Тамо је џунгла! Ненамерни појединци су свуда и јуре вас. Па, вероватно не ви лично, већ ваши подаци. Више не морамо да се заштитимо само од вируса, већ и од свих врста напада који вашу мрежу – и вашу организацију – могу довести у страшну ситуацију. Због ширења различитих система заштите као што су антивируси, заштитни зидови и системи за откривање упада, мрежни администратори су сада преплављени информацијама које морају да повежу, покушавајући да им дају смисао. Овде су корисни системи за безбедносне информације и управљање догађајима (СИЕМ). Они се баве већином ужасног посла са превише информација. Да бисмо вам олакшали посао одабира СИЕМ-а, представљамо вам најбоље алате за управљање безбедносним информацијама и догађајима (СИЕМ).
Данас почињемо нашу анализу разговором о модерној сцени претњи. Као што смо рекли, више нису само вируси. Затим ћемо покушати да боље објаснимо шта је тачно СИЕМ и разговарамо о различитим компонентама које чине СИЕМ систем. Неки од њих могу бити важнији од других, али њихова релативна важност може бити различита за различите људе. И на крају, представићемо наш избор од шест најбољих алата за управљање безбедносним информацијама и догађајима (СИЕМ) и укратко прегледати сваки од њих.
Преглед садржаја
Модерна сцена претње
Рачунарска безбедност је некада била само заштита од вируса. Али последњих година откривено је неколико различитих врста напада. Они могу имати облик напада ускраћивања услуге (ДоС), крађе података и још много тога. И више не долазе само споља. Многи напади потичу из мреже. Дакле, за крајњу заштиту, измишљене су различите врсте заштитних система. Поред традиционалног антивирусног програма и заштитног зида, сада имамо системе за откривање упада и превенцију губитка података (ИДС и ДЛП), на пример.
Наравно, што више система додајете, више посла имате на управљању њима. Сваки систем прати неке специфичне параметре за абнормалности и евидентираће их и/или активирати упозорења када се открију. Зар не би било лепо када би се праћење свих ових система могло аутоматизовати? Штавише, неколико система може открити неке врсте напада док пролазе кроз различите фазе. Зар не би било много боље када бисте могли да одговорите на све повезане догађаје као један? Па, то је управо оно о чему се ради СИЕМ.
Шта је СИЕМ, тачно?
Име говори све. Управљање безбедносним информацијама и догађајима је процес управљања безбедносним информацијама и догађајима. Конкретно, СИЕМ систем не пружа никакву заштиту. Његова примарна сврха је да олакша живот администраторима мреже и безбедности. Оно што типичан СИЕМ систем заиста ради је да прикупља информације из различитих система заштите и детекције, повезује све ове информације окупљајући повезане догађаје и реагује на значајне догађаје на различите начине. Често ће СИЕМ системи такође укључивати неки облик извештавања и контролне табле.
Основне компоненте СИЕМ система
Управо ћемо детаљније истражити сваку главну компоненту СИЕМ система. Не укључују сви СИЕМ системи све ове компоненте и, чак и када то чине, могу имати различите функционалности. Међутим, оне су најосновније компоненте које се обично налазе, у овом или оном облику, у било ком СИЕМ систему.
Сакупљање и управљање трупцима
Сакупљање и управљање евиденцијама је главна компонента свих СИЕМ система. Без тога нема СИЕМ-а. СИЕМ систем мора да прикупља податке дневника из различитих извора. Може га или повући или га различити системи детекције и заштите могу гурнути у СИЕМ. Пошто сваки систем има свој начин категоризације и евидентирања података, на СИЕМ-у је да нормализује податке и учини их једнообразним, без обзира који је њихов извор.
Након нормализације, евидентирани подаци ће се често упоређивати са познатим обрасцима напада у покушају да се злонамерно понашање препозна што је пре могуће. Подаци ће се такође често упоређивати са претходно прикупљеним подацима како би се изградила основа која ће додатно побољшати откривање абнормалне активности.
Одговор на догађај
Једном када се открије догађај, мора се нешто учинити у вези с њим. То је оно о чему се ради у модулу одговора на догађај за СИЕМ систем. Одговор на догађај може имати различите облике. У најосновнијој имплементацији, порука упозорења ће бити генерисана на системској конзоли. Често се могу генерисати и е-маил или СМС упозорења.
Али најбољи СИЕМ системи иду корак даље и често ће покренути неки поправни процес. Опет, ово је нешто што може имати различите облике. Најбољи системи имају комплетан систем тока рада за реаговање на инциденте који се може прилагодити да пружи тачно одговор који желите. И као што би се очекивало, одговор на инцидент не мора бити уједначен и различити догађаји могу покренути различите процесе. Најбољи системи ће вам дати потпуну контролу над радним током одговора на инциденте.
Извештавање
Када успоставите прикупљање и управљање евиденцијама и системе одговора, следећи градивни блок који вам је потребан је извештавање. Можда то још увек не знате, али биће вам потребни извештаји. Вишем руководству ће бити потребно да се лично увере да се њихова инвестиција у СИЕМ систем исплати. Можда ће вам требати и извештаји ради усаглашености. Усклађеност са стандардима као што су ПЦИ ДСС, ХИПАА или СОКС може бити олакшана када ваш СИЕМ систем може да генерише извештаје о усклађености.
