12款SIEM工具和对工具的评价
安全信息和恶性事件管理方法(SIEM)专用工具是大部分局域网络防御力的关键一部分。应用本手册能够协助您找寻到最合乎您要求的SIEM选择项。
SIEM能够说成网络信息安全专业技术人员的“蓝领级”专用工具,由于财务审计、核查和管理方法事件日志并不是具有一切独特的风采,但它确是搭建安全性公司互联网的1个不可或缺的方面。它能够做为全部数据采集和剖析主题活动的集中点,可对系统日志和信息网络出示数据分析系统。如果SIEM配备恰当,它便能够搜索故意个人行为和系统活动,在安全事故恶变变成有危害的数据泄漏恶性事件以前提示公司的安全事故精英团队。
现如今,网络信息安全早已逐渐迈向成熟期,成千上万专用工具(深度学习适用的服务器防火墙,加强的Web手机应用程序网络服务器,云服务器等)的衍化深化加重了公司黑客攻击的难度系数。以全局变量、“由上而下”的方法监控器每一层、服务项目和机器设备,针对为系统日志恶性事件出示语义来讲尤为重要。除此之外,将全自动修补每日任务运用于事件日志也助推很多该类SIEM专用工具提高来到另外级別。
由于事件日志的特性,他们一般会变成期盼遮盖其主题活动足迹的故意客户的再次攻击面。SIEM专用工具一般会根据将事件日志迁移到为每日任务搭建的网络服务器或服务项目中,来为事件日志出示附加的保护层厚度,进而出示这种避免编写或删掉,乃至建立备份文件团本的方式。
下列是Gartner PeerInsights评比的13款顶尖SIEM专用工具,及其来源于同行业审查的定级引言:
1. AlienVault一致安全性管理系统(AlienVault Unified Security Management)
AlienVault的一致安全工作(USM)服务平台出示了在各种各样系统软件中监控器、剖析和智能管理系统恶性事件的专用工具。其宣称可以从互联网中的一切地区发觉威协,而不仅根据服务器防火墙,且可以将发觉的威协以“破坏力链”(KILL CHAIN)的不一样环节开展分类。
AlienVault USM不仅是1个SIEM解决方法。除开监控器从而管理方法事件日志外,该服务平台还出示用以系统漏洞评定和入侵检测(包含互联网和应用场景服务器)的专用工具,为将会不具有这种作用的顾客出示额外使用价值。此外,AlienVault还出示OSSIM(开源系统安全信息和恶性事件管理方法)服务项目,说白了,这是1个开源系统的SIEM解决方法,且将会是更火爆的开源系统SIEM服务平台之首。OSSIM将当地系统日志储存和关系作用与诸多开源网站项目融为一体,以搭建详细的SIEM。OSSIM中包括的开源网站项目目录包含FProbe,Munin,Nagios,NFSen / NFDump,OpenVAS,OSSEC,PRADS,Snort,Suricata和TCPTrack。
Gartner PeerInsights得分:3.2星;
总体目标受众群体:各种各样经营规模的IT店铺;
鲜明特点:捆缚为具备入侵检测和系统漏洞评定专用工具的双层安全性模块;
标价:AlienVault关键出示3种市场价规范——基本版:1,075美金/月起;高品质版:2,595美金/月起,按本年度清算;最高级别:依据保留期、信息量及其对PCI适配系统日志储存的适用种类开展实际标价;
2. Elastic Logstash
Elastic并不是出示真实的SIEM服务平台(假如您的机构必须PCI兼容模式,能够前去查询别的专用工具),但Logstash做为1个系统日志聚合物器,能够搜集和解决来源于基本上一切数据库的统计数据,它能够过虑、解决、关系而且一般提高它搜集的一切系统日志统计数据。特别是在是Elastic还出示了诸如此类Beats这类的专用工具来数据网络,Beats包含各种各样轻巧系统日志传输,承担搜集统计数据并根据Logstash将其发送至堆栈;Elasticsearch是储存模块,用以协助分析很多统计数据;而Kibana则是堆栈中的数据可视化层,用以解决数据可视化和剖析难题。
