9 nejlepších platforem pro analýzu hrozeb (TIP)
AThreat Intelligence Platform (TIP)si klade za cíl blokovat opakované útočníky a identifikovat běžné vektory narušení. Tato vznikající technologie je pokrokem v tradičních antivirových (AV) a firewallových systémech. TIP budechraňte své IT vybavení používáním strategií učení založených na umělé inteligenci.
V posledních letech se objevila řada náhradních technologií s cílem zlepšit ochranu podnikání, kterou poskytují tradiční malwarové systémy.
Antimalwarové programy porovnávají kód nových programů spuštěných v počítači s databází dříve zjištěných signatur malwaru.
Zde je náš seznam devíti nejlepších platforem pro informace o hrozbách:
- VOLBA REDAKTORA SolarWinds Security Event Manager Využívá strategii detekce hrozeb analýzy souboru protokolu v kombinaci s externím živým zdrojem výstrah hrozeb.
- ManageEngine Log360 (ZKOUŠKA ZDARMA) Hledá hrozby v datech souboru protokolu ze systému Windows Server nebo Linux a přidává informace o hrozbách ze tří zdrojů.
- CrowdStrike Falcon Intelligence (ZKOUŠKA ZDARMA)Řada úrovní ochrany zpravodajských informací o hrozbách s automatizovanými procesy a vyššími možnostmi, které zahrnují lidský výzkum a zásah.
- Datadog Threat Intelligence (ZKOUŠKA ZDARMA) Zdroje informací o hrozbách na klíč, které jsou spravovány vybranými partnery pro informace o hrozbách jako cloud-SIEM. Datové zdroje jsou průběžně aktualizovány o podezřelé aktivitě, jakmile se stanou známými a dostupnými.
- VenMonitor systému vytvořený pro MSP, který zahrnuje softwarové auditování a analýzu protokolů.
- FireEye Helix Security Platform Kombinuje cloudovou konzoli pro detekci hrozeb SIEM, metody učení AI a informační kanál hrozeb.
- N-schopný Threat Monitor Cloudová služba nabízená MSP. Toto je nástroj SIEM, který umožňuje MSP přidat monitorování zabezpečení do seznamu služeb.
- AlienVault Unified Security Management Zahrnuje detekci hrozeb, reakci na dopad a sdílení informací o hrozbách.
- LogRhythm NextGen SIEM Zahrnuje živé sledování dopravních dat a analýzu záznamů souborů protokolu.
Platformy Threat Intelligence versus tradiční antivirový software
V tradičním antimalwarovém modelu centrální výzkumná laboratoř zkoumá nové hrozby, aby odvodil vzorce, které je identifikují. Tyto charakteristiky detekce malwaru jsou pak distribuovány do všech nainstalovaných AV programů, které společnost prodala klientům. Místní antimalwarový systém udržuje databázi hrozeb, která obsahuje tento seznam signatur útoků odvozených centrální laboratoří.
Databázový model AV hrozeb již není účinný při ochraně počítačů. Je to proto, že profesionální týmy hackerů se nyní zapojují do výrobních linek malwaru a denně se objevují nové hrozby. Protože výzkumným laboratořím nějakou dobu trvá, než si všimnou nového viru a poté identifikují jeho charakteristiky, doba realizace typických AV řešení je nyní příliš dlouhá na to, aby mohla nabídnout účinnou obchodní ochranu.
Odhalení hrozby
Platforma pro informace o hrozbách stále obsahuje databázi hrozeb. Spíše než se spoléhat na to, že uživatelé hlásí podivné chování centrále výrobce AV, nové systémy kybernetické bezpečnosti mají za cíl obsáhnout veškerý výzkum a nápravu hrozeb na zařízení každého zákazníka. Ve skutečnosti se z každé instalace TIP stává balíček složené detekce, analýzy a rozlišení. Již není nutné aktualizovat databázi hrozeb z centrální laboratoře, protože každý stroj vykonává práci výzkumného týmu.
