13 най-добри SIEM инструменти за 2022 г.: Класирани доставчици и решения

SIEM означава Информация за сигурността и управление на събития. SIEM инструментите предоставят анализ в реално време на предупреждения за сигурност, генерирани от приложения и мрежов хардуер.

Има 50+ SIEM решения на пазара и това ръководство ще ви помогне да идентифицирате правилното за вашата организация.

Ето нашия списък с най-добрите SIEM инструменти:

1. Datadog Security Monitoring ИЗБОР НА РЕДАКТОРАМрежова система за наблюдение и управление в облак, която включва наблюдение на сигурността в реално време и управление на регистрационните файлове. Предлага се с над 500 интеграции на доставчици готови. Започнете с 14-дневен безплатен пробен период.
2. SolarWinds Security Event Manager (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)Един от най-конкурентните SIEM инструменти на пазара с широк набор от функции за управление на журнали.
3. LogPoint (ДЕМО ДОСТЪП) Това локално SIEM решение е в състояние да организира с други инструменти за сигурност в мрежата, за да събира данни за дейността и да прилага отстраняване на заплахи. Предлага се като физическо устройство или софтуерен пакет за Linux.
4. Graylog (БЕЗПЛАТЕН ПЛАН)Този пакет за управление на регистрационни файлове включва разширение за услугата SIEM, което се предлага в безплатни и платени версии и има опция за облак.
5. ManageEngine EventLog Analyzer (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ) SIEM инструмент, който управлява, защитава и копае лог файлове. Тази система се инсталира на Windows, Windows Server и Linux.
6. ManageEngine Log360 (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ) Този SIEM пакет събира регистрационни файлове от локални и облачни системи и също така използва канал за разузнаване на заплахи. Работи на Windows Server.
7. Exabeam Fusion Тази облачна платформа предлага решение за сигурност, което може да се разглежда като SIEM от следващо поколение или XDR от следващо поколение.
8. Splunk Enterprise SecurityТози инструмент за Windows и Linux е световен лидер, защото съчетава мрежов анализ с управление на регистрационни файлове заедно с отличен инструмент за анализ.
9. OSSEC Системата за сигурност HIDS с отворен код, която е безплатна за използване и действа като услуга за управление на информация за сигурността.
10. LogRhythm NextGen SIEM платформаАвангардна технология, базирана на AI, е в основата на този трафик и инструмент за анализ на регистрационни файлове за Windows и Linux.
11. AT&T Cybersecurity AlienVault Unified Security ManagementСтрахотен SIEM, който работи както на Mac OS, така и на Windows.
12. RSA NetWitnessИзключително изчерпателен и пригоден за големи организации, но малко прекалено за малки и средни предприятия. Работи под Windows.
13. IBM QRadarВодещ на пазара SIEM инструмент, който работи в среда на Windows.
14. McAfee Enterprise Security ManagerПопулярен SIEM инструмент, който преминава през вашите записи в Active Directory, за да потвърди сигурността на системата. Работи както на Mac OS, така и на Windows.

Какво е информация за сигурността и управление на събития (SIEM)?

SIEM е общ термин за софтуерни пакети за сигурност, вариращи от системи за управление на регистрационни файлове до управление на регистър на сигурността/събития, управление на информация за сигурността и корелация на събития за сигурност. По-често тези функции се комбинират за 360-градусов изглед.

Въпреки че системата SIEM не е надеждна, тя е един от ключовите индикатори, че една организация има ясно дефинирана политика за киберсигурност. Девет пъти от десет кибератаките нямат ясни сигнали на повърхностно ниво. За откриване на заплахи е по-ефективно да използвате регистрационните файлове. Превъзходните възможности за управление на регистрационни файлове на SIEMs ги превърнаха в централен център за прозрачност на мрежата.

Повечето програми за сигурност работят в микромащаб, като адресират по-малки заплахи, но пропускат по-голямата картина на кибер заплахите. Ан Система за откриване на проникване (IDS) сам рядко може да направи нещо повече от наблюдение на пакети и IP адреси. По същия начин вашите регистрационни файлове на услугата показват само потребителски сесии и промени в конфигурацията. SIEM обединява тези системи и други подобни, за да осигури пълен преглед на всеки инцидент със сигурността чрез наблюдение в реално време и анализ на регистрационните файлове на събития.

Какво е управление на информацията за сигурност (SIM)?

СсигурностазинформацияМуправление (да) е събирането, наблюдението и анализирането на данни, свързани със сигурността, от компютърни регистрационни файлове. Наричан още като управление на регистрационни файлове .

Какво е управление на събития за сигурност (SEM)?

СсигурностИотдушникМуправление (КОЙТО) е практиката за управление на мрежови събития, включително анализ на заплахи в реално време, визуализация и реакция при инциденти.

SIEM срещу SIM срещу SEM – каква е разликата?

SIEM, SIM и SEM често се използват взаимозаменяемо, но има някои ключови разлики.

SIEM възможности

Основните възможности на SIEM са следните:

• Събиране на регистрационни файлове
• Нормализация – Събиране на регистрационни файлове и нормализирането им в стандартен формат)
• Известия и сигнали – Уведомяване на потребителя при идентифициране на заплахи за сигурността
• Откриване на инциденти със сигурността
• Работен процес за реакция на заплаха – Работен процес за обработка на минали събития по сигурността

SIEM записва данни от цялата вътрешна мрежа от инструменти на потребителите и идентифицира потенциални проблеми и атаки. Системата работи по статистически модел за анализиране на записи в журнала. SIEM разпространява агенти за събиране и изтегля данни от мрежата, устройствата, сървърите и защитните стени.