Извештаји можда нису срж СИЕМ система, али су ипак једна битна компонента. И често ће извештавање бити главни фактор разликовања између конкурентских система. Извештаји су као бомбоне, никада их не можете имати превише. И наравно, најбољи системи ће вам омогућити да креирате прилагођене извештаје.
Контролна табла(е)
На крају, али не и најмање важно, контролна табла ће бити ваш прозор у статус вашег СИЕМ система. Чак би могло бити и више контролних табли. Пошто различити људи имају различите приоритете и интересовања, савршена контролна табла за администратора мреже ће се разликовати од оне за безбедносног администратора. А извршном директору ће бити потребан и потпуно другачији.
Иако не можемо да проценимо СИЕМ систем према броју контролних табли које има, морате да изаберете ону која има све контролне табле(е) које су вам потребне. Ово је дефинитивно нешто што ћете желети да имате на уму док процењујете добављаче. И баш као и са извештајима, најбољи системи ће вам омогућити да направите прилагођене контролне табле по свом укусу.
Наших 6 најбољих СИЕМ алата
Постоји много СИЕМ система. Превише их је, заправо, да бисмо их све могли прегледати овде. Дакле, претражили смо тржиште, упоредили системе и направили листу шест најбољих алата за безбедносне информације и управљање (СИЕМ). Наводимо их по жељеном редоследу и укратко ћемо их прегледати. Али упркос њиховој наруџбини, свих шест су одлични системи које можемо само препоручити да испробате сами.
Ево шта су наших 6 најбољих СИЕМ алата
СоларВиндс Лог & Евент Манагер
Сплунк Ентерприсе Сецурити
РСА НетВитнесс
АрцСигхт Ентерприсе Сецурити Манагер
МцАфее Ентерприсе Сецурити Манагер
ИБМ КРадар СИЕМ
1. СоларВиндс Лог & Менаџер догађаја (БЕСПЛАТНА ПРОБНА ПРОБНА ПРОБНА верзија од 30 дана)
СоларВиндс је уобичајено име у свету надгледања мреже. Њихов водећи производ, Нетворк Перформанце Монитор, један је од најбољих доступних алата за праћење СНМП-а. Компанија је такође позната по својим бројним бесплатним алатима као што су њихов Субнет Цалцулатор или њихов СФТП сервер.
СоларВиндсов СИЕМ алат, Лог анд Евент Манагер (ЛЕМ) најбоље се описује као СИЕМ систем почетног нивоа. Али то је вероватно један од најконкурентнијих система за почетнике на тржишту. СоларВиндс ЛЕМ има све што можете очекивати од СИЕМ система. Има одличне карактеристике дугог управљања и корелације и импресиван механизам за извештавање.
Што се тиче функција одговора на догађаје у алату, оне не остављају ништа што се жели. Детаљан систем одговора у реалном времену ће активно реаговати на сваку претњу. А пошто се заснива на понашању, а не на потпису, заштићени сте од непознатих или будућих претњи.
Али контролна табла алата је вероватно његова најбоља предност. Уз једноставан дизајн, нећете имати проблема да брзо идентификујете аномалије. Почевши од око 4 500 долара, алат је више него приступачан. А ако желите прво да је испробате, доступна је бесплатна потпуно функционална пробна верзија од 30 дана за преузимање.
2. Сплунк Ентерприсе Сецурити
Вероватно један од најпопуларнијих СИЕМ система, Сплунк Ентерприсе Сецурити– или Сплунк ЕС, како га често називају – посебно је познат по својим аналитичким могућностима. Сплунк ЕС прати податке вашег система у реалном времену, тражећи рањивости и знаке абнормалне активности.
Сигурносни одговор је још једна од јаких страна Сплунк ЕС-а. Систем користи оно што Сплунк назива Адаптиве Респонсе Фрамеворк (АРФ) који се интегрише са опремом од више од 55 добављача безбедности. АРФ врши аутоматизован одговор, убрзавајући ручне задатке. Ово ће вам омогућити да брзо добијете предност. Додајте томе једноставан и неоптерећен кориснички интерфејс и имате победничко решење. Остале занимљиве карактеристике укључују функцију Нотаблес која приказује упозорења која се могу прилагодити корисницима и Ассет Инвестигатор за означавање злонамерних активности и спречавање даљих проблема.
Сплунк ЕС је заиста производ за предузећа и долази са ценом величине предузећа. Не можете чак ни да добијете информације о ценама са Сплунк-ове веб локације. Морате контактирати одељење продаје да бисте добили цену. Упркос својој цени, ово је одличан производ и можда бисте желели да контактирате Сплунк и искористите бесплатну пробну верзију.
3. РСА НетВитнесс
Од 20016. године, НетВитнесс се фокусирао на производе који подржавају „дубоку мрежну ситуациону свест у реалном времену и агилан мрежни одговор“. Након што га је купио ЕМЦ који се потом спојио са Делл-ом, Невитнесс посао је сада део РСА огранка корпорације. И ово је добра вест РСА је познато име у области безбедности.