Tento distribuovaný model shromažďování AV dat je mnohem efektivnější v boji proti „zero-day“ útokům. Termín „zero-day“ označuje nové viry, které dosud nebyly identifikovány hlavními AV laboratořemi na světě a proti kterým dosud neexistuje účinná obrana. Každý stroj však nefunguje samostatně. Informace o objevených nových hrozbách jsou sdíleny mezi uživateli konkrétní značky TIP.
TIP používá detekční postupy lokálně a přitom se stále spoléhá na databázi hrozeb, k níž přispívá místní analýza a také časté stahování z laboratoří poskytovatele softwaru. Tato stahování jsou odvozena z objevů provedených stejným TIPem, který je nainstalován na jiné stránky jinými zákazníky.
Nejlepší platformy, nástroje a prodejci softwaru pro analýzu hrozeb
Ačkoli každý TIP používá podobnou sadu strategií k detekci škodlivých událostí, ne všechny TIPy jsou stejně účinné . Někteří dodavatelé zabezpečení se zaměřují na jeden konkrétní typ zařízení a jeden konkrétní operační systém. Mohou také poskytovat ochranné systémy pro jiné typy zařízení a operačních systémů, ale bez stejné úrovně úspěchu, jaké dosáhly se svým základním produktem.
Není snadné odhalit dobrý TIP a tvrzení, vychloubání a obskurní oborový žargon používaný na propagačních webech jejich výrobců činí hledání toho správného TIP velmi únavným cvičením.
Naše metodika pro výběr platformy pro informace o hrozbách
Přezkoumali jsme trh se systémy detekce hrozeb a analyzovali nástroje na základě následujících kritérií:
- Strojové učení pro základní linii normální činnosti
- Detekce anomální aktivity
- Informační zdroje hrozeb, které přizpůsobují detekční rutiny
- Upozornění na podezřelou aktivitu k přilákání techniků
- Sdílení zkušeností a souhrny oznámení o hrozbách v celém odvětví
- Ukázka nebo bezplatná zkušební verze pro příležitost k hodnocení bez rizika
- Dobrá hodnota za peníze z komplexního zdroje informací o hrozbách za férovou cenu
Naštěstí jsme za vás udělali legální práci. S ohledem na tato výběrová kritéria jsme identifikovali služby zabezpečení sítě se zdroji informací o hrozbách, které rádi doporučíme.
1. Správce událostí zabezpečení SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
Security Event Manager (SEM) od kombajnů SolarWinds sledování událostí ve vaší síti s a zdroj informací o hrozbách dodávané z externího zdroje. Tento nástroj bude nejen detekovat hrozby, ale bude automaticky spouštět reakce na ochranu vašeho systému.
Klíčové vlastnosti
- A VY
- Automatizované sanační akce
- Vytváří místní úložiště informací o hrozbách
- Běží na Windows Server
- Hlášení o shodě
V srdci tohoto bezpečnostního řešení najdete nástroj pro analýzu protokolů . Sleduje síťovou aktivitu, vyhledává neobvyklé události a také sleduje změny důležitých souborů. Druhým prvkem tohoto TIPu od SolarWinds je a rámec pro zpravodajství o kybernetických hrozbách .
Security Event Manager pracuje z databáze známých podezřelých událostí a snímá síť a hledá všechny takové události. Některé podezřelé aktivity lze zaznamenat pouze kombinací dat ze samostatných zdrojů ve vašem systému. Tuto analýzu lze provést pouze prostřednictvím analýzy protokolu událostí, a proto se nejedná o úkol v reálném čase.
Ačkoli SEM začíná běžnou databází signatur hrozeb, nástroj upraví a rozšíří toto úložiště profilů hrozeb, když je v provozu. Tento proces učení snižuje nepříjemný výskyt „ falešně pozitivní “, což může způsobit, že některé služby ochrany před hrozbami ukončí legitimní činnost.
Analyzátor protokolů v SEM nepřetržitě shromažďuje protokolové záznamy z nekompatibilních zdrojů a přeformátuje je do neurálního společného rozložení. To umožňuje analyzátoru hledat vzorce činnosti v celém vašem systému bez ohledu na konfiguraci, typ zařízení nebo operační systém.