Logstash将会是该目录中最灵便的专用工具,但它也存有某些问题。不容置疑,Elastic的Stack服务平台十分强劲,其系统日志解决、储存和数据可视化作用在作用上全是无以伦比的。殊不知,针对SIEM来讲,ELK Stack最少在其初始开源系统文件格式中缺乏某些重要部件。最先,沒有内嵌的汇报或报警作用。它是1个己知的困扰,不但针对试着将堆栈用以安全系数的客户并且针对更普遍的用例而言都是这般——比如IT实际操作。报警能够根据应用X-Pack(Elastic的商业服务商品)或根据加上开源系统安全性附注来加上。次之,都没有能够应用的内嵌安全性标准。这促使堆栈在解决資源和经营成本层面成本费更高。
Gartner PeerInsights得分:3.2星;
总体目标受众群体:各种各样经营规模的顾客,特别是在是具备DevOps作用的顾客;
鲜明特点:开源系统和极为灵便的服务平台;
标价:开源系统且免費,应用场景实际经营规模和应用状况出示公司适用和商业服务定阅标价方式;
3. Exabeam安全性管理系统(Exabeam Security Management Platform)
在人们本次例举的13款解决方法中,Exabeam获得了最大的Gartner PeerInsights得分,置于缘故都是不言而喻的。针对新手来讲,Exabeam的安全性管理系统能够为您的事件日志产生互联网大数据工具集,出示特性和剖析优点。Exabeam Data Lake能够适用尽量多的统计数据,且其标价都是应用场景用户数并非信息量而定,除此之外,Exabeam可以应用深度学习等技术性为客户出示多种多样剖析对策。
除开出示用以编译、聚合物和剖析事件日志的专用工具以外,Exabeam还出示了1个用以处理事件没有响应的工具集。Exabeam恶性事件没有响应程序流程出示了在恶性事件产生时将恶性事件分派给有关工作人员及其追踪情况升级的选择项。恶性事件响应者可以运用全自动和订制的“台本”,来对于不一样种类的恶性事件采取相应的减轻对策,及其阻拦自动化技术和与别的信息系统集成的潜在性机遇。
Gartner PeerInsights得分:4.6星;
总体目标受众群体:中小型企业级企业;
明显特点:应用场景互联网大数据的专用工具和集成化的恶性事件没有响应系统软件;
标价:每一部件独立标价,依据用户数标价;
5. Fortinet FortiSIEM
FortiSIEM是Fortinet企业的SIEM解决方法,其能够为公司出示1个健全、融合、可拓展的解决方法,从IoT到云,根据拥有专利权的剖析技术性来让网络安全管理更可实际操作,更高效率,更可视性,及其考虑多种多样合规管理规范。
FortiSIEM能够在搜集恶性事件和自动化技术恶性事件没有响应层面开展集成化。除此之外,FortiSIEM修补库还出示了内嵌脚本制作,能够运用来源于各种各样经销商的机器设备和系统软件来实行修补流程,比如停用网络交换机端口号或Active Directory账号。
该商品的突显优点包含:一致的NOC和SOC逻辑思维能力;分布式系统即时恶性事件关系技术性;即时、自动化技术基础设施建设发觉及其运用发觉模块;动态性客户鉴别与配对;灵便且迅速的自定系统日志分析;混和数据库架构- 结合结构型和关系型数据库源;规模性威协情报源融合及其“多租赁户构架”这些。
Gartner PeerInsights得分:3.2星;
总体目标受众群体:中小型到知名企业,适用內部布署或应用场景云的工作中负荷;
明显特点:应用场景脚本制作的修补和灵便的布署选择项;
标价:具有永久性许可证书的硬件设备卖价为12,525美金,虚似机器设备的卖价为23,179美金;
5 IBM QRadar SIEM
IBM一直以来始终是企业软件行业的管理者,因此其QRadar SIEM服务平台可以解决大中型uci数据集及其公司恶性事件管理方法解决方法需要的成千上万作用也就习以为常了。QRadar对600多种多样集成化和内嵌剖析模块的适用也更是对于IBM软件项目的期待。
IBM QRadar SIEM能够检验出现异常,发觉高級威协及其清除误报。它能够将分散化在全部互联网中的数千个机器设备、终端设备和运用中的系统日志恶性事件和互联网流统计数据融合起來。随后应用优秀的Sense Analytics模块,对这种统计数据执行规范性和关系解决,并明确必须调研的安全性进攻。除此之外,您还可以挑选将该商品与IBM Security X-Force Threat Intelligence融合应用,进而得到将会的故意ip地址的目录,包含故意服务器、垃圾短信源和别的威协。QRadar SIEM可在內部布署,也可在云端布署。
