McAfee SIEM Review & Alternatives
Společnost McAfee je známá jako výrobce antivirového softwaru. Společnost se však musela vyvíjet a zavádět nové systémy ochrany IT, aby se udržela na trhu. Řešení McAfee SIEM není jediný produkt. Hlavním prvkem v rodině McAfee SIEM je tzv McAfee Enterprise Security Manager .
Úplný seznam součástí McAfee SIEM je:
- McAfee Enterprise Security Manager
- Přijímač událostí McAfee
- McAfee Advanced Correlation Engine
- McAfee Enterprise Log Manager
- McAfee Enterprise Log Search
- Monitor dat aplikací McAfee
- McAfee Direct Attached Storage
- McAfee Global Threat Intelligence
Tyto různé moduly směřují vstupní data z několika zdrojů do Enterprise Security Manager.
Co dělá SIEM?
SIEM znamená Bezpečnostní informace a správa událostí . Jde o kombinaci dvou strategií detekce hrozeb. Host-based Intrusion Detection Systems (HIDS) prohledávají soubory protokolu, zda nehledají známky anomální aktivity. Správa bezpečnostních informací (SIM) je HIDS. Network-based Intrusion Detection Systems (NIDS) sledují síťový provoz a hledají narušení. Správa bezpečnostních událostí (SEM) je strategie NIDS. SIEM je kombinace SIM a SEM.
Výhodou SEM je, že funguje na živých datech. Síťové monitory však fungují pouze na jednom bodě sítě a sledují veškerý procházející provoz. Pokud je obsah každého putujícího paketu zašifrován, vše, na čem musí systém SEM pracovat, jsou data hlavičky paketu. SEM není schopen porovnat události na různých místech v síti a na samostatných zařízeních.
SIM je schopen vidět vzorce činnosti napříč zařízeními. Metodologie SIM však poskytují lepší výsledky s více zdrojovými daty. Protože se vstupní informace pro SIM zapisují do protokolů, nejlepší výsledky SIM karty přicházejí s postupem času. Velkým problémem SIM je, že zpětně detekuje narušení – není to okamžité.
SIEM kombinuje silné stránky SIM a SEM . Dokonce ani SIEM se svými rozmanitými technikami není schopen blokovat narušení. Toto je druhá obranná linie a je určena k odplavení škodlivých aktivit, kterým se podařilo proklouznout přes okrajovou a hraniční obranu.
O společnosti McAfee
Společnost McAfee byla vytvořena v roce 1987 jako McAfee Associates . Společnost se v roce 2014 stala Intel Security Group a poté v roce 2017 McAfee, LLC. McAfee byla prvním výrobcem komerčního antivirového softwaru a dosáhla prvních úspěchů, díky čemuž se tento podnik stal atraktivním cílem převzetí. Excentrický zakladatel John McAfee se stáhl ze společnosti v roce 1994 a prodal všechny své akcie. Po sérii převzetí byla společnost koupena Intel v roce 2014. McAfee se poté v roce 2017 rozdělil zpět na nezávislou společnost, přičemž Intel si stále udržoval velký podíl.
Jak se hackerské aktivity staly sofistikovanějšími, tradiční antivirový model přestal být schopen plně ochránit IT systém. Koncept „narušení“ v IT systému zahrnuje, že se hacker dostane do sítě a vytvoří si dlouhodobé zaměstnání, které se nazývá „ Pokročilá trvalá hrozba (APT) .“
Společnost McAfee investovala do softwaru pro strojové učení, který využívá techniky umělé inteligence k identifikaci anomální aktivity, aniž by se musel odkazovat na databázi signatur aktivit.
McAfee Enterprise Security Manager
The McAfee Enterprise Security Manager (ESM) je hlavním modulem McAfee SIEM, obsahuje hlavní konzoli systému a spojuje všechny datové kanály, které zaznamenávají sběratele a dodávky monitorů provozu.
Hlavní pohled konzoly se zaměřuje na události, ale přístupné jsou i pohledy na zařízení. Konzole ESM umožňuje přístup k vyhledávacím a analytickým zařízením.
Moduly McAfee SIEM
Zatímco Enterprise Security Manager je jádrem systému SIEM, mnoho práce se zpracováním dat se provádí mimo tuto jednotku.
Přijímač událostí McAfee
The Přijímač událostí McAfee je rozdělený systém pro sběr log. Na každém monitorovaném zařízení sídlí agent. Je schopen ukládat nasbíraná data lokálně v případě nedostupnosti sítě. Centrální sběrný systém komunikuje se všemi agenty, aby od nich obdržel data.
Centrální řídicí jednotka funguje jako log server. Přeformátuje přijatá data do standardního uspořádání, což umožňuje ukládat všechny záznamy dohromady. Související události jsou označeny, aby je bylo možné v budoucnu seskupit podle analytického vyhledávání. Tomu se říká logaritmická korelace.
McAfee Advanced Correlation Engine
The Advanced Correlation Engine (ACE) staví na práci přijímače událostí. Prohledává minulé záznamy protokolu, aby zjistil, zda nově uložené zprávy protokolu týkající se události, která již probíhá a byla identifikována dřívějšími zprávami.