Klady:
- SIEM zaměřený na podniky se širokou škálou integrací
- Jednoduché filtrování protokolů, není třeba se učit vlastní dotazovací jazyk
- Desítky šablon umožňují správcům začít používat SEM s malým nastavováním nebo přizpůsobením
- Nástroj pro historickou analýzu pomáhá najít anomální chování a odlehlé hodnoty v síti
Nevýhody:
- SEM je pokročilý produkt SIEM vytvořený pro profesionály, vyžaduje čas, aby se plně naučil platformu
Správce bezpečnostních událostínainstaluje na Windows Server a SolarWinds nabízí systém na a30denní bezplatná zkušební verze. Toto zkušební období vám poskytne čas na vyzkoušení obrazovek ručního nastavení pravidel, které vám umožní vylepšit použitelnou databázi informací o hrozbách tak, aby přesněji odrážela typické aktivity vašeho webu. Budete také moci plně projít modulem hlášení shody, abyste zajistili, že SEM splní všechny vaše potřeby v oblasti hlášení.
VÝBĚR REDAKCE
Správce událostí zabezpečení SolarWindsje naše nejlepší volba. Ideální pro detekci hrozeb a spouštění automatických reakcí na tyto hrozby. Reporting je prvotřídní a ovládací panel je snadno ovladatelný.
Zahájit 30denní bezplatnou zkušební verzi:solarwinds.com/security-event-manager
VY:Windows 10 a novější, Windows Server 2012 a novější, cloudové: Hypervisor, AWS a MS Azure
2. ManageEngine Log360 (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
ManageEngine Log360je velmi obsáhlý TIP, který prozkoumává všechny možné zdroje dat protokolů za účelem zpřísnění zabezpečení systému.
ManageEngine již nabízí řadu nástrojů pro správu a analýzu protokolů. Společnost se však rozhodla je spojit do kombinovaného modulu, který pokrývá všechny možné souborové zdroje systémových informací. IT integruje i externí zdroje informací jako např STIX/TAXII -založené kanály na zakázaných IP adresách.
Klíčové vlastnosti
- Správa a analýza protokolů
- Přijímá informace o hrozbách STIX/TAXII
- Chrání Active Directory
- Běží na Windows Server
Stejně tak ovládání Protokoly událostí , nástroj integruje informace uložené v Aktivní adresář . To pomáhá detekčnímu jádru tohoto nástroje zkontrolovat, kdo má práva přístupu ke zdrojům používaným v činnostech, které zaznamenávají zprávy protokolu. Nástroj sleduje změny v Active Directory, aby zajistil, že si narušitelé nebudou moci udělit přístupová práva.
Dosah tohoto bezpečnostního nástroje se rozšiřuje i na web, protože také shromažďuje zprávy o auditu AWS , Blankyt , a Výměna online .
Víte, že Exchange, Azure, protokoly událostí a Active Directory jsou všechny produkty společnosti Microsoft. Log360 se však neomezuje pouze na monitorování systémů založených na Windows. Shromažďuje také zprávy protokolu vyvolané dne Linux a Unix systémy, jako jsou zprávy Syslog. Nástroj prozkoumá všechny zprávy IIS a webového serveru Apache a pokryje zprávy generované serverem Věštec databází.
Váš síťový hardware a perimetrické bezpečnostní systémy mají také důležité informace ke sdílení, a tak Log360 naslouchá zprávám protokolu vznikajícím na firewallech, směrovačích a přepínačích. Pokud máte nainstalované jiné systémy detekce a ochrany narušení, Log360 začlení jejich zjištění do svých souhrnů informací o hrozbách.
Log360 nevytváří protokoly o protokolech, které byste mohli přehlédnout. Systém vytváří výstrahy zpravodajských informací o hrozbách v reálném čase , takže váš tým bude informován, jakmile bude zjištěna podezřelá aktivita. Balíček Log360 kromě monitorování pravidelně provádí audity, shrnuje a podává zprávy o zabezpečení celého vašeho IT systému.