След това цялата тази информация се предава на конзола за управление, където може да бъде анализирана за справяне с възникващи заплахи. Не е необичайно усъвършенстваните SIEM системи да използват автоматизирани отговори, анализи на поведението на обекти и оркестрация на сигурността. Това гарантира, че уязвимостите между инструментите за киберсигурност могат да бъдат наблюдавани и адресирани от технологията SIEM.

След като необходимата информация достигне до конзолата за управление, тя се преглежда от анализатор на данни, който може да предостави обратна връзка за цялостния процес. Това е важно, тъй като обратната връзка помага да се образова системата SIEM по отношение на машинното обучение и да се увеличи нейното познаване на околната среда.

След като софтуерната система SIEM идентифицира заплаха, тя комуникира с други системи за сигурност на устройството, за да спре нежеланата дейност. Съвместният характер на SIEM системите ги прави популярно решение в корпоративно ниво. Въпреки това нарастването на широко разпространените киберзаплахи накара много малки и средни предприятия да обмислят и предимствата на SIEM система.

Тази промяна е сравнително скорошна поради значителните разходи за приемане на SIEM. Не само трябва да платите значителна сума за самата система; трябва да разпределите един или двама служители, които да го наблюдават. В резултат на това по-малките организации са по-малко ентусиазирани относно приемането на SIEM. Но това започна да се променя, тъй като МСП могат да възлагат на доставчици на управлявани услуги.

Защо SIEM е важен?

SIEM се превърна в основен компонент за сигурност на съвременните организации. Основната причина е, че всеки потребител или тракер оставя след себе си виртуална следа в регистрационните данни на мрежата. SIEM системите са проектирани да използват тези регистрационни данни, за да генерират представа за минали атаки и събития. Системата SIEM не само идентифицира, че се е случила атака, но ви позволява да видите как и защо се е случила.

Тъй като организациите се актуализират и надграждат до все по-сложни ИТ инфраструктури, SIEM стана още по-критичен през последните години. Противно на общоприетото схващане, защитните стени и антивирусните пакети не са достатъчни, за да защитят мрежата в нейната цялост. Атаките от нулев ден все още могат да проникнат в защитата на системата дори при тези мерки за сигурност.

SIEM се справя с този проблем, като открива активност на атака и я оценява спрямо миналото поведение в мрежата. Системата SIEM има способността да прави разлика между законна употреба и злонамерена атака. Това помага да се увеличи защитата на системата срещу инциденти и да се избегнат повреди на системи и виртуална собственост.

Използването на SIEM също така помага на компаниите да спазват различни индустриални разпоредби за кибер управление. Управлението на регистрационните файлове е стандартният в индустрията метод за одитиране на дейност в ИТ мрежа. SIEM системите предоставят най-добрия начин за изпълнение на това регулаторно изискване и осигуряват прозрачност на регистрационните файлове, за да генерират ясни прозрения и подобрения.

Основните характеристики на SIEM Tools

Не всички SIEM системи са изградени еднакво. В резултат на това няма универсален вариант за всички. SIEM решение, което е подходящо за една компания, може да е непълно за друга. В този раздел разбиваме основните функции, необходими за SIEM система.

Управление на регистрационни данни

Както бе споменато по-горе, управлението на регистрационни данни е основен компонент на всяка SIEM система от корпоративно ниво. Системата SIEM трябва да обединява регистрационна информация от множество различни източници на данни, всеки със собствен начин за категоризиране и записване на данни. Когато търсите SIEM система, вие искате такава, която има способността ефективно да нормализира данните (може да се нуждаете от програма на трета страна, ако вашата SIEM система не управлява добре разнородни регистрационни данни).

След като данните се нормализират, те се определят количествено и се сравняват с предварително записани данни. След това системата SIEM може да разпознае модели на злонамерено поведение и да изведе известия, за да предупреди потребителя да предприеме действия. След това тези данни могат да бъдат претърсени от анализатор, който може да определи нови критерии за бъдещи сигнали. Това помага да се развият защитите на системата срещу нови заплахи.

Отчитане на съответствието

По отношение на удобството и регулаторните изисквания, наличието на SIEM с обширни функции за отчитане на съответствието е много важно. Като цяло повечето SIEM системи имат някакъв вид вградена система за генериране на отчети, която ще ви помогне да се съобразите с вашите изисквания за съответствие.

Източникът на изискванията на стандартите, с които трябва да отговаряте, ще окаже основно влияние върху това коя SIEM система инсталирате. Ако вашите стандарти за сигурност са продиктувани от клиентски договори, нямате голяма свобода на действие коя SIEM система да изберете — ако тя не поддържа необходимия стандарт, тогава няма да е такава, с която сте свикнали. Може да се наложи да демонстрирате съответствие с PCI DSS , FISMA , FERPA, HIPAA , SOX , ISO, NCUA, GLBA, NERC CIP, GPG13, DISA STIG или един от многото други индустриални стандарти.

Разузнаване на заплахите

Ако възникне пробив или атака, можете да генерирате доклад, който подробно описва как се е случило. След това можете да използвате тези данни, за да прецизирате вътрешните процеси и да направите корекции на вашата мрежова инфраструктура, за да сте сигурни, че това няма да се случи отново. Това използва технологията SIEM, която поддържа вашата мрежова инфраструктура да се развива, за да се справи с нови заплахи.