ACE označuje nové záznamy, aby je bylo možné spojit se staršími zprávami protokolu. Identifikovaná skupina zpráv nepropojuje podobné záznamy; spíše používá systém pravidel, který zjišťuje indikátory stejné události, která se projevuje různými akcemi na různých místech.
McAfee Enterprise Log Manager
The Enterprise Log Manager (ELM) je správce souborů protokolů a jeho účelem je poskytovat povinnou správu souborů protokolu vyžadovanou bezpečnostními standardy. Vytváří soubory protokolu pro příchozí zprávy protokolu jako zdroj dat pro Správce událostí zabezpečení a pro hlášení standardů zabezpečení dat.
Zatímco standardy vyžadují, aby byly nezpracované protokoly uloženy a byly přístupné, Správce událostí zabezpečení se zajímá pouze o určité záznamy, které zdůrazňují neobvyklé aktivity, takže některé zprávy protokolu budou duplikovány a uloženy v různých formátech. ELM lze nakonfigurovat tak, aby používal místní nebo vzdálená úložiště. ELM je volitelný modul v systému SIEM. Enterprise Security Manager je schopen fungovat bez přítomnosti Enterprise Log Manager.
McAfee Enterprise Log Search
McAfee Enterprise Log Search (ELS) je založeno na Elasticsearch. Je součástí systému McAfee SIEM, ale může fungovat i jako samostatný nástroj. Toto vyhledávací zařízení může pracovat se soubory vytvořenými McAfee Advanced Correlation Engine a Enterprise Log Manager a také zkoumat záznamy událostí a identifikovat možné narušení nebo krádež dat. ELS je integrován do konzole Enterprise Security Manager a je určen pro ad-hoc dotazy a analýzy.
Monitor dat aplikací McAfee
The Monitor dat aplikací (ADM) poskytuje SEM část SIEM. Tento nástroj pracuje s živými daty a sleduje veškerý provoz v síti. Monitor je schopen nahlížet do e-mailů a souborů PDF, vyhledávat vložené trojské koně a nebezpečné programy.
Monitor pracuje na aplikační vrstvě, takže je schopen odhalit útoky, které hackeři rozdělují do paketů v naději, že oklamou tradiční síťové monitory. Služba funguje na portu SPAN a duplikuje datové toky místo toho, aby seděla inline. To odstraňuje nebezpečí zavedení zpoždění v síti.
Kromě toho, že hledá příchozí pokusy o útok, ADM vyhledává v odchozím provozu události ztráty dat a neoprávněnou komunikaci. Všechny objevy jsou auditovány v souladu se standardy ochrany dat.
McAfee Direct Attached Storage
McAfee Direct Attached Storage slouží Enterprise Security Manager a Enterprise Log Manager a poskytuje řadič RAID, zrcadlenou mezipaměť a vícecestné připojení IO.
McAfee Global Threat Intelligence pro ESM
The Global Threat Intelligence (GTI) feed je základní služba McAfee, která podporuje všechny její bezpečnostní produkty. GTI je k dispozici ve formátu vhodném pro Enterprise Security Manager.
Možnosti konfigurace McAfee SIEM
McAfee Enterprise Security Manager je k dispozici ve dvou formátech. První je flexibilní cloudová služba s názvem ESM Cloud. Toto je pravděpodobně ta dostupnější možnost, pro kterou se většina zákazníků rozhodne.
Tady je bezplatná zkušební verze pro ESM Cloud . Zkušební verze je ve formě softwaru ke stažení, který běží na místním virtuálním počítači, místo aby přistupoval ke skutečné cloudové službě. Běžná místní verze produktu Enterprise Security Manager je zařízení. Potenciální zákazníci, kteří chtějí tento systém otestovat, by si také měli stáhnout verzi virtuálního zařízení nabízenou jako zkušební verzi pro ESM Cloud.
Přístrojová deska
Konzole ESM je přístupná přes standardní webový prohlížeč zda se nasazuje jako cloudová služba nebo jako zařízení. Obrazovky služby zabírají celou šířku okna prohlížeče a nevyhrazují prostor pro nabídku. Nabídka se zasune zleva na vyžádání stisknutím tlačítka v záhlaví každé obrazovky.
Hlavní obrazovka systému zobrazuje seznam posledních událostí. Mezi další možnosti, ke kterým lze přistupovat z hlavní nabídky, patří průzkumník souborů protokolu a Elasticsearch nástroj, který pracuje se soubory protokolu.
Bez nabídky je možné vidět levý panel hlavní obrazovky, který obsahuje seznam všech sledovaných zařízení. Malý příznak na jedné z položek v tomto seznamu označuje, že v daném místě byla zjištěna událost nebo že je třeba provést akci, aby bylo možné zkontrolovat nastavení nebo prostředky pro dané zařízení.
Kliknutím na označené zařízení se zobrazí pole s tlačítky, které umožňují přístup k zařízením v rámci ESM, které mohou vyřešit výstrahu, která se zobrazuje pro dané zařízení.