Klady:
- Skvělé vizualizace palubní desky, ideální pro NOC a MSP
- Může do platformy integrovat více datových proudů o hrozbách
- Nabízí robustní vyhledávání protokolů pro analýzu živých a historických událostí
- Poskytuje monitorování napříč platformami pro systémy Windows, Linux a Unix
- Může monitorovat změny konfigurace a zabránit eskalaci oprávnění
Nevýhody:
- ManageEngine nabízí sadu pokročilých služeb a funkcí, které lze prozkoumat a otestovat
Můžete nainstalovat software Log360 Okna a Windows Server . ManageEngine nabízí30denní bezplatná zkušební verzezProfesionální vydáníTady jeZdarma vydáníto je omezeno na sběr logových dat z pouhých pěti zdrojů. Pokud máte jiné požadavky, můžetediskutovat o cenáchza balíček, který vyhovuje vašim potřebám.
ManageEngine Log360 Stáhněte si 30denní zkušební verzi ZDARMA
3. CrowdStrike Falcon Intelligence (ZKOUŠKA ZDARMA)
CrowdStrikevytvořené kybernetickou bezpečnostní platformu s názvem Falcon . To se zaměřuje na ochranu koncových bodů. Jedním z produktů, které společnost postavila na své platformě Falcon, jeCrowdStrike Falcon Intelligence. Jedná se o službu zpravodajství o hrozbách, která zakládá většinu požadavků na zpracování na serveru CrowdStrike v cloudu.
Klíčové vlastnosti
- Zpravodajské plány hrozeb
- K dispozici jako zpráva nebo jako zdroj
- Zahrnuto v sadě s dalšími bezpečnostními nástroji
Inovativní architektura platformy Falcon vyžaduje program pro malé agenty k instalaci na každé chráněné zařízení. Většina práce se provádí v cloudu, takže vaše ochrana před hrozbami nezpomalí vaše chráněné koncové body.
Základní plán Falcon Intelligence zahrnuje automatizované procesy . Další plán se nazývá Falcon Intelligence Premium a to zahrnuje každodenní zpravodajskou zprávu a přizpůsobené internetové kontroly, které konkrétně vyhledávají jméno vaší společnosti, značku nebo zmínky o zaměstnancích na sociálních sítích nebo webech. Například všechna ukradená hesla určená k prodeji nebo veřejně uniklá budou při tomto hledání vyzvednuta.
Nejvyšší plán se nazývá Falcon Intelligence Elite . Každému zákazníkovi tohoto plánu je přidělen analytik intel. Tato služba je skvělá pro ty podniky, které chtějí vše outsourcovat a získat řízené řešení pro analýzu hrozeb spíše než jen automatické nástroje pro ochranu.
Všechny plány Falcon Intelligence zahrnují Ukazatele kompromisu (IOC) zprávu. To staví hrozby identifikované ve vašem systému do globálního kontextu. IOC ukazuje, odkud pochází malware nebo útoky, se kterými se setkáte, a zda je známo, že stejné skupiny hackerů používají jiné metody k útokům na podnikové systémy. Tento vztah mezi známými vektory upozorňuje upisující společnost na potenciální hrozby, které přijdou.
Agenti pracující na každém koncovém bodu skenují veškerou aktivitu na zařízení a nahrávají podezřelé soubory na server CrowdStrike k analýze. Tady je není potřeba lidský zásah v tomto procesu. Správce systému však obdrží zpětnou vazbu o zjištěných hrozbách a akcích provedených k jejich ukončení.
Klady:
- Při detekci hrozeb se nespoléhá pouze na soubory protokolu, k okamžitému nalezení hrozeb používá procesní skenování
- Funguje jako HIDS a nástroj ochrany koncových bodů v jednom
- Dokáže sledovat a upozorňovat na anomální chování v průběhu času, zlepšuje se, čím déle monitoruje síť
- Lze nainstalovat buď on-premise, nebo přímo do cloudové architektury
- Lehčí agenti nezpomalí servery ani zařízení koncových uživatelů
Nevýhody:
- Prospěla by delší zkušební doba
CrowdStrike nabízí 15denní bezplatnou zkušební verzi Falcon Intelligence.
