7 най-добри SIEM от следващо поколение – актуализирани през 2022 г

SIEM изследва регистрационните данни, за да идентифицира подозрителна дейност. SIEM от следващо поколение извлича външни данни, използвайки опита на други ИТ системи, за да открие нови вектори на атака веднага щом започнат да се разпространяват.

SIEM от следващо поколение използвайте машинно обучение и други техники, базирани на AI, за да намалите времето за откриване на злонамерена дейност. Това се казва Анализ на поведението на потребителите и субектите (UEBA) . Това наблюдава цялата дейност в системата, за да определи какво се счита за „нормално поведение“. Отклоненията от този стандарт предизвикват тревога. Стратегията използва метод на сортиране, за да се съсредоточи върху потенциални заплахи за по-задълбочено проследяване. Вградените подобрения в методите за откриване ускоряват първата идентификация на атака от нулевия ден . Тази информация за заплахи се качва незабавно в пула за разузнаване на заплахи и се изтегля от други SIEM от следващо поколение по света за незабавни действия.

Ето нашия списък със седемте най-добри SIEM от следващо поколение:

1. ManageEngine Log360 ИЗБОР НА РЕДАКТОРА Този локален пакет интегрира канал за разузнаване на заплахи, който добавя възможности от следващо поколение към тази ефективна система за откриване на заплахи. Работи на Windows Server. Започнете 30-дневен безплатен пробен период.
2. Logpoint (ВЗЕМЕТЕ БЕЗПЛАТНА ДЕМО) SIEM, базиран на облака измервана обработка на регистрационни файлове с UEBA и CTI канал. Достъп до безплатната демонстрация.
3. ще напусна Това подобри системата SIEM с вътрешно разработената UEBA и придобиването на SkyFormation, която събира данни за събития за сигурност на трети страни от облачни платформи и създава CTI от тях. Това е облачна услуга.
4. LogRhythm Водеща SIEM от 2003 г. насам, тази система се премести в облака и стана следващо поколение. Можете също така да получите този SIEM като устройство или като софтуер за инсталиране на Windows Server.
5. Платформа Rapid7 Insight Класифицирана като XDR, тази облачна платформа има всички елементи на SIEM от следващо поколение.
6. FireEye Helix Платформа за операции по сигурността, която включва SIEM, UEBA и разузнаване на заплахи. Това е облачна система.
7. LogSentinel Един от по-малките играчи на пазара, този базиран на облак SIEM от следващо поколение е силен по отношение на съответствието със стандартите.

След като вече открихме реалностите на разработването и маркетинга на SIEM от следващо поколение, не трябва да е изненада, че най-добрите SIEM от следващо поколение са всички продукти на тези известни марки за киберсигурност. Облачно базирани SIEM предлагат най-бързото разпространение на информация за заплахите и също така включват времето на сървъра, необходимо за обработка на големи обеми от регистрационни данни.

Най-добрите SIEM от следващо поколение

Получаването на добър SIEM от следващо поколение е задача, която отнема време. Ключовите елементи, които правят SIEM „Next-Gen“ са неговият пул за разузнаване на заплахи и UEBA. Но как да разберете дали всяка реализация е добра? Всяка софтуерна компания може да създаде централна система за уведомяване, но нейната сила зависи изцяло от достъпността на услугата и размера на допринасящата общност.

Въпреки че има отворени стандарти, неутрални спрямо доставчика за разузнаване за кибернетични заплахи (CTI) , непатентованите бази данни трудно започват работа. Основните доставчици на SIEM гарантират, че предоставят CTI за своите инструменти NextGen и повече или по-малко кодират твърдо CTI достъпа в тяхната услуга. Така че изборът на CTI е малко племенен и това означава, че като цяло големите играчи в индустрията за киберсигурност имат предимство.

Ако нямате време да проучите изцяло Следващо поколение SIEM сектор, изберете големите имена, които се развиха от стабилни SIEM. Утвърдените доставчици на софтуер за сигурност са инвестирали много големи бюджети в развитието на UEBA. Въпреки че често големите скокове напред в технологиите се движат от иновативни участници на пазара, UEBA се нуждаеше от много пари за развитие и само големите, утвърдени марки можеха да си позволят този разход.

1. ManageEngine Log360 (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)

ManageEngine Log360 е локална система, която извършва събиране и консолидиране на регистрационни файлове, лов на заплахи и известяване за заплахи. Системата получава информация за разузнаване на заплахи от ManageEngine, което я прави SIEM от следващо поколение.

Информацията за разузнаване на заплахи се събира от цял ​​свят. Всяка нова хакерска кампания, която се появи, се докладва на централния пул и пакетите ManageEngine, които се пакетират в серия от индикатори и я изпращат до всички екземпляри на Log360, които работят в света.