Условия за предупреждение за фина настройка

Наличието на възможност за задаване на критерии за бъдещи предупреждения за сигурност е от съществено значение за поддържането на ефективна SIEM система чрез разузнаване на заплахи. Прецизирането на предупрежденията е основният начин да поддържате вашата SIEM система актуализирана срещу нови заплахи. Иновативни кибератаки се появяват всеки ден, така че използването на система, която е проектирана да добавя нови предупреждения за сигурност, ви предпазва от изоставане.

Също така искате да сте сигурни, че ще намерите софтуерна платформа SIEM, която може да ограничи броя на предупрежденията за сигурност, които получавате. Ако сте затрупани с предупреждения, екипът ви няма да може да се справи своевременно с проблемите, свързани със сигурността. Без да прецизирате предупрежденията за настройка, ще бъдете подложени на пресяване през множество събития от защитни стени до регистрационни файлове за проникване.

Табло

Разширената SIEM система не е добра, ако имате лошо табло зад нея. Наличието на табло за управление с прост потребителски интерфейс прави много по-лесно идентифицирането на заплахи. На практика вие търсите табло с визуализация. Веднага това позволява на вашия анализатор да забележи дали има някакви аномалии на дисплея. В идеалния случай искате SIEM система, която може да бъде конфигурирана да показва конкретни данни за събития.

Най-добрите SIEM инструменти

Преди да изберете SIEM инструмент, е важно да оцените целите си. Например, ако търсите SIEM инструмент, който да отговаря на регулаторните изисквания, генерирането на отчети ще бъде един от основните ви приоритети.

От друга страна, ако искате да използвате SIEM система, за да останете защитени срещу възникващи атаки, имате нужда от такава с висока функционална нормализация и обширни дефинирани от потребителя възможности за уведомяване. По-долу ще разгледаме някои от най-добрите SIEM инструменти на пазара.

Нашата методология за избор на SIEM инструмент

Прегледахме пазара на SIEM и анализирахме инструменти въз основа на следните критерии:

• Система, която събира както регистрационни съобщения, така и данни за трафика на живо
• Модул за управление на лог файлове
• Помощни програми за анализ на данни
• Възможност за докладване според стандартите за защита на данните
• Лесен за инсталиране с лесен за използване интерфейс
• Пробен период за оценка
• Правилният баланс между функционалност и стойност за парите

1. Мониторинг на сигурността с Datadog (БЕЗПЛАТЕН ПРОБЕН ВЕРИСАТ)

Операционна система:Базиран на облак

Datadogе облачен пакет за мониторинг на системата което включва наблюдение на сигурността. Функциите за сигурност на системата се съдържат в специализиран модул. Това е пълна SIEM система, защото следи събития на живо, но ги събира като записи в лог файл, така че работи както на информация за регистрационния файл и на данни от мониторинга . Услугата събира локална информация чрез агент, който качва всеки запис на сървъра Datadog. След това модулът за наблюдение на сигурността анализира всички входящи известия и ги архивира.

Основни функции:

• Откриване на събития за сигурност в реално време
• Над 500 интеграции на доставчици
• Наблюдавайте показатели, следи, регистрационни файлове и други от едно табло
• Солидни предварително конфигурирани правила за откриване извън кутията

Задействат се събития за сигурност сигнали в конзолата за услугата. Конзолата също така дава достъп до всички записи на събития. Регистрираните съобщения се индексират и съхраняват 15 месеца. Те могат да бъдат достъпни за анализ чрез конзолата Datadog или извлечени, за да бъдат импортирани в друг инструмент за анализ.

Възможностите за обработка извън обекта намаляват изискванията за обработка на вашата инфраструктура. Освен това го прави много лесно наблюдавайте отдалечени мрежи . Услугата за анализ има предварително дефиниран набор от правила, които автоматично ще откриват известни вектори на атака.

Пулът от правила за откриване получава актуализира се автоматично от Datadog, когато бъдат открити нови стратегии за атака. Това означава, че системните администратори не трябва да се притесняват за поддържането на софтуера за сигурност актуален, тъй като този процес се случва автоматично на облачния сървър. Също така е много лесно за системния администратор създаване на персонализирани правила за откриване и смекчаване .

Професионалисти:

• Откриване на заплахи в реално време
• Пълна видимост на сигурността с 500+ интеграции
• Започнете незабавно да откривате заплахи с правила по подразбиране, съпоставени с рамката на MITER ATT&CK
• Datadog отбеляза 4,6/5 в проучване на Gartner сред ИТ клиенти
• 14-дневен безплатен пробен период

Минуси:

• Изобилието от функционалност може да бъде малко поразително първоначално

Datadog е достъпен на 14-дневен безплатен пробен период .

ИЗБОР НА РЕДАКТОРИТЕ

Datadog е нашият най-добър избор.Той предлага меню от специализирани модули и всички те могат да бъдат внедрени поотделно или като пакет. Получавате по-голяма функционалност чрез комбиниране на модули, които могат да споделят данни за наблюдаваната система.