CrowdStrike Falcon Intelligence Start 15denní zkušební verze ZDARMA
4. Datadog Threat Intelligence (ZKOUŠKA ZDARMA)
Datadog Threat Intelligence je nabízen z cloudu Datadog platforma SaaS která zahrnuje řadu předplatitelských služeb pro monitorování systému. Systém vyžaduje instalaci agentů na monitorovaných sítích a může zahrnovat i cloudové prostředky s aktivací integrace.
Datadog agenti mohou také fungovat jako sběrači dat pro další služby Datadog v kombinaci. Tito místní agenti nahrávají zprávy protokolu a další systémová data na server Datadog, kde probíhá vyhledávání hrozeb.
Klíčové vlastnosti
- systém SIEM
- Centralizuje zabezpečení pro několik webů
- Používá UEBA
Systém UEBA v Datadog Threat Intelligence je a analytika chování uživatelů a entit Systém. Tohle je Na bázi AI systém, který využívá strojové učení k vytvoření základní linie normální činnosti. Odchylky od tohoto vzoru identifikují činnosti, které vyžadují další kontrolu.
Lovec hrozeb hledá vzorce chování, které jsou tzv Ukazatele kompromisu (IoC). Databáze IoC je odvozena ze zkušeností všech klientů Datadogu a vytváří tak soubor informací o hrozbách.
Datadog používá metodu tzv VZDÁT SE pro interakci s balíčky dodávanými jinými poskytovateli. Toto znamená bezpečnostní orchestraci, automatizaci a odezvu . To znamená, že agenti mohou shromažďovat provozní data ze systémů, jako jsou správci přístupových práv, přepínače a firewally. V opačném směru může server posílat pokyny do těchto klíčových síťových zařízení, aby zastavil vniknutí nebo zabil malware.
Funkce SOAR a UEBA v Datadog Threat Intelligence znamenají, že nemusíte kompletně binovat celé aktuální nastavení ochrany zabezpečení. Systém Datadog bude sedět nad vašimi stávajícími službami a rozšíří jejich ochranné schopnosti.
Datadog Threat Intelligence zahrnuje další služby, které by mohly zajímat vývojáře a oddělení DevOps. Patří mezi ně profiler kódu a systémy průběžného testování pro potrubí CI/CD.
Klady:
- Integruje se s ostatními službami Datadog
- Implementuje SIEM
- Centralizuje monitorování mnoha webů a cloudových zdrojů
- Webová konzole
Nevýhody:
- Chráněné systémy vyžadují stálou dostupnost internetu
Datadog Threat Intelligence, stejně jako všechny jednotky Datadog, je předplatitelskou službu . Platíte měsíční sazbu za každý GB dat protokolu zpracovaných službou. Datadog nabízí všechny své moduly na 14denní bezplatnou zkušební verzi.
Datadog Threat Intelligence Start 14denní zkušební verze ZDARMA
5. Vyjměte to
Ven je podpůrná platforma vytvořená pro poskytovatelé spravovaných služeb (MSP) . to je doručené z cloudu , takže MSP nemusí ve svých prostorách instalovat žádný software a dokonce nemusí provozovat žádnou velkou IT infrastrukturu. Stačí k tomu počítač s připojením k internetu a webový prohlížeč. Monitorovaný systém však vyžaduje nainstalovaný speciální software. Tohle je agentský program která shromažďuje data a komunikuje se servery Atera.
Klíčové vlastnosti
- Určeno pro MSP
- Kombinuje RMM a PSA
- Monitorujte vzdálené systémy
Jako vzdálená služba je Atera schopna monitorovat jakékoli klientské zařízení, včetně cloudu AWS a Blankyt servery. Služba zahrnuje proces automatického zjišťování, který zaznamenává všechna zařízení připojená k síti. U koncových bodů a serverů monitorovací systém prohledá veškerý software a vytvoří inventář. Jedná se o základní zdroj informací pro správu softwarových licencí a také o důležitou službu ochrany před hrozbami. Po sestavení inventáře softwaru může operátor zkontrolovat, jaký neautorizovaný software je na každém zařízení nainstalován, a poté jej odstranit.
The monitor serveru kontroluje procesy jako součást svých pravidelných úkolů, což upozorní na spuštěný škodlivý software. Operátor je schopen přistupovat k serveru vzdáleně a zabíjet nežádoucí procesy.