Информационният канал за разузнаване на заплахи създава приоритетни търсения. SIEM системите трябва постоянно да търсят в обеми от данни и тази задача отнема време, преди да бъдат прегледани всички данни, идват нови записи – те се архивират. Фокусът върху вероятните модели на атака ускорява ловенето на заплахи. Това подобрява шансовете за идентифициране на нарушител, преди да настъпи повреда или кражба на данни.

Записите, които SIEM сортира, се събират от агентски програми, които идват в пакета на Log360. Има агенти, които ще работят на всички основни операционни системи. Има и агенти за облачни платформи, включително AWS, Azure и Salesforce.

Регистрационните записи включват регистрационни файлове на операционната система във форматите Windows Events и Syslog, както и данни, които са извлечени от софтуер на трети страни. Агентите могат да комуникират с повече от 700 приложения.

Агентите изпращат събраните регистрационни съобщения до сървъра, където те се преобразуват в неутрален формат, така че да могат да се търсят и съхраняват заедно. Съхраняването на регистрационни данни за одит е изискване на много стандарти за сигурност на данните и пакетът Log360 предоставя докладване за съответствие за HIPAA, PCI DSS, FISMA, SOX, GDPR и GLBA.

ManageEngine Log360 работи на Windows сървър и се предлага за a30-дневен безплатен пробен период.

ManageEngine Log360 Стартирайте 30-дневна БЕЗПЛАТНА пробна версия

две. Logpoint (БЕЗПЛАТНА ДЕМО ДОСТЪП)

Регистрационна точка не се използва толкова широко, колкото най-добрите продукти в нашия списък. Въпреки това, ако цената на месечния абонамент за Rapid 7 InsightIDR е извън вашата класа или ако сте малко или средно предприятие с относително ниски обеми на регистрационни данни, тогава измерената скорост на LogPoint трябва да ви заинтересува.

Logpoint осъзнава, че много фирми с ниски обеми на обработка на данни няма да се интересуват от обща абонаментна ставка за своите Следващо поколение SIEM . Като каза това, тази система SIEM е внедрена от някои много големи фирми, включително Boeing и Airbus.

Ценовата структура на Logpoint се изчислява въз основа на комбинация от показатели за пропускателна способност. Това са броят събития в секунда (EPS) и количеството данни, обработени на ден в гигабайти. Компанията не публикува тарифите си за тези фактори. Вместо това трябва да се свържете с тях за оферта.

Logpoint SIEM е интегриран УЕБА и неговият лов на заплахи се информира от разузнавателни данни за заплахи, събрани от инциденти, преживени от всички негови клиенти. LogPoint улеснява повече от другите услуги в този списък ръчни изследвания както и прилагане на автоматизирани процеси за откриване.

В системата LogPoint има вградени автоматизирани отговори и услугата включва „ интеграции ”, които му позволяват да взаимодейства с други продукти за сигурност както за обмен на данни, така и за действия за намаляване на заплахите. Можете да резервирате демонстрация, за да видите как работи Logpoint.

Logpoint Регистрирайте се за БЕЗПЛАТНА демонстрация

3. ще напусна

ще напусна произвежда SIEM системи от 2013 г. Това означава, че компанията не е един от най-дълго установените бизнеси в сектора. Тази история обаче беше достатъчно дълга, за да му осигури значителна клиентска база до момента, в който се появи движението NextGen. Специализацията на компанията в SIEM също й даде фокус, който й позволи да концентрира инвестициите върху нововъзникващите Следващо поколение съоръжения.

Системата Exabeam е облачна платформа – като всички други продукти в нашия списък – което прави доставката му много по-лесна от локалните системи. Клиентите не трябва да се притесняват за поддържането на софтуера актуален, защото надстройките стават автоматично зад кулисите, изпълнени от техници на Exabeam.

Въпреки че това не е, строго погледнато, управлявана услуга, комбинацията от оперативен персонал, поддържащ софтуера и сървърите, на които той работи, експертни съвети за поддръжка при поискване и автоматизирани процеси в софтуера означава, че не се нуждаете от опит на място, за да получите напълно работеща SIEM система, защитаваща вашата мрежа.

Тъй като това е система, базирана на облак, основното затруднение в производителността, което ще срещнете с Exabeam, е вашата интернет връзка . Всички регистрационни съобщения, генерирани от вашата система, трябва да бъдат качени на сървъра на Exabeam. За големи операции това може да означава висока пропускателна способност на данни . Въпреки това, повечето бизнес операции в наши дни са силно зависими от интернет свързаността, така че поддържането на вашата интернет връзка активна и с достатъчен капацитет вероятно вече е приоритет на услугата за вашия ИТ екип.

