Там джунглі! Недоброзичливці є скрізь, і вони переслідують вас. Ну, ймовірно, не ви особисто, а ваші дані. Ми маємо захищатися більше не лише від вірусів, а від різного роду атак, які можуть поставити вашу мережу – і вашу організацію – у важку ситуацію. Через поширення різноманітних систем захисту, таких як антивіруси, брандмауери та системи виявлення вторгнень, мережеві адміністратори переповнені інформацією, яку вони повинні співвідносити, намагаючись зрозуміти її. Тут стають у нагоді системи управління інформацією та подіями безпеки (SIEM). Вони справляються з більшістю жахливої роботи, пов’язаної з надто великою кількістю інформації. Щоб спростити вашу роботу з вибору SIEM, ми представляємо вам найкращі інструменти керування інформацією та подіями безпеки (SIEM).
Сьогодні ми починаємо наш аналіз з обговорення сучасної сцени загроз. Як ми вже говорили, це вже не просто віруси. Потім ми спробуємо краще пояснити, що саме таке SIEM, і поговоримо про різні компоненти, які утворюють систему SIEM. Деякі з них можуть бути важливішими за інші, але їх відносна важливість може бути різною для різних людей. І, нарешті, ми представимо наш вибір із шести найкращих інструментів управління інформацією та подіями безпеки (SIEM) і коротко розглянемо кожен з них.
Сучасна сцена загрози
Раніше комп’ютерна безпека була лише про захист від вірусів. Але в останні роки було виявлено кілька різних видів атак. Вони можуть приймати форму атак відмови в обслуговуванні (DoS), викрадення даних та багато іншого. І вони вже не приходять лише ззовні. Багато атак походять із мережі. Отже, для максимального захисту були винайдені різні типи систем захисту. На додаток до традиційних антивірусів і брандмауера, тепер у нас є системи виявлення вторгнень і запобігання втраті даних (IDS і DLP).
Звичайно, чим більше ви додаєте систем, тим більше роботи вам доведеться керувати ними. Кожна система відстежує деякі конкретні параметри на предмет відхилень і реєструє їх і/або запускає сповіщення, коли вони виявлені. Чи не було б добре, якби моніторинг усіх цих систем був автоматизований? Крім того, деякі типи атак можуть бути виявлені кількома системами, коли вони проходять різні етапи. Чи не було б набагато краще, якби ви могли відповідати на всі пов’язані події як один? Ну, це саме те, про що SIEM.
Що таке SIEM?
Назва говорить все. Управління інформацією та подіями безпеки — це процес керування інформацією та подіями безпеки. Конкретно, система SIEM не забезпечує жодного захисту. Його основна мета — полегшити життя адміністраторів мережі та безпеки. Типова система SIEM насправді збирає інформацію з різних систем захисту та виявлення, співвідносить всю цю інформацію, збираючи пов’язані події, і реагує на важливі події різними способами. Часто системи SIEM також включають певну форму звітності та інформаційні панелі.
Основні компоненти системи SIEM
Ми збираємося детальніше вивчити кожен основний компонент системи SIEM. Не всі системи SIEM містять усі ці компоненти, і навіть якщо вони є, вони можуть мати різні функціональні можливості. Однак вони є основними компонентами, які зазвичай можна знайти в тій чи іншій формі в будь-якій системі SIEM.
Збір журналів та управління
Збір журналів і керування ними є основним компонентом усіх систем SIEM. Без нього немає SIEM. Система SIEM повинна отримувати дані журналу з різних джерел. Він може або витягнути його, або різні системи виявлення та захисту можуть підштовхнути його до SIEM. Оскільки кожна система має свій власний спосіб категоризації та запису даних, SIEM має нормалізувати дані та зробити їх однорідними, незалежно від джерела.
Після нормалізації зареєстровані дані часто порівнюються з відомими моделями атак, щоб якомога раніше розпізнати шкідливу поведінку. Дані також часто порівнюються з раніше зібраними даними, щоб допомогти створити базову лінію, яка ще більше покращить виявлення аномальної активності.