Atera monitoruje správce přístupových práv na webu klienta, včetně Aktivní adresář . Nástroj Live Manager v balíčku Atera umožňuje přístup Událost Windows protokoluje a poskytuje prohledávatelný zdroj možných narušení bezpečnosti.
Další službou ochrany před hrozbami obsaženými v balíčku Atera je její správce patchů . To automaticky aktualizuje operační systémy a klíčový aplikační software, jakmile budou k dispozici. Tato důležitá služba zajišťuje, že jakákoli náprava zneužití vytvořená poskytovateli softwaru bude nainstalována co nejrychleji.
Klady:
- 30denní bezplatná zkušební verze
- Nepřetržité síťové skenování usnadňuje a zpřesňuje inventarizaci
- Vestavěný systém prodeje vstupenek, skvělý pro MSP, kteří chtějí řešit hrozby na místě
- Ceny jsou založeny na počtu techniků, nepodporovaných uživatelů
Nevýhody:
- Mohl by těžit z větší integrace s dalšími nástroji pro vzdálený přístup a Azure AD
Atera je zpoplatněna prostřednictvím předplatného s nastavenou sazbou poplatků na technika . Kupující si mohou vybrat mezi měsíčním tarifem nebo roční sazbou. Roční doba splácení vyjde levněji. Můžete přistupovat k a zkušební verze zdarma aby Atera prošel jeho kroky.
6. FireEye Helix Security Platform
FireEye Helix Security Platform je cloudový kombinovaný systém ochrany pro sítě a koncové body. Nástroj zahrnuje přístup SIEM, který monitoruje síťovou aktivitu a také spravuje a prohledává soubory protokolu. The informační kanály o hrozbách poskytované FireEyes doplňuje toto mnohostranné řešení tím, že poskytuje aktualizovanou databázi hrozeb pro váš monitorovací systém.
Klíčové vlastnosti
- SaaS balíček
- Neustále aktualizujte databázi hrozeb
- Sanační pracovní postupy
FireEyes je přední firma zabývající se kybernetickou bezpečností a využívá své odborné znalosti k poskytování služeb zpravodajských informací o hrozbách na a předplatné základ. Formát a hloubka této inteligence závisí na plánu zvoleném zákazníkem. FireEyes nabízí celoodvětvová varování před novými vektory hrozeb, což správcům infrastruktury umožňuje plánovat obranu. Nabízí také informační kanál o hrozbách, který se přímo promítá do pravidel pro detekci a řešení hrozeb v platformě Helix Security Platform.
Balíček Helix obsahuje také „ playbooky ”, což jsou automatizované pracovní postupy, které po zjištění problému udělují nápravu hrozeb. Tato řešení někdy zahrnují poradenství ohledně bezpečných postupů a úklidových akcí, stejně jako automatizované reakce.
Klady:
- Skvělé rozhraní, tmavé téma je skvělé pro dlouhodobé monitorování v NOC
- Model předplatného udržuje vaši databázi aktualizovanou s nejnovějšími hrozbami a špatnými aktéry
- Poskytuje informace o nápravných a preventivních akcích na základě nedávných událostí
- Příručky nabízejí pracovní postupy nápravy, které automaticky opravují problémy
Nevýhody:
- Konfigurace může být náročná
- Vykazování může být těžkopádné a obtížně přizpůsobitelné
7. N-schopný monitor hrozeb
TheMonitor hrozebje produktem N-schopný která poskytuje software a služby na podporu poskytovatelů spravovaných služeb. MSP pravidelně nabízejí služby správy sítě a IT infrastruktury, takže přidání bezpečnostního monitorování je přirozeným rozšířením běžných činností těchto MSP.
Klíčové vlastnosti
- SIEM vytvořený pro MSP
- Cloudové
- Správa protokolů
Toto je a správa bezpečnostních informací a událostí (SIEM) Systém. SIEM sleduje jak živou aktivitu na monitorovaném systému, tak také prohledává systémové protokoly, aby zjistil stopy škodlivých aktivit. Služba je schopna monitorovat on-site systémy klientů MSP i libovolné Blankyt nebo AWS server, který klient používá.