Alternativy k McAfee SIEM
McAfee SIEM je jedním z nejlepších produktů SIEM na trhu. Integruje se detekce virů a blokuje pokusy o stažení malwaru i hledání neoprávněné lidské činnosti. Služba zahrnuje prevenci ztráty dat a podezřelou odchozí komunikaci. Zdroj informací o hrozbách, který poskytují centrální laboratoře McAfee, je jedním z nejuznávanějších na světě.
Více o systémech SIEM a nejlepších službách dostupných na současném trhu si můžete přečíst v nejlepší nástroje SIEM pošta. Pokud se vám však nechce číst další článek o SIEM, můžete se podívat na stručný popis dalších systémů SIEM, které stojí za vyzkoušení.
Zde je náš seznam 10 nejlepších alternativ McAfee SIEM:
- Správce událostí zabezpečení SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA) Tento nástroj kombinuje zdroje protokolů a živé datové vstupy k detekci anomálií. Produkt je součástí sady nástrojů pro monitorování infrastruktury vyráběné společností SolarWinds. Tento software se instaluje na Windows Server. Stáhněte si 30denní bezplatnou zkušební verzi.
- CrowdStrike Falcon Insight (ZKUŠEBNÍ ZKOUŠKA ZDARMA)Kombinace cloudového SIEM a modulů detekce a odezvy koncových bodů, které jsou nainstalovány na každém zařízení. Tento systém přijímá zpravodajský zdroj pro zlepšení vyhledávání hrozeb prostřednictvím záznamů protokolů a zpráv o činnosti a jednotky EDR implementují analýzu chování uživatelů a entit, aby odhalily anomálie a blokovaly útoky zero-day. Zahajte 15denní bezplatnou zkušební verzi.
- ManageEngine EventLog Analyzer (ZKUŠEBNÍ ZKOUŠKA ZDARMA) Částečný SIEM nabízející funkce SIM, které lze propojit sLog360nástroj pro získání zdroje živých síťových dat za účelem vytvoření úplného SIEM. Instaluje se na Windows a Linux. Začněte 30denní bezplatnou zkušební verzi.
- Monitorování zabezpečení Datadog Cloudová služba, která vyžaduje instalaci agentů na místě. Správce protokolů monitorování zabezpečení a SIEM, což je modul balíčku monitorování systému s výstrahami.
- Fortinet FortiSIEM Komplexní cloudový systém SIEM, který vyžaduje instalaci agentů na místě. Zahrnuje akce automatické odezvy k zastavení zjištěné škodlivé aktivity.
- Rapid7 InsightIDR Cloudová bezpečnostní služba, která nasazuje agenty na každý chráněný koncový bod. Agenti zajišťují kontinuitu ochrany v případě nedostupnosti sítě. Tato služba integruje automatický mechanismus odezvy.
- OSSEC Bezplatný open source hostitelský systém detekce narušení. Pokrývá pouze část SIEM pro SIM kartu, ale lze ji použít k pokrytí živých síťových dat prostřednictvím skákání živého kanálu přes soubory. Instaluje se na Windows, MacOS, Linux a Unix.
- Platforma LogRhythm NextGen SIEM Jako vstup bere živé statistiky provozu a protokolové zprávy. Aplikuje strojové učení založené na umělé inteligenci ke snížení falešných poplachů. Má skvělé uživatelské příručky. Tento softwarový balíček se instaluje na Windows a Linux.
- Jednotná správa zabezpečení AT&T Cybersecurity AlienVault Vysoce uznávaný a komplexní nezávisle vyvinutý bezpečnostní systém, který je nyní aktivem AT&T. Běží na Windows a macOS.
- Splunk Enterprise Security Kombinuje monitorování sítě a správu protokolů a poskytuje nástroj SIEM s nástroji pro analýzu dat. Instalace místního softwaru na Windows a Linux.
Časté dotazy k SIEM společnosti McAfee
Jak dlouho jsou nezpracované protokoly uloženy v McAfee SIEM?
Doba uchování dat pro nezpracovaná data protokolu v McAfee SIEM je na vás. Doba, po kterou jsou nekomprimované protokoly uchovávány, může být 365 dní, 90 dní nebo 30 dní a má velký vliv na cenu, kterou za službu platíte.
Jak přidáte zdroj dat v McAfee SIEM?
Chcete-li přidat zdroj dat do systému McAfee SIEM, musíte otevřít řídicí panel pro Enterprise Security Manager (ESM). Musíte nastavit přijímač událostí a poté jej nakonfigurovat. Přístup k tomuto systému nastavení je přes tlačítko na palubní desce, které vypadá jako kruhová šipka směřující do jeho středu. Toto je ikona Získat události a toky a jakmile vstoupíte do systému, proces přidávání zdroje dat a stahování kolektoru je řízen.
Jak provedete zachycení paketů v McAfee SIEM?
McAfee SIEM nemá nativní nástroj pro zachycení paketů. Místo toho musíte vydat a tcpdump příkaz v relaci terminálu a přesměrujte výstup do souboru.