) a množství zpracovaných dat za den v gigabajtech. Společnost své sazby pro tyto faktory nezveřejňuje. Místo toho je musíte kontaktovat pro cenovou nabídku.
Logpoint SIEM se integroval UEBA a její vyhledávání hrozeb je založeno na informacích o hrozbách shromážděných z incidentů, se kterými se setkali všichni její zákazníci. LogPoint usnadňuje více než ostatní služby v tomto seznamu manuální vyšetřování stejně jako zavádění automatizovaných detekčních procesů.
V systému LogPoint jsou zabudovány automatické odpovědi a služba zahrnuje „ integrací ”, které umožňují propojení s jinými bezpečnostními produkty jak pro výměnu dat, tak pro akce ke zmírnění hrozeb. Můžete si rezervovat demo, abyste viděli, jak Logpoint funguje.
Logpoint Zaregistrujte se a získejte ZDARMA demo
3. odejdu
odejdu vyrábí systémy SIEM od roku 2013. To znamená, že společnost nepatří k nejdéle zavedeným podnikům v oboru. Tato historie však byla dostatečně dlouhá na to, aby jí v době vzniku hnutí NextGen poskytla značnou zákaznickou základnu. Specializace společnosti na SIEM jí také dala zaměření, které jí umožnilo soustředit investice na rozvíjející se trhy Příští generace zařízení.
Systém Exabeam je cloudová platforma – stejně jako všechny ostatní produkty na našem seznamu – díky čemuž je jeho dodání mnohem jednodušší než u místních systémů. Zákazníci se nemusí starat o udržování softwaru v aktuálním stavu, protože upgrady probíhají automaticky v zákulisí, kterou provádějí technici Exabeam.
I když se nejedná, přísně vzato, o řízenou službu, je to kombinace provozního personálu, který udržuje software a servery, na kterých běží, poradenství odborné podpory na vyžádání a automatizované procesy v rámci softwaru znamená, že nepotřebujete žádné odborné znalosti na místě, abyste získali plně funkční systém SIEM chránící vaši síť.
Vzhledem k tomu, že se jedná o cloudový systém, je hlavním omezením výkonu, které s Exabeamem zažijete vaše internetové připojení . Všechny protokolové zprávy generované vaším systémem je třeba nahrát na server Exabeam. U velkých provozů to může znamenat velká datová propustnost . Většina obchodních operací je však v dnešní době silně závislá na internetové konektivitě, takže udržení vašeho internetového připojení v provozu a s dostatečnou kapacitou je již pravděpodobně prioritou služby pro váš IT tým.
Odesílání dat je řízeno programem agentů na místě a přenosy jsou chráněno šifrováním . Na serveru systém Exabeam přijímá, konsoliduje a indexuje všechny protokolové zprávy statistiky propustnosti dostupné na systémovém řídicím panelu a kompilace aktuálních dat o hrozbách, když zprávy protokolu procházejí cloudovým serverem protokolů.
Exabeam používá UEBA , takže její hodnocení základní aktivity je pro každého zákazníka jiné. Je také schopen agregovat svou vlastní databázi varovných signálů tím, že shromáždí zkušenosti všech svých zákazníků. V roce 2019 koupil Exabeam společnost s názvem SkyFormation . Tento podnik získává zkušenosti s detekcí hrozeb z 30 cloudových platforem třetích stran a používá je k vytvoření a databáze CTI . Informace o hrozbách SkyFormation doplňuje indikátory hrozeb shromážděné Exabeamem. Tento velký fond CTI dělá lov hrozeb schopnosti Exabeam velmi výkonné.
Rychlý výpočetní výkon a velká kapacita serverů Exabeam velmi usnadňují vyhledávání ve velkých objemech dat protokolu. Služba se nasadí třídění ve své strategii vyhledávání hrozeb porovnává ukazatele útoku se zavedenou základní linií činnosti pro daného zákazníka, která je neustále upravována strojové naklánění . Když je identifikován pravděpodobný výchozí bod hrozby, tento incident je zobrazené na palubní desce a spustí se soustředěné sledování aktivity Exabeam, které hledá další známou akci typického útoku, která začíná detekovaným incidentem. Pokud je detekován následující krok, je také zobrazen v identifikace hrozby obrazovce na palubní desce a zvyšuje se pravděpodobnost probíhajícího útoku.