Качването на данни се управлява от агентска програма на място, а предаванията са защитени чрез криптиране . На сървъра системата Exabeam получава, консолидира и индексира всички регистрационни съобщения, правейки пропускателна статистика налични в таблото за управление на системата и компилиране на данни за заплахи на живо, докато съобщенията в регистрационния файл преминават през базирания в облака регистрационен сървър.

Exabeam използва УЕБА , така че неговата оценка на основната дейност е различна за всеки клиент. Освен това е в състояние да обедини своя собствена база данни с предупредителни знаци, като обедини опита на всички свои клиенти. През 2019 г. Exabeam купи компания, наречена SkyFormation . Този бизнес получава опит за откриване на заплахи от 30 облачни платформи на трети страни и го използва, за да създаде a CTI база данни . Разузнаването на заплахите SkyFormation допълва индикаторите за заплахи, събрани от Exabeam. Този голям набор от CTI прави лов на заплахи възможностите на Exabeam са много мощни.

Бързата мощност на обработка и големият капацитет на сървърите на Exabeam правят търсенето в големи обеми от регистрационни данни много лесно. Услугата се разгръща триаж в своята стратегия за лов на заплахи, сравнявайки индикаторите за атака спрямо установената базова линия на дейност за този клиент, която постоянно се коригира чрез машинно наклонен . Когато се идентифицира вероятна начална точка на заплаха, този инцидент е такъв показани в таблото за управление и фокусираното проследяване на активността на Exabeam започва, търсейки следващото известно действие на типична атака, която започва с открития инцидент. Ако тази последваща стъпка бъде открита, тя също се показва в идентифициране на заплаха екран в таблото за управление и вероятността от продължаваща атака се увеличава.

Тази поетапна обратна връзка на Exabeam адресира един от големите проблеми на стратегията SIEM, който е, че докладването на свързани събития, които се уведомяват чрез съобщения в журнал, е система със забавен отговор. Работи върху Исторически данни . Функцията за лов на заплахи на Exabeam довежда този метод за откриване до почти на живо .

Exabeam също предлага Оркестрация на сигурността, автоматизация и реакция (SOAR) , което нарича Респондент при инциденти . Това ще взаимодейства с Active Directory, имейл сървъри и защитни стени, за да замрази акаунти, които изглежда са били компрометиран или блокирайте достъпа до комуникации от подозрителни IP адреси.

Exabeam има всички елементи на успешен SIEM, но не разузнавателна емисия за заплаха за изключение го издига до номер едно по наша оценка.

ще напусна съчетава опита от услугата Exabeam SIEM с иновативния канал за разузнаване на заплахи SkyFormation. Потребителите на Exabeam се възползват от приноса за откриване на заплахи на други клиенти на Exabeam плюс този на потребителската общност на повече от 30 други платформи за сигурност. Exabeam разви услугата си от локална SIEM система в облачно базирана платформа за сигурност, която предоставя на своите клиенти бързо откриване на заплахи и автоматизирани отговори.

Четири. LogRhythm

LogRhythm произвежда SIEM решение от 2003 г., така че компанията има дълбок опит в областта. Неговата система вече е базирана на облак с цялата ефективност, която това предполага. Той също така придоби UEBA, CTI и SOAR, за да го направи SIEM от следващо поколение .

LogRhythm включва свой собствен модул за наблюдение на мрежата, който добавя допълнителни стратегии за откриване към търсенията в регистрационните файлове, които извършва. В тази услуга, която LogRhythm термини Мрежово откриване и отговор (NDR) , системата прилага машинно обучение, за да установи базова линия на очакваните модели на трафик, като по този начин намалява фалшиво положителното отчитане и намалява обема на данните, които трябва да бъдат качени на сървъра на LogRhythm за обработка.

LogRhythm нарича своята платформа XDR стека – XDR означава разширено откриване и реакция. Слоевете в този стек са:

• AnalytiX – Ядрото за търсене на журнал на SIEM.
• DetectX – Прилагането на разузнаване на заплахи.
• RespondX – SOAR елементът на системата, който изключва злонамерена дейност.

Освен че се абонират за този пакет, клиентите могат да изберат две добавки за подобряване на производителността. Това са:

• Потребител XDR – UEBA модул, който предварително филтрира регистрационните съобщения за качване.
• MistNet – Мрежова система за откриване на проникване.

Авангардът на услугата на LogRhythm се крие в нейната SaaS платформа . Можете обаче също така да накарате системата да работи на вашия сайт. Това е налично като устройство, предварително заредено със софтуера LogRhythm или като софтуерен пакет, който се зарежда на Windows сървър . Можете да поискате демонстрация на живо на облачната услуга.