Відповідь на подію
Як тільки подія виявлена, з нею потрібно щось робити. Саме про це і полягає модуль відповіді на події для системи SIEM. Відповідь на подію може мати різні форми. У найпростішій реалізації на системній консолі буде згенеровано повідомлення про попередження. Часто також можна генерувати сповіщення електронною поштою або SMS.
Але найкращі системи SIEM йдуть ще далі й часто ініціюють певний процес виправлення. Знову ж таки, це те, що може приймати різні форми. Найкращі системи мають повну систему робочого процесу реагування на інциденти, яку можна налаштувати, щоб забезпечити саме ту відповідь, яку ви хочете. І, як і слід було очікувати, реакція на інцидент не повинна бути однорідною, і різні події можуть викликати різні процеси. Найкращі системи нададуть вам повний контроль над робочим процесом реагування на інциденти.
Звітність
Після того, як у вас є збір журналів і керування ними, а також системи реагування, наступний будівельний блок, який вам знадобиться, — це звіт. Можливо, ви ще цього не знаєте, але вам знадобляться звіти. Вищому керівництву знадобиться, щоб вони на власні очі переконалися, що їхні інвестиції в систему SIEM окупаються. Вам також можуть знадобитися звіти для цілей відповідності. Дотримання таких стандартів, як PCI DSS, HIPAA або SOX, можна полегшити, якщо ваша система SIEM може створювати звіти про відповідність.
Звіти можуть не бути ядром системи SIEM, але все ж вони є одним із найважливіших компонентів. І часто звітність буде основним фактором відмінності між конкуруючими системами. Звіти, як цукерки, ніколи не буває забагато. І, звичайно, найкращі системи дозволять створювати власні звіти.
інформаційна панель(и)
І останнє, але не менш важливе, інформаційна панель буде вашим вікном у стан вашої системи SIEM. І навіть може бути кілька приладових панелей. Оскільки різні люди мають різні пріоритети та інтереси, ідеальна інформаційна панель для адміністратора мережі буде відрізнятися від адміністратора безпеки. І керівникові знадобиться зовсім інший.
Незважаючи на те, що ми не можемо оцінити систему SIEM за кількістю інформаційних панелей, які вона має, вам потрібно вибрати ту, яка має всі необхідні приладні панелі. Це, безумовно, те, про що ви захочете пам’ятати, оцінюючи постачальників. І, як і у випадку зі звітами, найкращі системи дозволять вам створювати налаштовані інформаційні панелі на свій смак.
Наші 6 найкращих інструментів SIEM
Існує багато систем SIEM. Занадто багато, насправді, щоб мати можливість переглянути їх усі тут. Отже, ми провели пошук на ринку, порівняли системи та склали список шістьох найкращих інструментів для інформації та керування безпекою (SIEM). Ми перераховуємо їх у порядку переваг, і ми коротко розглянемо кожен з них. Але незважаючи на їх порядок, всі шість чудових систем, які ми можемо лише рекомендувати вам спробувати самостійно.
Ось які наші найкращі 6 інструментів SIEM
Менеджер журналів і подій SolarWinds
Splunk Enterprise Security
RSA NetWitness
ArcSight Enterprise Security Manager
McAfee Enterprise Security Manager
IBM QRadar SIEM
1. SolarWinds Log & Event Manager (БЕЗКОШТОВНА 30-ДЕННА ПРОБНА ОПЕРАЦІЯ)
SolarWinds — поширена назва в світі моніторингу мережі. Їхній флагманський продукт, Network Performance Monitor, є одним із найкращих доступних інструментів моніторингу SNMP. Компанія також відома своїми численними безкоштовними інструментами, такими як калькулятор підмережі або SFTP-сервер.