做为往日的AI“发哥”,IBM Watson将会是全世界销售量最大的AI,而IBM QRadar Advisor with Watson更是将Watson的认知能力作用和制造行业领跑的QRadar Security Analytics Platform 紧密结合,以发觉潜在性的威协和出现异常个人行为,并全自动挖掘洞悉而不用手动式鉴别,进而改变安全性剖析工作人员的工作中方法。除此之外,Watson Advisor还融合了来源于外界資源的新威协,以鉴别零日进攻。
Gartner PeerInsights得分:8.0星;
总体目标受众群体:中小型到知名企业顾客;
鲜明特点:诸多集成化点,以推动恶性事件没有响应和自动化技术;
标价:IBM的內部布署解决方法卖价为12,800美金,主要包括13六个月的第三、服务支持;IBM的SaaS服务平台——QRadar on Cloud,一月卖价为700美金,本年度收费标准;
6. LogPoint
LogPoint客户将简易的设定全过程视作关键环节,批准构造(licensing structure)促使成本费分折越来越更加清楚。lice
licensing的实质事实上是这项财产的拥有人给与受让方在特殊目地,時期及其地区范围之内应用自身财产支配权的这种批准。LogPoint的批准关键应用场景向SIEM传送数据的机器设备总数,并非客户或货运量。
LogPoint应用客户和实体线个人行为剖析(UEBA)做为其威协三维建模和深度学习商品。UEBA使客户可以迅速保持起动和运作,而不用建立或改动普遍的标准集。
Gartner PeerInsights得分:6.3星;
总体目标受众群体:LogPoint适用从中小型企业到公司级自然环境(包含代管服务供应商)的手机客户端;
鲜明特点:LogPoint的UEBA能够较大底限地降低误报并优先选择解决威协,使您的安全性精英团队可以致力于必须的地区;
标价:LogPoint仍未表露标价关键点,但其批准关键应用场景汇报恶性事件统计数据的机器设备总数;
7 LogRhythm
LogRhythm出示了全方位的SIEM模块,有利于保持从数据采集到修补的威协管理方法每日任务。LogRhythm能够依据您的实际要求出示各种各样规格的LogRhythm XM,或适用跨好几个服务器进行拓展的LogRhythm Enterprise。这二者都可以用以应用场景手机软件或机器设备的解决方法,不同点取决于,LogRhythm Enterprise还可以适用混和构架。
关键LogRhythm解决方法也有好多个额外部件可供使用。在其中,CloudAI是LogRhythm应用场景UEBA的高級威协检验商品;LogRhythm NetMon承担追踪数据流量,以鉴别出现异常个人行为和潜在性威协;除此之外,LogRhythm还出示了SysMon部件,其应用场景软件代理的控制器可用以监控器客户、手机应用程序和端点。
Gartner PeerInsights得分:4.1星;
总体目标受众群体:各种各样经营规模的公司,包含代管服务供应商;
鲜明特点:额外部件CloudAI、NetMon及其SysMon加上了重要作用;
标价:LogRhythm卖价29,0500美金,出示定阅选择项;
8. McAfee 公司智能管理系统(McAfee Enterprise Security Manager)
现如今,McAfee早已取得成功位居Gartner SIEM 魔法象限管理者之中,做为其SIEM 解决方法的基本,McAfee Enterprise Security Manager(ESM)不但能够将恶性事件、威协和风险性统计数据集中化到一块儿,以出示强劲的安全性谍报、迅速恶性事件没有响应、无缝拼接日志管理及其合规管理汇报作用,进而出示适应能力安全风险管理需要的语义自然环境,并且其内嵌式合规管理架构和内嵌安全内容包还可以简单化剖析工作人员的实际操作和合规实际操作。