Вземете 14-дневен безплатен пробен период:datadoghq.com/product/security-monitoring/

ВИЕ:Роден в облак

2. SolarWinds Security Event Manager (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)

Операционна система:Windows

По отношение на SIEM инструменти от начално ниво,SolarWinds Security Event Manager(КОЙТО) е едно от най-конкурентните предложения на пазара. SEM въплъщава всички основни функции, които бихте очаквали от SIEM система, с обширни функции за управление на регистрационни файлове и отчитане. Подробният отговор на инциденти в реално време на SolarWinds го прави чудесен инструмент за онези, които искат да използват регистрационните файлове на събития на Windows, за да управляват активно своята мрежова инфраструктура срещу бъдещи заплахи.

Основни функции:

• Автоматично търсене в дневника за нарушения
• Откриване на аномалии на живо
• Исторически анализ
• Системни сигнали
• 30-дневен безплатен пробен период

Едно от най-добрите неща за SEM е неговият подробен и интуитивен дизайн на таблото. Опростеността на инструментите за визуализация улеснява потребителя да идентифицира всякакви аномалии. Като бонус за добре дошли, компанията предлага поддръжка 24/7, така че можете да се свържете с тях за съвет, ако попаднете на грешка.

Професионалисти:

• SIEM, фокусиран върху предприятието, с широка гама от интеграции
• Лесно филтриране на регистрационни файлове, няма нужда да изучавате персонализиран език за заявки
• Десетки шаблони позволяват на администраторите да започнат да използват SEM с малко настройка или персонализиране
• Инструментът за исторически анализ помага да се намери аномално поведение и отклонения в мрежата

Минуси:

• SEM е усъвършенствана SIEM продуктова компилация за професионалисти, изисква време за пълно изучаване на платформата

Добре изглеждащ интерфейс с много графична визуализация на данни пред мощен и изчерпателен SIEM инструмент, който работи на Windows Server. Реагирането на инциденти в реално време улеснява активното управление на вашата инфраструктура, а подробното и интуитивно табло за управление го прави едно от най-лесните за използване на пазара.

Вземете 30-дневен безплатен пробен период:solarwinds.com/security-event-manager/

ВИЕ:Windows

3. LogPoint (БЕЗПЛАТНА ДЕМОНСТРАЦИЯ)

LogPointе локална SIEM система, която използва откриване на аномалия за неговата стратегия за лов на заплахи.

Услугата използва процеси на машинно обучение, за да записва редовната активност на всеки потребител и устройство. Това установява базова линия, от която да се идентифицира необичайно поведение, което задейства фокусирано проследяване на активността. Тази техника се нарича анализ на поведението на потребителите и субектите (УЕБА). The AI базиран техниката за машинно обучение намалява изискванията за обработка, тъй като ограничава интензивните разследвания само до онези акаунти или устройства, които са повдигнали подозрения.

Основни функции:

• Ефективна обработка
• UEBA за базова линия на дейността
• Откриване на превземане на акаунт
• Информация за разузнаване на заплахи

Системата LogPoint се информира от база данни с типични стратегии за атака, които се наричат Индикатори за компромис (IoCs). Този списък с трикове е доста статичен, но когато LogPoint идентифицира нова стратегия, компанията актуализира всички свои екземпляри на SIEM система, работещи на клиентски сайтове по целия свят.

Стратегията за сортиране на LogPoint не само намалява използването на процесора, но също така прави системата бърза. The откриване на заплаха индикаторите се съхраняват централно, така че следващите индикатори, които са идентифицирани, ще бъдат свързани, където и да се появят в системата.

Професионалисти:

• Правила за откриване на заплахи
• Оркестрация с други инструменти
• Откриване на вътрешна заплаха
• Отчитане по GDPR

Минуси:

• Без безплатен пробен период

LogPoint може да комуникира с инструменти на трети страни за извличане на данни за дейността и събира тези изходни данни от регистрационни съобщения от повече от 25 000 различни източника. Интеграцията с други инструменти се нарича оркестрация на сигурността, автоматизация и реакция (SOAR) и може също така да изпрати инструкции за отстраняване обратно на тези други системи. В системата има висока степен на автоматизация, която включва възможността за генериране на билети, които да бъдат въведени във вашата система Service Desk.

Можете да получите LogPoint като мрежово устройство или като софтуерен пакет за инсталиране Linux . Няма безплатен пробен период, но можетепоискайте демонстрацияза оценка на пакета

LogPoint Access БЕЗПЛАТНА ДЕМО

4. Graylog (БЕЗПЛАТЕН ПЛАН)

Грейлоге система за управление на регистрационни файлове, която може да бъде адаптирана за използване като SIEM инструмент . Пакетът включва колектор на данни, който събира регистрационни съобщения, които произтичат от операционни системи. Той също така е в състояние да улавя регистрационни данни от списък с приложения, с които пакетът има интеграции. Двата основни формата, които Graylog ще улови, са Syslog и Windows събития .

Основни функции:

• Колектор на данни
• Интеграции на приложения
• Syslog и Windows събития
• Консолидатор

Колекторът на данни предава регистрационни съобщения към регистрационен сървър, където те се консолидират в общ формат. Системата Graylog изчислява статистически данни за пропускателната способност на журнала и показва жива опашка записи в конзолата, когато пристигнат. След това регистрационният сървър архивира съобщения и управлява смислена структура на директория. Всеки от регистрационните файлове може да бъде извикан обратно в програмата за преглед на данни за анализ.

Системата Graylog включва предварително написани шаблони за SIEM функции . Те могат да бъдат адаптирани и също така е възможно да се внедрят учебници за автоматизирани отговори при откриване на заплаха.