Інструмент SIEM від SolarWinds, менеджер журналів і подій (LEM), найкраще описати як систему SIEM початкового рівня. Але це, можливо, одна з найбільш конкурентоспроможних систем початкового рівня на ринку. SolarWinds LEM має все, що ви можете очікувати від системи SIEM. Він має чудові тривалі функції керування та кореляції та вражаючий механізм звітності.
Що стосується функцій реагування на події в інструменті, вони не залишають бажати кращого. Детальна система реагування в реальному часі буде активно реагувати на кожну загрозу. А оскільки він заснований на поведінці, а не на підписі, ви захищені від невідомих або майбутніх загроз.
Але приладова панель інструменту, можливо, є його найкращим активом. Завдяки простому дизайну у вас не буде проблем швидко визначити аномалії. Починаючи з приблизно 4 500 доларів, цей інструмент більш ніж доступний. І якщо ви хочете спочатку спробувати, безкоштовна повнофункціональна 30-денна пробна версія доступна для завантаження.
2. Splunk Enterprise Security
Можливо, одна з найпопулярніших систем SIEM, Splunk Enterprise Security– або Splunk ES, як його часто називають – особливо відомий своїми аналітичними можливостями. Splunk ES відстежує дані вашої системи в режимі реального часу, шукаючи вразливості та ознаки ненормальної активності.
Реакція безпеки — ще одна з сильних сторін Splunk ES. Система використовує те, що Splunk називає Adaptive Response Framework (ARF), яке інтегрується з обладнанням більш ніж 55 виробників безпеки. ARF виконує автоматичне реагування, прискорюючи виконання ручних завдань. Це дозволить вам швидко отримати перевагу. Додайте до цього простий і лаконічний інтерфейс користувача, і ви отримаєте виграшне рішення. Інші цікаві функції включають функцію Notables, яка показує настроювані користувачем сповіщення та Asset Investigator для позначення шкідливих дій та запобігання подальшим проблемам.
Splunk ES — це справді продукт корпоративного рівня, і він поставляється з цінником корпоративного розміру. Ви навіть не можете отримати інформацію про ціни на веб-сайті Splunk. Щоб дізнатися ціну, необхідно звернутися до відділу продажу. Незважаючи на свою ціну, це чудовий продукт, і ви можете зв’язатися зі Splunk і скористатися безкоштовною пробною версією.
3. RSA NetWitness
З 20016 року NetWitness зосереджується на продуктах, які підтримують «глибоке усвідомлення ситуації в мережі в режимі реального часу та швидке реагування мережі». Після придбання компанією EMC, яка потім об’єдналася з Dell, бізнес Newitness тепер є частиною філії корпорації RSA. І це гарна новина RSA – відоме ім’я в галузі безпеки.
RSA NetWitness ідеально підходить для організацій, які шукають повне рішення для мережевої аналітики. Інструмент містить інформацію про вашу компанію, що допомагає визначити пріоритетність сповіщень. Згідно з RSA, система «збирає дані з більшої кількості точок захоплення, обчислювальних платформ та джерел інформації про загрози, ніж інші рішення SIEM». Існує також розширене виявлення загроз, яке поєднує поведінковий аналіз, методи дослідження даних і аналіз загроз. І, нарешті, розширена система реагування може похвалитися можливостями оркестрування та автоматизації, щоб допомогти позбутися від загроз, перш ніж вони вплинуть на ваш бізнес.
Одним з основних недоліків RSA NetWitness є те, що він не найпростіший у використанні та налаштуванні. Проте існує вичерпна документація, яка може допомогти вам у налаштуванні та використанні продукту. Це ще один продукт корпоративного рівня, і вам потрібно буде зв’язатися з відділом продажу, щоб отримати інформацію про ціни.
4. ArcSight Enterprise Security Manager
ArcSight Enterprise Security Manager допомагає виявляти та розставляти пріоритети загроз безпеці, організовувати та відстежувати дії з реагування на інциденти, а також спрощувати аудит і діяльність з дотримання вимог. Раніше продавався під брендом HP, тепер він об’єднався з Micro Focus, ще однією дочірньою компанією HP.