Tato postupná zpětná vazba společnosti Exabeam řeší jeden z velkých problémů strategie SIEM, kterým je to, že hlášení o souvisejících událostech, které jsou oznamovány prostřednictvím zpráv protokolu, představuje systém zpožděné odezvy. Funguje to dál historická data . Funkce vyhledávání hrozeb Exabeam přináší tuto metodu detekce téměř v přímém přenosu .
Exabeam také nabízí Bezpečnostní organizace, automatizace a reakce (SOAR) , kterému se říká Odpovídač incidentů . To bude interagovat s Active Directory, e-mailovými servery a firewally a zmrazit účty, které se zdají být kompromitován nebo blokovat přístup ke komunikaci z podezřelých IP adres.
Exabeam má všechny prvky úspěšného SIEM kromě jeho výjimka hrozba zpravodajství feed to posouvá na jedničku v našem odhadu.
odejdu kombinuje zkušenosti ze služby Exabeam SIEM s inovativním zdrojem informací o hrozbách SkyFormation. Uživatelé Exabeamu těží z příspěvků ostatních zákazníků Exabeam k detekci hrozeb a z komunity uživatelů více než 30 dalších bezpečnostních platforem. Exabeam vyvinul svou službu z místního systému SIEM na cloudovou bezpečnostní platformu, která svým zákazníkům poskytuje rychlou detekci hrozeb a automatizované reakce.
Čtyři. LogRhythm
LogRhythm vyrábí řešení SIEM již od roku 2003, takže má společnost hluboké odborné znalosti v oboru. Jeho systém je nyní založen na cloudu se všemi výhodami, které z toho plynou. Aby to bylo možné, získala také UEBA, CTI a SOAR SIEM nové generace .
LogRhythm obsahuje vlastní modul pro monitorování sítě, který přidává další detekční strategie k prohledávání protokolů, které provádí. V této službě, kterou LogRhythm termíny Detekce a odezva sítě (NDR) , systém používá strojové učení k vytvoření základní linie očekávaných vzorců provozu, čímž omezuje falešně pozitivní hlášení a snižuje objem dat, která je třeba nahrát na server LogRhythm ke zpracování.
LogRhythm nazývá svou platformu XDR Stack – XDR znamená rozšířenou detekci a odezvu. Vrstvy v tomto zásobníku jsou:
- AnalytiX – Jádro SIEM pro vyhledávání protokolů.
- DetectX – Aplikace zpravodajství o hrozbách.
- RespondX – Prvek SOAR systému, který vypíná škodlivou činnost.
Kromě předplatného tohoto balíčku si zákazníci mohou vybrat dva doplňky pro zvýšení výkonu. Tyto jsou:
- Uživatel XDR – Modul UEBA, který předfiltruje zprávy protokolu pro odeslání.
- MistNet – Síťový systém detekce narušení.
Špička služby LogRhythm spočívá v jejím platforma SaaS . Systém však můžete spustit i na vašem webu. To je k dispozici jako zařízení s předinstalovaným softwarem LogRhythm nebo jako softwarový balíček, který se nahraje Windows Server . Můžete požádat živé demo cloudové služby.
5. Platforma Rapid7 Insight
Rapid 7 Insight Platform je cloudový SIEM. Na tuto službu se vztahuje mnoho termínů, což zdůrazňuje zmatek ohledně kategorizace služeb kybernetické obrany. Společnost nazývá svou službu IDR, což je zkratka pro Detekce narušení a reakce . Je to také forma XDR, což znamená Rozšířená detekce a odezva – služba, která se obvykle vyvinula z EDR, což je pokrok v antiviru a znamená Detekce a odezva koncového bodu . V balíčku Insight IDR je prvek EDR.