Професионалисти:

• Адаптивни SIEM функции
• Оркестрация с мениджъри на права за достъп и защитни стени
• Инструмент за ad-hoc заявки
• Формати на отчетите

Минуси:

• Няма да се инсталира на Windows

Има четири версии на Graylog. Оригиналното издание се нарича Graylog Open , който е безплатен пакет с отворен код и поддръжка от общността. Този пакет се инсталира на Linux или върху виртуална машина. Двете основни версии са Graylog Enterprise и Graylog Cloud. Разликата между тези е, че Graylog Cloud е SaaS пакет и включва място за съхранение на лог файлове. Системата Enterprise работи върху VM. Има и безплатна версия на Enterprise, наречена Малък бизнес на Graylog . Чебезплатен плансе ограничава до обработка2 GB данни на ден. Можете да получите демонстрация на пълното издание на Graylog Cloud.

Изтегляне на Graylog Small Business – БЕЗПЛАТНО до 2GB/ден

5. ManageEngine EventLog Analyzer (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)

Операционна система: Windows и Linux

TheManageEngine EventLog анализаторе SIEM инструмент защото се фокусира върху управлението на регистрационни файлове и събирането на информация за сигурността и ефективността от тях.

Инструментът може да събира съобщения за регистър на събития на Windows и Syslog. След това ще организира тези съобщения във файлове, завъртане към нови файлове където е подходящо и съхраняване на тези файлове в директории със смислени имена за лесен достъп. След това EventLog Analyzer защитава тези файлове от подправяне.

Основни функции:

• Събира регистрационни файлове на събития на Windows и съобщения в Syslog
• Откриване на проникване на живо
• Анализ на регистрационния файл
• Предупредителен механизъм

Системата ManageEngine обаче е нещо повече от лог сървър. То има аналитични функции които ще ви информират за неоторизиран достъп до фирмени ресурси. Инструментът също така ще оцени производителността на ключови приложения и услуги, като уеб сървъри, бази данни, DHCP сървъри и опашки за печат.

Модулите за одит и докладване на EventLog Analyzer са много полезни за демонстриране на съответствие със стандартите за защита на данните. Механизмът за отчитане включва формати за съответствие с PCI DSS , FISMA , GLBA , SOX , HIPAA , и ISO 27001 .

Професионалисти:

• Мултиплатформен, достъпен както за Linux, така и за Windows
• Поддържа одит на съответствие за всички основни стандарти, HIPAA, PCI, FISMA и др
• Интелигентното предупреждение помага за намаляване на фалшивите положителни сигнали и улеснява приоритизирането на конкретни събития или области от мрежата
• Включва безплатна версия за тестване

Минуси:

• Продуктът е много богат на функции, новите потребители, които никога не са използвали SIEM, ще трябва да инвестират време с инструмента

Има четири издания на ManageEngine EventLog Analyzer и първият от тях е Безплатно . Тази безплатна версия е ограничена до пет източника на регистрационни файлове и има ограничен набор от функции. Най-евтиният платен пакет е Работна станция издание, което може да събира регистрационни файлове от до 100 възела. За по-голяма мрежа ще ви трябва Премиум издание и има a Разпределени издание, което ще събира регистрационни файлове от множество сайтове. Всички версии ще работят на Windows сървър и Linux и можете да получите някое от платените издания на a30-дневен безплатен пробен период.

ManageEngine EventLog Analyzer Изтеглете 30-дневна БЕЗПЛАТНА пробна версия

6. ManageEngine Log360 (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)

ManageEngine Log360 е локален пакет, който включва агенти за различни операционни системи и облачни платформи. Агентите събират регистрационни съобщения и ги изпращат до централния сървър. Агентите се интегрират с повече от 700 приложения, за да могат да извличат информация от тях. Те също така обработват Windows Event и Syslog съобщения.

Сървърът за регистрационни файлове консолидира съобщенията за регистрационни файлове и ги показва в инструмент за преглед на данни в таблото за управление, когато пристигнат. Инструментът също така представя метаданни за регистрационните съобщения, като например скоростта на пристигане.

Основни функции:

• Събиране на регистрационни файлове от сайтове и облачни системи
• Информация за разузнаване на заплахи
• Сигнали, изпратени до пакетите на бюрото за обслужване

Този SIEM получава информация за разузнаване на заплахи, което подобрява скоростта на откриване на заплахи. Ако бъде забелязана подозрителна дейност, Log360 подава сигнал. Предупрежденията могат да се изпращат чрез системи за обслужване, като напр Управление на Engine Service Desk Plus , да , и Кайоко . Пакетът включва също модул за отчитане на съответствието за PCI DSS, GDPR, FISMA, HIPAA, SOX и GLBA.

Професионалисти:

• Мониторинг на целостта на файловете
• Обединява събития на Windows и съобщения в Syslog в общ формат
• Инструменти за ръчен анализ на данни
• Автоматизирано откриване на заплахи
• Управление на регистрационни файлове и отчитане на съответствието

Минуси:

• Не се предлага за Linux

ManageEngine Log360 работи на Windows сървър и се предлага за 30-дневен безплатен пробен период.

ManageEngine Log360 Изтеглете 30-дневна БЕЗПЛАТНА пробна версия

7. Exabeam Fusion

Операционна система : Базиран на облак

Exabeam Fusion е абонаментна услуга. Като SaaS пакет, системата се хоства и включва процесорната мощност на облачен сървър и място за съхранение на регистрационни данни. Системата се нуждае от изходни данни за своите процедури за лов на заплахи и това се предоставя от агенти, които трябва да бъдат инсталирани в мрежите, които трябва да бъдат защитени от Exabeam.