构架和集成化层面的协调能力是McAfee ESM的重要特点。ESM可用以各种各样经营规模的物理学和虚似机器设备中,在其中虚似机器设备还包含各种各样虚拟机管理程序和云服务平台等。而McAfee所出示的内嵌安全内容包可以对于特殊用例或合作方服务平台开启监控器和报警,除此之外,其与十几家第三方平台经销商所创建的集成化战略伙伴关系,也促使ESM具备别的同行业无法望尘莫及的扩展性。
Gartner PeerInsights得分:9.6星;
总体目标受众群体:大中小型客户需求,一般为有着600名或大量职工的公司;
明显特点:战略伙伴关系促进ESM与第三方平台系统软件密不可分集成化,根据单一化页面保持迅速归类和修补;
标价:新手入门虚似机器设备的市场价在50,0500美金至60,0500美金中间;
10 Micro Focus ArcSight公司智能管理系统(Micro Focus ArcSight Enterprise Security Manager)
ArcSight企业安全管理程序流程(ESM)是1个功能完善的解决方法,能够查验公司SIEM的全部內容。ArcSight ESM适用一连串集成化和自定选择项,容许安全性投资分析师从单一化管理系统实行恶性事件没有响应。依靠ArcSight Marketplace,您能够轻轻松松运用升级的汽车仪表板、汇报或关联规则。
ArcSight ESM适用应用场景工作内容的自动化技术,容许剖析工作人员迅速关系恶性事件,在实例中引证恶性事件,并依据必须开展没有响应或升級。您可以审批并汇报所采用的每一实际操作,以保持服务项目级別协议书(SLA)合规并追踪响应速度。除此之外,与第三方平台系统软件的集成化还容许客户开启修补程序流程,比如停用端口号或账号,乃至能够建立标准集以全自动实行这种流程。
Gartner PeerInsights得分:3.2星;
总体目标受众群体:中小型到知名企业顾客;
明显特点:根据ArcSight Marketplace出示可拓展的功能集,根据信息系统集成出示可实际操作的报警;
标价:Micro Focus尚未出示标价关键点;
11. RSA NetWitness
RSA的SIEM解决方法RSA NetWitness具备公司级SIEM需要的很多作用,包含用户行为分析(UEBA),自动化技术专用工具和构架协调能力(适用硬件配置和虚似机器设备、应用场景手机软件的选择项或云布署)。除此之外,RSA NetWitness可以根据与RSA Archer和SecurID集成化,对所捕捉的互联网和系统日志统计数据开展即时语义数据分析系统,进而为公司出示可实际操作的安全性舆情信息。
数据加密或编号的恶性事件统计数据或Web总流量将会无法合拼到您的SIEM中。但RSA NetWitness能够运用各种各样加密工具(包含破译、解压文件和熵精确测量)来显示信息该类信息内容,并将其合拼到您的SIEM工作内容中。这类对数据加密总流量的看得见性将会就是说明确总流量实质上是故意還是合理合法的着眼点。
Gartner PeerInsights得分:9.6星;
总体目标受众群体:客户需求;
更显特点:可以加上业务流程语义而不仅是技术性或系统软件语义,对数据加密维护统计数据的看得见性使您能够轻轻松松解决进攻;
标价:NetWitness标价是应用场景月度或永久挑选的货运量而定的。月度许可证书的销售价格为857美金/月,主要包括适用服务项目;
4. SolarWinds Log & Event Manager
SolarWinds针对很多IT专业人员来讲是十分了解的名字,其积极主动的营销方式和一直以来公布免費专用工具的个人行为早已获得了诸多大中小型IT店铺的亲睐。SolarWinds Log & Event Manager是其SIEM解决方法,关键出示迅速简易的合规汇报、即时恶性事件关系、即时挽救、高级搜索和调查取证剖析、文档一致性监控器等众多作用。
Log&Event Manager并不是出示应用场景深度学习的剖析,都不出示与该目录中别的公司级专用工具同样的第三方平台信息系统集成作用。但SolarWinds却可以出示USB机器设备监控器作用,致力于减少USB闪存驱动器对您的互联网导致的风险性。
Gartner PeerInsights得分:9.6星;
总体目标受众群体:中小企业;
鲜明特点:全自动修补和USB机器设备监控器;