Výhody monitoru N-able Threat Intelligence spočívají v jeho schopnosti shromažďovat informace z každého bodu sítě a zařízení k němu připojených. To poskytuje komplexnější pohled na útoky než jediné sběrné místo. Hrozby jsou identifikovány podle vzorců chování a také odkazem na centrální databázi SolarWinds Threat Intelligence, která je neustále aktualizována. The databáze informací o hrozbách je sestaven ze záznamů událostí, ke kterým došlo po celém světě. Je tedy schopen okamžitě rozpoznat, když hackeři zahájí globální útoky nebo zkoušejí stejné triky proti mnoha různým obětem.
Úrovně alarmů služby může upravit operátor MSP. Palubní deska pro systém obsahuje vizualizace akcí , jako jsou číselníky a grafy, stejně jako živé seznamy kontrol a událostí. Služba je dodávána z cloudu a podobně přístupné prostřednictvím libovolného webového prohlížeče . N-able Threat Intelligence je předplacená služba, takže je zcela škálovatelná a vhodná pro použití MSP všech velikostí.
Klady:
- Navrženo s ohledem na MSP a prodejce
- Může skenovat a stahovat protokoly z cloudových a hybridních cloudových prostředí
- Lze konfigurovat různé úrovně alarmu, skvělé pro velké asistenční služby
- Přístupné z jakéhokoli prohlížeče
Nevýhody:
- Funkčnost pro Mac není tak robustní jako Windows
- Chtělo by to efektivnější proces přijímání nových klientů
8. AlienVault Unified Security Management
AlienVault Unified Security Management (USM) je produktem Kybernetická bezpečnost AT&T , která získala značku AlienVault v roce 2018. AlienVault USM se vyvinul z open-source projektu tzv. OSSIM , což je zkratka pro „open source security information management“. OSSIM je stále k dispozici zdarma s AlienVault USM běžícím vedle něj jako komerční produkt.
Klíčové vlastnosti
- Otevřete výměnu hrozeb
- SIEM založený na cloudu
- Hledání hrozeb pomocí procesů AI
OSSIM je ve skutečnosti nesprávné pojmenování, protože systém je úplný SIEM, včetně monitorování analýzy protokolových zpráv a kontroly síťového provozu v reálném čase. AlienVault USM také obsahuje oba tyto prvky. AlienVault má řadu dalších funkcí, které nejsou dostupné v OSSIM, jako je konsolidace protokolů, správa ukládání souborů protokolů a archivace. AlienVault USM je cloudová předplacená služba který přichází s plná telefonická a e-mailová podpora , zatímco OSSIM je k dispozici ke stažení a pro podporu se spoléhá na komunitní fóra.
Klíčovou výhodou, která je dostupná uživatelům bezplatných i placených bezpečnostních produktů, je přístup k Open Threat Exchange (OTX) . Jedná se o největší celosvětově poskytovanou davem poskytovanou platformu pro zpravodajskou platformu hrozeb na světě. Informace zpřístupněné na OTX lze automaticky stáhnout do AlienVault USM a poskytnout tak aktuální databázi hrozeb. To poskytuje pravidla detekce a pracovní postupy řešení potřebné pro SIEM. Přístup k OTX je pro všechny zdarma.
Klady:
- K dispozici pro Mac a Windows
- Může skenovat soubory protokolu a také poskytovat zprávy o hodnocení zranitelnosti na základě zařízení a aplikací skenovaných v síti
- Uživatelsky poháněný portál umožňuje zákazníkům sdílet svá data o hrozbách za účelem vylepšení systému
- Využívá umělou inteligenci k pomoci správcům při hledání hrozeb
Nevýhody:
- Protokoly může být obtížné prohledávat a analyzovat
- Rád bych viděl více možností integrace do jiných bezpečnostních systémů
9. LogRhythm NextGen SIEM
LogRhythm to znamená NextGen SIEM tak jako rámec pro správu životního cyklu hrozeb (TLM). . Platforma obsluhuje dva produkty LogRhythm, kterými jsou řady Enterprise a XM. Oba tyto produkty jsou dostupné buď jako zařízení nebo jako software. LogRhythm Enterprise je zaměřen na velmi velké organizace, kterým LogRhythm XM slouží malým a středním podnikům.