Основни функции:

• Адаптивна базова линия чрез UEBA
• SOAR за откриване и реакция

Агентите на място събират регистрационни съобщения и ги качват на сървъра на Exabeam. Те също взаимодействат с пакети за сигурност на място, като защитни стени и антивирусни системи, за да извлекат повече информация за събития. Това е оркестрация, автоматизация и реакция на сигурността (SOAR), а сътрудничеството с инструменти на трети страни също работи за спиране на открити заплахи.

Конзолата Exabeam включва и модул за анализ. Това позволява на техниците да проследяват събития и да изследват гранични аномалии, които могат да се считат за заплахи или могат да бъдат просто законни, редки действия. Системата за анализ представя времева линия на атака, показваща какви вериги от събития водят до решението да се третират тези дейности като заплаха.

Професионалисти:

• Сигурен пакет извън сайта, който не е уязвим за атака
• Автоматични актуализации на информацията за заплахи
• Автоматизирани отговори за изключване на атаки

Минуси:

• Без безплатен пробен период
• Няма ценова листа

Exabeam е впечатляващ продукт за сигурност със списък от високопоставени потребители, който включва банки, комунални услуги и технологични фирми. Един проблем с тази система е, че Exabeam не публикува ценовата си листа и не дава безплатен пробен период. Въпреки това можете вземете демо за изследване на системата SIEM.

8. Splunk Enterprise Security

Операционна система:Windows и Linux

Splunkе едно от най-популярните решения за управление на SIEM в света. Това, което го отличава от конкуренцията е, че е включил анализи в сърцето на своя SIEM. Мрежовите и машинните данни могат да се наблюдават в реално време, докато системата претърсва потенциални уязвимости и дори може да посочи ненормално поведение. Функцията Notables на Enterprise Security показва предупреждения, които могат да бъдат прецизирани от потребителя.

Основни функции:

• Наблюдение на мрежата в реално време
• Изследовател на активи
• Исторически анализ

По отношение на реакцията на заплахи за сигурността, потребителският интерфейс е невероятно прост. Когато извършва преглед на инцидент, потребителят може да започне с основен преглед, преди да премине към задълбочени пояснения за миналото събитие. По същия начин, Asset Investigator върши добра работа за отбелязване на злонамерени действия и предотвратяване на бъдещи щети.

Професионалисти:

• Може да използва анализ на поведението за откриване на заплахи, които не са открити чрез регистрационни файлове
• Отличен потребителски интерфейс, изключително визуален с лесни опции за персонализиране
• Лесно приоритизиране на събития
• Предприятие фокусирано
• Предлага се за Linux и Windows

Минуси:

• Ценообразуването не е прозрачно, изисква се оферта от доставчика
• По-подходящ за големи предприятия
• Използва език за обработка на търсене (SPL) за заявки, което ускорява кривата на обучение

Трябва да се свържете с доставчика за оферта, така че да е ясно, че това е мащабируема платформа, проектирана с мисъл за по-големи организации. Налична е и SaaS версия на тази услуга Splunk, наречена Splunk Security Cloud. Това е достъпно за a 15-дневен безплатен пробен период . Пробната версия на системата е ограничена до обработка на 5 GB данни на ден.

9. ОССЕК

Операционна система: Windows, Linux, Unix и Mac

OSSEC е водещата базирана на хост система за предотвратяване на проникване (HIDS). OSSEC не само е много добър HIDS, но е безплатен за използване. HIDS методите са взаимозаменяеми с услугите, извършвани от SIM системи, така че OSSEC също се вписва в определението за SIEM инструмент.

Основни функции:

• Управление на лог файлове
• Опция за пакет за поддръжка
• Безплатен за използване

Софтуерът се фокусира върху наличната информация в регистрационните файлове, за да търси доказателства за проникване. Освен че чете лог файлове, софтуерът следи контролните суми на файловете, за да открие подправяне. Хакерите знаят, че регистрационните файлове могат да разкрият присъствието си в системата и да проследят дейностите им, така че много усъвършенствани зловреден софтуер за проникване ще променят регистрационните файлове, за да премахнат това доказателство.

Като безплатен софтуер, няма причина да не инсталирате OSSEC на много места в мрежата. Инструментът проверява само лог файловете, намиращи се на неговия хост. Програмистите на софтуера знаят, че различните операционни системи имат различни системи за регистриране. И така, OSSEC ще изследва регистрационните файлове на събитията и опитите за достъп до системния регистър на записите на Windows и Syslog и опитите за root достъп на устройства с Linux, Unix и Mac OS. По-високите функции в софтуера му позволяват да комуникира в мрежа и да консолидира регистрационните записи, идентифицирани на едно място, в централно хранилище на регистрационни файлове на SIM картата.

Въпреки че OSSEC е свободен за използване, той е собственост на търговска операция – Trend Micro. Предният край на системата може да се изтегли като отделна програма и не е перфектен. Повечето потребители на OSSEC подават данните си към Graylog или Kibana като преден край и като двигател за анализ.