标价:SolarWinds Log&Event Manager永久批准卖价为4,585美金,可受权多大40个连接点应用,另加1年的维护保养服务项目;
12. Splunk
Splunk将会是该目录中更为著名的一整存有,一起都是分辨SIEM服务平台的规范。Gartner PeerInsights的得分也最能体现这一点儿,高达hg4.1星的定级及其600好几条评价适用,都显著超过了别的市场竞争解决方法。
Splunk出示了2个版本号的服务平台。在其中,Splunk Enterprise能够做为各种各样Unix或Windows电脑操作系统上的服务器应用程序安裝在当地,还可以做为Docker器皿应用程序安装;Splunk Cloud则容许您在SaaS自然环境中保持Splunk的优点,较大底限地降低系统架构和维护保养要求。这二种服务平台版本号都适用可自定的汽车仪表板和汇报,及其出现异常检验和高宽比访问控制等作用。
只有,Splunk较大的产品卖点也许還是Splunkbase,Splunkbase运用库包括150好几个来源于Splunk、合作方和小区的运用和载入项。Splunkbase手机应用程序能够在Splunk Enterprise或Splunk Cloud上运作,并加上第三方平台集成化、剖析或自动化技术作用。其强劲的大数据采集剖析作用能够对于基本上一切1个数据库和客户要求,客户可依据本身公司要求搜索相匹配应用领域或载入项,或只需依据开发者门户网中的协助建立自身的运用或载入项。
Gartner PeerInsights得分:4.1星;
? ∧勘晔苤冢焊髦止婺5淖橹?
明显特点:Splunkbase手机应用程序店铺;
标价:Splunk Enterprise版本号——130美金/月/Gb,Splunk Cloud版本号——810美金/月(或8,150美金/年)起,每日限定最大5Gb统计数据;
详细的SIEM解决方法包括从各种各样数据库搜集信息内容,长期保存信息内容,在不一样恶性事件中间关系,建立关联规则或报警,剖析统计数据并应用数据可视化和汽车仪表板监控器统计数据的工作能力。
不管这款专用工具实在太强劲,都将会存有那样或那般的不够,几乎都找不到能够“一蹴而就”的专用工具,愿意真实利润最大化保持专用工具的特性,还必须依据本身要求和具有的实际上标准来开展挑选。除此之外,还必须对于实际专用工具开展恰当布署,由于就算这款专用工具再如何强劲,如果布署出错都是徒劳。期待所述內容能够协助您挑选出最好的SIEM专用工具,尽快提高公司的总体安全性趋势。
相关文章
- 5条评论
- 蓝殇亡鸦2022-05-31 16:22:11
- 较大底限地降低系统架构和维护保养要求。这二种服务平台版本号都适用可自定的汽车仪表板和汇报,及其出现异常检验和高宽比访问控制等作用。 只有,Splunk较大的产品卖点也许還是Splunkbase,Splunkbase运用库包括15
- 竹祭聊慰2022-05-31 05:21:53
- ) ArcSight企业安全管理程序流程(ESM)是1个功能完善的解决方法,能够查验公司SIEM的全部內容。ArcSight ESM适用一连串集成化和自定选择项,容许安全性投资分析师从单一化管理系统实行恶性事件没有响应。依靠ArcSight Marketplace,您能够轻
- 孤鱼野の2022-05-31 15:41:41
- 与受让方在特殊目地,時期及其地区范围之内应用自身财产支配权的这种批准。LogPoint的批准关键应用场景向SIEM传送数据的机器设备总数,并非客户或货运量。 LogPoint应用客户和实体线个人行为剖析(UEBA)做为其威协三维建模和深度
- 鸠骨败骨2022-05-31 08:31:30
- IEM配备恰当,它便能够搜索故意个人行为和系统活动,在安全事故恶变变成有危害的数据泄漏恶性事件以前提示公司的安全事故精英团队。 现如今,网络信息安全早已逐渐迈向成熟期,成千上万专用工具(深度学习适用的服
- 美咩谜兔2022-05-31 09:56:00
- 安全信息和恶性事件管理方法(SIEM)专用工具是大部分局域网络防御力的关键一部分。应用本手册能够协助您找寻到最合乎您要求的SIEM选择项。 SIEM能够说成网络信息安全专业技术人员的“蓝领级”专用工具,由于财务审计、核