РСА НетВитнесс идеалан је за организације које траже комплетно решење за мрежну аналитику. Алат укључује информације о вашем предузећу које помаже у одређивању приоритета упозорења. Према РСА, систем „прикупља податке на више тачака хватања, рачунарских платформи и извора обавештајних података о претњама од других СИЕМ решења“. Ту је и напредно откривање претњи које комбинује анализу понашања, технике науке о подацима и обавештајне податке о претњама. И на крају, напредни систем реаговања се може похвалити могућностима оркестрације и аутоматизације како би вам помогао да се решите и искорените претње пре него што утичу на ваше пословање.
Један од главних недостатака РСА НетВитнесс-а је тај што га није најлакше користити и конфигурисати. Међутим, доступна је свеобухватна документација која вам може помоћи при постављању и коришћењу производа. Ово је још један производ за предузећа и мораћете да контактирате продају да бисте добили информације о ценама.
4. АрцСигхт Ентерприсе Сецурити Манагер
АрцСигхт Ентерприсе Сецурити Манагер помаже у идентификацији и одређивању приоритета безбедносних претњи, организовању и праћењу активности реаговања на инциденте и поједностављивању активности ревизије и усклађености. Раније се продавао под брендом ХП, а сада се спојио са Мицро Фоцусом, другом ХП-овом подружницом.
Пошто постоји више од петнаест година, АрцСигхт је још један изузетно популаран СИЕМ алат. Он саставља податке дневника из различитих извора и врши опсежну анализу података, тражећи знаке злонамерне активности. Да бисте брзо идентификовали претње, можете погледати резултате реал0тме анализе.
Ево резимеа главних карактеристика производа. Има моћну дистрибуирану корелацију података у реалном времену, аутоматизацију тока посла, безбедносну оркестрацију и безбедносни садржај који води заједница. Ентерприсе Сецурити Манагер се такође интегрише са другим АрцСигхт производима као што су АрцСигхт Дата Платформ и Евент Брокер или АрцСигхт Инвестигате. Ово је још један производ за предузећа – као скоро сви квалитетни СИЕМ алати – за који ће бити потребно да контактирате АрцСигхтов продајни тим да бисте добили информације о ценама.
5. МцАфее Ентерприсе Сецурити Манагер
МцАфее је свакако још једно име у индустрији безбедности. Међутим, познатији је по производима за заштиту од вируса. Тхе Менаџер за безбедност предузећа није само софтвер. То је заправо апарат. Можете га добити у виртуелном или физичком облику.
У погледу својих аналитичких могућности, МцАфее Ентерприсе Сецурити Манагер многи сматрају једним од најбољих СИЕМ алата. Систем прикупља евиденције на широком спектру уређаја. Што се тиче његових могућности нормализације, он је такође врхунски. Корелациони механизам лако компајлира различите изворе података, што олакшава откривање безбедносних догађаја док се дешавају
Да будемо истинити, МцАфее решење има више од само његовог Ентерприсе Сецурити Манагер-а. Да бисте добили комплетно СИЕМ решење, такође су вам потребни Ентерприсе Лог Манагер и Евент Рецеивер. На срећу, сви производи се могу упаковати у један уређај. За оне од вас који можда желе да испробају производ пре него што га купе, доступна је бесплатна пробна верзија.
6. ИБМ КРадар
ИБМ, вероватно најпознатије име у ИТ индустрији, успео је да успостави своје СИЕМ решење, ИБМ КРадар је један од најбољих производа на тржишту. Алат омогућава безбедносним аналитичарима да открију аномалије, открију напредне претње и уклоне лажне позитивне резултате у реалном времену.
ИБМ КРадар се може похвалити пакетом функција за управљање евиденцијом, прикупљање података, аналитику и детекцију упада. Заједно, они помажу да ваша мрежна инфраструктура буде у функцији. Постоји и аналитика моделирања ризика која може симулирати потенцијалне нападе.
Неке од кључних карактеристика КРадар-а укључују могућност постављања решења на локалу или у цлоуд окружењу. То је модуларно решење и може се брзо и јефтино додати више меморије процесорске снаге. Систем користи обавештајну експертизу из ИБМ Кс-Форце-а и неприметно се интегрише са стотинама ИБМ-ових и не-ИБМ производа.
Пошто је ИБМ ИБМ, можете очекивати да ћете платити премиум цену за њихово СИЕМ решење. Али ако вам је потребан један од најбољих СИЕМ алата на тржишту, КРадар би могао бити вредан улагања.
У закључку
Једини проблем који ризикујете када купујете најбољи алат за праћење безбедносних информација и догађаја (СИЕМ) је обиље одличних опција. Управо смо представили шест најбољих. Сви они су одлични избори. Онај који ћете изабрати ће у великој мери зависити од ваших тачних потреба, вашег буџета и времена које сте спремни да уложите у његово постављање. Нажалост, почетна конфигурација је увек најтежи део и ту ствари могу поћи наопако јер ако СИЕМ алат није правилно конфигурисан, неће моћи да ради свој посао како треба.
Текст 50 – 2300