Професионалисти:

• Може да се използва на широка гама от операционни системи, Linux, Windows, Unix и Mac
• Може да функционира като комбинация от SIEM и HIDS
• Интерфейсът е лесен за персонализиране и много визуален
• Създадените от общността шаблони позволяват на администраторите да започнат бързо

Минуси:

• Изисква вторични инструменти като Graylog и Kibana за допълнителен анализ
• Версията с отворен код няма платена поддръжка

Поведението на OSSEC се диктува от „политики“, които са сигнатури за дейност, които трябва да се търсят в регистрационните файлове. Тези правила са достъпни безплатно от форума на потребителската общност. Бизнеси, които предпочитат да използват само напълно поддържан софтуер, могат да се абонират за пакет за поддръжка от Trend Micro.

Вижте също: Най-добрите HIDS

10. LogRhythm NextGen SIEM платформа

Операционна система : Windows, устройство или облак

LogRhythmотдавна са се утвърдили като пионери в сектора на SIEM решенията. От поведенчески анализ до лог корелация и изкуствен интелект за машинно обучение, тази платформа има всичко.

Основни функции:

• AI базиран
• Управление на лог файлове
• Насочван анализ

Системата е съвместима с огромен набор от устройства и типове регистрационни файлове. По отношение на конфигурирането на вашите настройки, повечето дейности се управляват чрез Deployment Manager. Например, можете да използвате Windows Host Wizard, за да пресеете регистрационните файлове на Windows.

Това прави много по-лесно да стесните какво се случва във вашата мрежа. Първоначално потребителският интерфейс има крива на обучение, но обширното ръководство с инструкции помага. Черешката на тортата е, че ръководството с инструкции всъщност предоставя хипервръзки към различни функции, за да ви помогне в пътуването.

Професионалисти:

• Използва прости съветници за настройка на събирането на регистрационни файлове и други задачи по сигурността, което го прави по-удобен за начинаещи инструмент
• Елегантен интерфейс, много персонализиран и визуално привлекателен
• Използва изкуствения интелект и машинното обучение за анализ на поведението

Минуси:

• Бих искал да видя пробна опция
• Поддръжката на различни платформи би била добре дошла функция

Цената на тази платформа я прави добър избор за средни по размер организации, които искат да приложат нови мерки за сигурност.

11. AT&T Cybersecurity AlienVault Unified Security Management

Операционна система : базиран на облак

Като едно от по-конкурентните SIEM решения в този списък,AlienVault(сега част отAT&T Cybersecurity)е много атрактивно предложение. В основата си това е традиционен SIEM продукт с вградено откриване на проникване, мониторинг на поведението и оценка на уязвимостта. AlienVault има вградения анализ, който бихте очаквали от мащабируема платформа.

Основни функции:

• Засичане на проникване
• Мониторинг на поведението

Един от по-уникалните аспекти на платформата на AlienVault е Open Threat Exchange (OTX). OTX е уеб портал, който позволява на потребителите да качват „индикатори за компрометиране“ (IOC), за да помогнат на други потребители да маркират заплахи. Това е страхотен ресурс по отношение на общи познания и заплахи.

Професионалисти:

• Може да сканира регистрационни файлове, както и да предоставя доклади за оценка на уязвимостта въз основа на устройството и приложенията, сканирани в мрежата
• Порталът, захранван от потребителите, позволява на клиентите да споделят своите данни за заплахи, за да подобрят системата
• Използва изкуствен интелект, за да помогне на администраторите при преследването на заплахи

Минуси:

• Бих искал да видя по-дълъг пробен период
• Дневниците могат да бъдат по-трудни за търсене и четене
• Бих искал да видя повече опции за интегриране в други системи за сигурност

Ниската цена на тази SIEM система я прави идеална за малки и средни предприятия, които искат да подобрят своята инфраструктура за сигурност. Оферта за киберсигурност на AT&T безплатен пробен период .

12. IBM QRadar SIEM

Операционна система : Linux, виртуално устройство и базирано на облак

През последните няколко години отговорът на IBM на SIEM се утвърди като един от най-добрите продукти на пазара. Платформата предлага набор от функции за управление на журнали, анализи, събиране на данни и откриване на проникване, за да поддържате вашите критични системи работещи. Цялото управление на регистрационни файлове преминава през един инструмент:QRadar Log Manager. Що се отнася до анализите, QRadar е почти завършено решение.

Основни функции:

• Управление на регистрационни файлове
• Засичане на проникване
• Аналитични функции

Системата разполага с анализи за моделиране на риска, които могат да симулират потенциални атаки. Това може да се използва за наблюдение на различни физически и виртуални среди във вашата мрежа. IBM QRadar е едно от най-пълните предложения в този списък и е чудесен избор, ако търсите универсално SIEM решение.

Професионалисти:

• Използва изкуствен интелект за предоставяне на оценки на риска
• Може да прецени въздействието върху мрежа въз основа на симулирани атаки
• Има прост, но ефективен интерфейс

Минуси:

• Липсва интеграция в други SOAR и SIEM платформи
• Могат да се използват по-добри инструменти за анализ на потока

Разнообразната функционалност на тази индустриална стандартна SIEM система я превърна в индустриален стандарт за много по-големи организации.

Софтуерът за QRadar може да се инсталира на Red Hat Enterprise Linux или може да се управлява като виртуално устройство VMWare , Hyper-V , или KVM виртуализации. Системата се предлага и като облачна платформа. IBM създаде безплатен Издание на общността на QRadar, който също функционира като a пробна версия на системата.

13. McAfee Enterprise Security Manager

Операционна система : Windows. VMWare ESX/ESXi и облак

McAfee Enterprise Security Managerсе счита за една от най-добрите SIEM платформи по отношение на анализите. Потребителят може да събира различни регистрационни файлове в широк набор от устройства чрез системата Active Directory.