ArcSight існує вже більше п’ятнадцяти років і є ще одним надзвичайно популярним інструментом SIEM. Він збирає дані журналу з різних джерел і виконує широкий аналіз даних, шукаючи ознаки зловмисної активності. Щоб полегшити швидке визначення загроз, ви можете переглянути результати аналізу real0tme.
Ось короткий опис основних характеристик продуктів. Він має потужну розподілену кореляцію даних у реальному часі, автоматизацію робочого процесу, організацію безпеки та контент безпеки, керований громадою. Enterprise Security Manager також інтегрується з іншими продуктами ArcSight, такими як ArcSight Data Platform and Event Broker або ArcSight Investigate. Це ще один продукт корпоративного рівня, як і майже всі якісні інструменти SIEM, для якого вам знадобиться зв’язатися з відділом продажів ArcSight, щоб отримати інформацію про ціни.
5. McAfee Enterprise Security Manager
McAfee, безсумнівно, є ще одним ім’ям, що промовляє в індустрії безпеки. Однак він більше відомий своїми засобами захисту від вірусів. The Менеджер з безпеки підприємства це не просто програмне забезпечення. Насправді це прилад. Ви можете отримати його у віртуальному або фізичному вигляді.
З точки зору його аналітичних можливостей, McAfee Enterprise Security Manager багато хто вважає одним із найкращих інструментів SIEM. Система збирає журнали на широкому діапазоні пристроїв. Що стосується його можливостей нормалізації, то він також на вищому рівні. Механізм кореляції легко компілює різні джерела даних, що полегшує виявлення подій безпеки, коли вони відбуваються
Правда, рішення McAfee містить більше, ніж просто менеджер безпеки підприємства. Щоб отримати повне рішення SIEM, вам також потрібен менеджер журналів підприємства та приймач подій. На щастя, всі продукти можна запакувати в один прилад. Для тих із вас, хто, можливо, захоче спробувати продукт перед покупкою, доступна безкоштовна пробна версія.
6. IBM QRadar
IBM, можливо, найвідомішому імені в ІТ-індустрії, вдалося створити своє рішення SIEM, IBM QRadar є одним з найкращих продуктів на ринку. Інструмент дає змогу аналітикам безпеки виявляти аномалії, виявляти розширені загрози та видаляти помилкові результати в режимі реального часу.
IBM QRadar може похвалитися набором функцій керування журналами, збору даних, аналітики та виявлення вторгнень. Разом вони допомагають підтримувати вашу мережеву інфраструктуру в нормальному стані. Існує також аналітика моделювання ризиків, яка може моделювати потенційні атаки.
Деякі з ключових функцій QRadar включають можливість розгортання рішення локально або в хмарному середовищі. Це модульне рішення, і можна швидко та недорого додати більше накопичувача процесорної потужності. Система використовує досвід розвідки від IBM X-Force і легко інтегрується з сотнями продуктів IBM і інших продуктів.
Оскільки IBM є IBM, ви можете розраховувати на дорогу ціну за їхнє рішення SIEM. Але якщо вам потрібен один із найкращих інструментів SIEM на ринку, QRadar цілком може бути вартим інвестицій.
У висновку
Єдина проблема, з якою ви ризикуєте зіткнутися, купуючи найкращий інструмент для моніторингу інформації та подій безпеки (SIEM), — це велика кількість чудових варіантів. Ми щойно представили найкращу шість. Всі вони є відмінним вибором. Той, який ви виберете, багато в чому залежатиме від ваших точних потреб, вашого бюджету та часу, який ви готові витратити на його налаштування. На жаль, початкова конфігурація завжди є найскладнішою частиною, і саме тут все може піти не так, оскільки, якщо інструмент SIEM неправильно налаштований, він не зможе виконувати свою роботу належним чином.
Текст 50 – 2300