V zájmu jednoduchosti však zůstaneme u klasifikace SIEM. Ve skutečnosti platforma Insight je SIEM nové generace protože zahrnuje UEBA a zdroj informací o hrozbách . Platforma Insight obsahuje řadu modulů, které do sebe zapadají. Potřebujete však pouze InsightIDR službu, pokud chcete pouze NextGen SIEM. Druhou nejzajímavější službou v platformě Insight, kterou byste také měli zvážit, je InsightVM , což je správce zranitelností.
InsightIDR má všechny skvělé funkce, které očekáváte od NextGen SIEM. Jako cloudová služba zahrnuje rychlý výpočetní výkon pro správu protokolů a také za vás ukládá data protokolu. Zprávy protokolu ve vašem systému se nahrávají na servery Rapid 7, kde konsolidátor vloží je do společného formátu a indexuje je pro rychlé vyhledávání.
The lov hrozeb služba v InsightIDR je upravena a UEBA Vlastnosti. To eliminuje falešné poplachy úpravou detekce pro normální chování. Zdroj informací o hrozbách v nástroji přispívá k analytika chování útočníků servis. To prohledá všechny zprávy protokolu, zda neobsahují náznaky kompromitace.
Opravdu pěkná přidaná služba v Insight IDR, kterou hlavní rivalové této služby nenabízejí, je její technologie klamání . Služba může pro vetřelce nastavit pasti a honeypoty, které přitáhnou darebáky k plně monitorovaným úložištím falešných dat, takže je lze okamžitě snadno identifikovat.
InsightIDR je trochu drahý, začíná na 2 157 $ měsíčně… ano, ZA MĚSÍC. Tato cena znamená, že 30denní bezplatná zkušební verze of InsightIDR je velmi cenný dárek zdarma.
6. FireEye Helix
FireEye je jedním z předních poskytovatelů řešení kybernetické bezpečnosti a její služba SIEM se nazývá Platforma Helix . Platforma FireEye Helix je služba SIEM nové generace a zahrnuje zdroj informací o hrozbách která neustále přizpůsobuje své procesy vyhledávání hrozeb v reakci na vyvíjející se strategie útoku. Jakož i UEBA , tato služba zahrnuje detekce bočního pohybu který sleduje nelogickou nebo abnormální aktivitu uživatelského účtu.
Stejně jako LogPoint, Helix umožňuje určitou míru manuálního zásahu. V tomto systému je více možností nastavit si vlastní playbooky a přesně specifikovat, jak by měly být řízeny zjištěné případy. To znamená, že do automatických odpovědí prováděných Helixem můžete vložit své vlastní preference. Obrazovky pro palubní desku jsou také přizpůsobitelné a je možné vytvářet vlastní formáty zpráv. Systém obsahuje automatické přizpůsobení a formáty zpráv pro dodržování norem .
Služba Helix zahrnuje integrací které vám umožňují zapojit úpravy pro výměnu dat a zmírňující akce, které se koordinují s jinými bezpečnostními aplikacemi. Můžeš si vzít prohlídka s vlastním průvodcem platformy Helix.
7. LogSentinel
Pokud se chcete dozvědět více o novějším, štíhlejším poskytovateli SIEM, který udělal velký skok vpřed v oblasti NextGen, měli byste zvážit LogSentinal . Tato služba vyniká ve správě protokolů a rychlém vyhledávání, aby se její služba SIEM dostala do popředí trhu. Tato společnost cíleně své služby zaměřuje především na středně velké podniky.
Tento systém SaaS je žhavá na monitorování integrity logfile a zahrnuje UEBA a a zdroj informací o hrozbách , které jej označují jako NextGen SIEM. Extra služby v tomto plánu jsou phishingové kontroly e-mailů , ochrana souborů protokolu VPN a zabezpečení videokonferencí.
Služba LogSentinel se neomezuje na shromažďování souborů protokolu z vašeho webu. Zahrnuje také webovou aplikaci a systém sledování webových stránek, který detekuje změny skriptu a pokusy o injekci.
LogSentinal nabízí zkušební verze zdarma jeho NextGen SIEM a můžete je požádat o řízené demo. Existuje také verze tohoto cloudového SIEM pro použití poskytovateli spravovaných služeb.