Основни функции:

• Консолидиране на регистрационни файлове
• Наблюдение на живо

По отношение на нормализирането, механизмът за корелация на McAfee компилира различни източници на данни с лекота. Това прави много по-лесно откриването, когато възниква събитие за сигурност.

По отношение на поддръжката, потребителите имат достъп както до McAfee Enterprise Technical Support, така и до McAfee Business Technical Support. Потребителят може да избере сайтът му да бъде посещаван от мениджър на акаунт за поддръжка два пъти годишно, ако реши. Платформата на McAfee е насочена към средно големи компании, които търсят пълно решение за управление на събития за сигурност.

Професионалисти:

• Използва мощен корелационен механизъм, за да помогне за по-бързото намиране и премахване на заплахи
• Интегрира се добре в среди на Active Directory
• Създаден с мисъл за големи мрежи

Минуси:

• Интерфейсът е претрупан и често непосилен
• Трябва да се свържете с отдела за продажби за оферта
• Могат да се използват повече опции за интеграция
• Това е доста ресурсоемко

Софтуерът за Enterprise Security Manager ще се инсталира на Windows и Windows Server или можете да го стартирате като виртуално устройство VMWare ESX/ESXi виртуализации. VM версията на системата е достъпна за a безплатен пробен период , който продължава до края на следващия месец – значи повече от 30 дни. ESM също се предлага като SaaS пакет и това се нарича ESM Cloud .

Внедряване на SIEM

Без значение какъв SIEM инструмент изберете да включите във вашия бизнес, важно е да приемате SIEM решение бавно. Няма бърз начин за внедряване на SIEM система. Най-добрият метод за интегриране на SIEM платформа във вашата ИТ среда е постепенното й въвеждане. Това означава приемане на всяко решение на база част по част. Трябва да се стремите да имате както функции за наблюдение в реално време, така и функции за анализ на регистрационни файлове.

Това ви дава възможност да направите преглед на вашата ИТ среда и да настроите фино процеса на приемане. Постепенното внедряване на система SIEM ще ви помогне да откриете дали сте изложени на злонамерени атаки. Най-важното е да сте сигурни, че имате ясна представа за целите, които искате да изпълните, когато използвате SIEM система.

В това ръководство ще видите различни доставчици на SIEM, предлагащи изключително различни крайни продукти. Ако искате да намерите услугата, която е подходяща за вас, отделете време да проучите наличните опции и да намерите такава, която отговаря на целите на вашата организация. В началните етапи ще искате да се подготвите за най-лошия сценарий.

Подготовката за най-лошия сценарий означава, че сте подготвени да се справите дори с най-суровите атаки. В крайна сметка е по-добре да бъдеш свръхзащитен срещу кибератаки, отколкото да бъдеш недостатъчно защитен. След като изберете инструмент, който искате да използвате, поемете ангажимент за актуализиране. Една SIEM система е толкова добра, колкото и нейните актуализации. Ако не успеете да актуализирате регистрационните си файлове и да прецизирате известията си, няма да сте подготвени, когато възникне заплаха.

Ако вашата организация не е готова да поеме предизвикателствата на внедряването на SIEM инструмент или ако бюджетът ви категорично го забранява, можете да възложите нуждите си от SIEM на съвместно управляван SIEM или управляван доставчик на SIEM. Вижте нашата публикация на най-добре управляваните SIEM решения .

Най-добрите доставчици на SIEM

1. Datadog Security Monitoring ИЗБОР НА РЕДАКТОРА
2. SolarWinds (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)
3. LogPoint (ДЕМО ДОСТЪП)
4. Graylog (БЕЗПЛАТЕН ПЛАН)
5. ManageEngine EventLog Analyzer (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)
6. ManageEngine Log360 (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)
7. Splunk
8. OSSEC
9. LogRhythm
10. Киберсигурност на AT&T
11. RSA
12. IBM
13. McAfee

SIEMFAQ

Какво представлява процесът SIEM?

„Процесът SIEM“ се отнася до стратегията на компанията за сигурност на данните. SIEM инструментите са важен елемент в тази стратегия, но начинът, по който инструментите са интегрирани в работните практики, се диктува от изискванията за съответствие със стандартите за сигурност на данните.

Какво е SIEM като услуга?

Базираният в облак софтуер включва сървъра, който изпълнява софтуера, както и място за съхранение на регистрационни данни и се нарича „Софтуер като услуга“ (SaaS). SIEM като услуга (SIEMaaS) е SIEM форма на SaaS и по-високите планове ще включват предоставянето на експертни анализатори на данни, както и ИТ ресурси.

Какво е събитие за сигурност?

Събитие за сигурност е неочаквано използване на системен ресурс, което показва неоторизирано използване на данни или инфраструктура. Отделното събитие може да изглежда безобидно, но може да допринесе за пробив в сигурността, когато се комбинира с други действия.

Какво представлява анализирането на регистрационни файлове в SIEM?

Анализът на регистрационния файл преструктурира съществуващите данни за използване при анализ на сигурността в SIEM. Ключовите данни ще бъдат извлечени от обикновени регистрационни файлове, които произхождат от различни системи за водене на записи, обединявайки информацията за събитието, която възниква от няколко източника.

Колко струва SIEM?

SIEM системите се предлагат в много конфигурации и варират от внедрявания с отворен код за стартиращи или средни фирми до лицензни пакети за много потребители, по-подходящи за по-големи предприятия.