Klíčové vlastnosti
- SIEM
- Správa protokolů
- Hlášení o shodě
SIEM znamená Správa informací o bezpečnostních událostech . Tato hustá strategie kombinuje dvě činnosti, správu bezpečnostních informací (SIM) a správu událostí zabezpečení (SEM). SEM monitoruje provoz v reálném čase a hledá vzory útoků, které jsou uloženy v databázi hrozeb. SIM také odkazuje na databázi hrozeb, ale porovnává události zaznamenané v souborech protokolu se vzory stanovenými v pravidlech detekce hrozeb.
Software pro NextGen SIEM lze nainstalovat na Okna , Linux nebo Unix . Je také možné udržet váš systém správy hrozeb zcela nezávislý na vašem hardwaru zakoupením systému jako zařízení, které se připojuje k vaší síti.
Klady:
- Používá jednoduché průvodce k nastavení shromažďování protokolů a dalších úkolů zabezpečení, díky čemuž je nástroj přívětivější pro začátečníky
- Elegantní rozhraní, vysoce přizpůsobitelné a vizuálně přitažlivé
- Pro analýzu chování využívá umělou inteligenci a strojové učení
Nevýhody:
- Chtěli byste vidět zkušební možnost
- Podpora napříč platformami by byla vítanou funkcí
Výběr dodavatele Threat Intelligence Platform
Sektor kybernetické bezpečnosti je v současnosti velmi živý. Růst hrozeb narušení, které zvyšují všudypřítomné riziko malwaru, přinutil průmysl zcela přehodnotit svůj přístup k ochraně systému. Tato situace vedla k tomu, že hlavní výrobci AV investovali velké množství peněz inovativní techniky AI a nové strategie boje proti hackerům a kyberteroristům.
Noví hráči na trhu zvyšují tlak na reputaci zavedených poskytovatelů kybernetické bezpečnosti a udržují si je posouvání limitů technologií kybernetické bezpečnosti . Platformy pro informace o hrozbách hrají důležitou roli v boji za kybernetickou bezpečnost spolu s SIEM a systémy prevence narušení.
I když se neustále objevují nové TIPy, jsme si jisti, že doporučené platformy pro informace o hrozbách na našem seznamu zůstanou v čele balíčku. Je to proto, že společnosti, které je poskytují, mají dlouholeté zkušenosti v oboru a prokázaly, že jsou připraveny inovovat, aby si udržely náskok před hrozbami.
Nejčastější dotazy k platformám inteligence hrozeb
Jaký je rozdíl mezi zpravodajstvím o hrozbách a lovem hrozeb?
Hledání hrozeb je proces hledání indikátorů kompromisu (IOC). Inteligence o hrozbách je seznam MOV, na které je třeba dávat pozor. Určité informace o hrozbách jsou zabudovány do většiny modulů pro vyhledávání hrozeb – to jsou základní události, na které je třeba dávat pozor, jako jsou nadměrné a rychlé neúspěšné pokusy o přihlášení, které indikují útok hrubou silou. Další informace o hrozbách jsou nové informace, které identifikují novou strategii útoku, kterou hackeři teprve začali používat. Zdroj informací o hrozbách předá zprávu o útoku zero-day dalším předplatitelům, takže jakmile jeden uživatel ve fondu objeví tento útok, všichni ostatní zákazníci o něm vědí a jejich modul pro vyhledávání hrozeb ho může vyhledat.
Jak popisujete rozdíly mezi zpravodajstvím o hrozbách a SIEM?
Systémy SIEM vyhledávají ve zprávách protokolu indikátory kompromisu (IOC). Threat Intelligence poskytuje seznam MOV, na které si dát pozor. NextGen SIEM zahrnují přístup k živému informačnímu kanálu o hrozbách, který poskytuje aktuální IOC.
Mohou platformy inteligence hrozeb zastavit škodlivé domény?
Platforma pro informace o hrozbách obsahuje formátovaný seznam potenciálních útoků. To bude zahrnovat IP adresy a domény, o kterých je známo, že je používají útočníci.