5. Платформа Rapid7 Insight

Бързи 7-ци Платформа Insight е базиран на облак SIEM. Има много термини, прилагани към тази услуга, което подчертава объркването при категоризирането на услугите за киберотбрана. Компанията нарича своята услуга IDR, което означава Откриване и реакция на проникване . Това също е форма на XDR, което означава Разширено откриване и реакция – услуга, която обикновено се развива от EDR, което е напредък на антивирусната програма и означава Откриване и реакция на крайна точка . В пакета Insight IDR има EDR елемент.

Въпреки това, в интерес на простотата, ние ще се придържаме към класификацията SIEM. Всъщност платформата Insight е SIEM от следващо поколение защото включва УЕБА и емисия за разузнаване на заплахи . Платформата Insight включва редица модули, които си пасват. Нуждаете се обаче само от InsightIDR услуга, ако просто искате NextGen SIEM. Втората най-интересна услуга в платформата Insight, която също трябва да имате предвид, е InsightVM , който е мениджър на уязвимости.

InsightIDR има всички страхотни функции, които очаквате от NextGen SIEM. Като облачна услуга, тя включва бърза процесорна мощност за управление на регистрационни файлове и също така съхранява данните от регистрационните файлове вместо вас. Регистрационните съобщения във вашата система се качват на сървърите на Rapid 7, където консолидатор поставя ги в общ формат и ги индексира за бързо търсене.

The лов на заплахи услугата в InsightIDR е модифицирана от a УЕБА особеност. Това премахва фалшивите положителни резултати, като коригира откриването за нормално поведение. Потокът за разузнаване на заплахи в инструмента допринася за анализ на поведението на нападателя обслужване. Това преглежда всички регистрационни съобщения за индикации за компрометиране.

Наистина приятна добавена услуга в Insight IDR, която основните конкуренти на услугата не предлагат, е нейната технология за измама . Услугата може да настрои капани и ловушки за натрапници, които привличат злоупотребите към напълно наблюдавани хранилища за фалшиви данни, което ги прави незабавно лесни за идентифициране.

InsightIDR е малко скъп, започвайки от $2157 на месец … да, НА МЕСЕЦ. Тази цена означава, че 30-дневен безплатен пробен период на InsightIDR е много ценен безплатен подарък.

6. FireEye Helix

FireEye е един от водещите доставчици на решения за киберсигурност и неговата SIEM услуга се нарича Helix платформа . Платформата FireEye Helix е SIEM услуга от следващо поколение и включва емисия за разузнаване на заплахи който постоянно адаптира процесите си за лов на заплахи в отговор на развиващите се стратегии за атака. Както и УЕБА , тази услуга включва откриване на странично движение който проследява нелогична или необичайна активност на потребителския акаунт.

Подобно на LogPoint, Helix позволява известна степен на ръчна намеса. В тази система има повече възможности за създаване на ваши собствени книги за игри и точно определяне на начина, по който трябва да се управляват откритите инциденти. Това означава, че можете да включите вашите собствени предпочитания в автоматизираните отговори, извършвани от Helix. Екраните за таблото също са персонализиран и е възможно да създадете свои собствени отчетни формати. Системата включва автоматично приспособяване и формати на отчети за съответствие със стандартите .

Услугата Helix включва интеграции които ви позволяват да включите адаптации за обмен на данни и действия за смекчаване, които се координират с други приложения за сигурност. Можеш да вземеш обиколка с екскурзовод на платформата Helix.

7. LogSentinel

Ако искате да научите повече за по-нов, по-икономичен доставчик на SIEM, който е направил голям скок напред в полето NextGen, тогава трябва да помислите LogSentinal . Тази услуга се отличава с управление на регистрационни файлове и бързо търсене, за да изведе своята SIEM услуга на преден план на пазара. Тази компания специално насочва услугите си към средни предприятия.

Това SaaS система е горещ за наблюдение на целостта на логфайла и включва УЕБА и а емисия за разузнаване на заплахи , които го маркират като NextGen SIEM. Допълнителни услуги в този план са фишинг сканиране на имейли , защита на VPN лог файлове и сигурност на видеоконференции.

Услугата LogSentinel не се ограничава до събиране на лог файлове от вашия сайт. Той също така включва уеб приложение и система за наблюдение на уебсайтове, която открива промени в скрипта и опити за инжектиране.

LogSentinal предлага безплатен пробен период на неговия NextGen SIEM и можете да ги помолите за насочена демонстрация. Има и версия на този базиран в облак SIEM за използване от доставчици на управлявани услуги.