Net Admin

9 най-добри платформи за разузнаване на заплахи (СЪВЕТИ)

Най-добрите платформи за разузнаване на заплахи



АПлатформа за разузнаване на заплахи (TIP)има за цел да блокира повтарящи се нападатели и да идентифицира често срещани вектори на проникване. Тази нововъзникваща технология е напредък спрямо традиционните антивирусни (AV) системи и системи за защитна стена. СЪВЕТ щезащитите вашето ИТ оборудване чрез прилагане на базирани на AI стратегии за обучение.

През последните години се появиха редица заместващи технологии за подобряване на защитата на бизнеса, предоставяна от традиционните системи за зловреден софтуер.



Програмите против злонамерен софтуер сравняват кода на новите програми, изпълнявани на компютър, с база данни с по-рано открити подписи на злонамерен софтуер.

Ето нашия списък с деветте най-добри платформи за разузнаване на заплахи:

  1. SolarWinds Security Event Manager ИЗБОР НА РЕДАКТОРА Използва стратегия за откриване на заплахи за анализ на регистрационен файл, съчетана с външно предаване на живо с предупреждения за заплахи.
  2. ManageEngine Log360 (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ) Търси заплахи в данни от регистрационен файл от Windows Server или Linux и добавя информация за заплахи от три източника.
  3. CrowdStrike Falcon Intelligence (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)Набор от нива на защита за разузнаване на заплахи с автоматизирани процеси и по-високи опции, които включват човешки изследвания и намеса.
  4. Datadog Threat Intelligence (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ) Готови емисии за разузнаване на заплахи, които се подбират от избрани партньори за разузнаване на заплахи като облачен SIEM. Емисиите с данни се актуализират непрекъснато за подозрителна дейност, когато стане известна и достъпна.
  5. НавънСистемен монитор, създаден за MSP, който включва софтуерен одит и анализ на регистрационни файлове.
  6. Платформа за сигурност FireEye Helix Комбинира базирана в облака SIEM конзола за откриване на заплахи, AI методи за обучение и емисия за разузнаване на заплахи.
  7. N-способен монитор за заплахи Базирана на облак услуга, предлагана на MSP. Това е SIEM инструмент, който позволява на MSP да добавят мониторинг на сигурността към своя списък с услуги.
  8. Унифицирано управление на сигурността на AlienVault Включва откриване на заплахи, реагиране на инциденти и споделяне на информация за заплахи.
  9. LogRhythm NextGen SIEMs Включва наблюдение на живо на данни за трафика и анализ на записи на лог файлове.

Платформи за разузнаване на заплахи срещу традиционен антивирусен софтуер

В традиционния модел срещу зловреден софтуер, централна изследователска лаборатория изследва нови заплахи, за да извлече модели, които ги идентифицират. Тези характеристики за откриване на зловреден софтуер след това се разпространяват към всички инсталирани AV програми, които компанията е продала на клиенти. Локалната система за защита от злонамерен софтуер поддържа база данни за заплахи, която съдържа този списък със сигнатури на атака, извлечени от централната лаборатория.



Моделът на базата данни за AV заплахи вече не е ефективен при защитата на компютри. Това е така, защото професионални екипи от хакери сега участват в производствени линии за зловреден софтуер с нови заплахи, които се появяват ежедневно. Тъй като на изследователските лаборатории е необходимо време, за да забележат нов вирус и след това да идентифицират неговите характеристики, времето за изпълнение на типичните AV решения вече е твърде дълго, за да предложи ефективна бизнес защита.

Забелязване на заплаха

Платформата за разузнаване на заплахи все още включва база данни за заплахи. Въпреки това, вместо да разчитат на потребителите, които съобщават за странно поведение в централата на производителя на AV, новите системи за киберсигурност имат за цел да съдържат всички изследвания и отстраняване на заплахи на оборудването на всеки клиент. Всъщност всяка инсталация на TIP се превръща в съставен пакет за откриване, анализ и разрешаване. Вече не е необходимо да се актуализира базата данни за заплахи от централна лаборатория, тъй като всяка машина изпълнява работата на изследователския екип.

Този разпределен модел на събиране на AV данни е много по-ефективен в борбата с атаките от „нулевия ден“. Терминът „нулев ден“ се отнася до нови вируси, които все още не са идентифицирани от големите AV лаборатории в света и срещу които все още няма ефективна защита. Всяка машина обаче не работи сама. Информация за открити нови заплахи се споделя между потребителите на конкретна марка TIP.

СЪВЕТЪТ използва процедури за локално откриване като същевременно разчита на база данни за заплахи, която се предоставя от локален анализ, както и чести изтегляния от лабораториите на доставчика на софтуер. Тези изтегляния са извлечени от откритията, направени от същия TIP, който е инсталиран на други сайтове от други клиенти.

Най-добрите доставчици на платформи, инструменти и софтуер за разузнаване на заплахи

Въпреки че всеки TIP използва подобен набор от стратегии за откриване на злонамерени събития, не всички съвети са еднакво ефективни . Някои доставчици на сигурност се фокусират върху един конкретен тип устройство и една конкретна операционна система. Те могат също да осигурят системи за защита за други видове устройства и операционни системи, но без същото ниво на успех, което са постигнали с основния си продукт.

Не е лесно да забележите добър СЪВЕТ и твърденията, хвалбите и неясния индустриален жаргон, използвани в промоционалните уебсайтове на техните производители, правят търсенето на правилния СЪВЕТ много уморително упражнение.

Нашата методология за избор на платформа за разузнаване на заплахи

Прегледахме пазара на системи за разузнаване на заплахи и анализирахме инструменти въз основа на следните критерии:

  • Машинно обучение за базова линия на нормална дейност
  • Откриване на аномална активност
  • Емисии за разузнаване на заплахи, които адаптират рутинните процедури за откриване
  • Сигнали за подозрителна дейност за привличане на техници
  • Споделяне на опит и обобщения на известията за заплахи в цялата индустрия
  • Демонстрация или безплатен пробен период за безрискова възможност за оценка
  • Добро съотношение цена-качество от изчерпателна информация за разузнаване на заплахи на справедлива цена

За щастие ние свършихме работата вместо вас. Имайки предвид тези критерии за подбор, ние идентифицирахме услуги за мрежова сигурност с емисии за разузнаване на заплахи, които с удоволствие препоръчваме.

1. SolarWinds Security Event Manager (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)

SolarWinds Security Event Manager

Мениджър на събития за сигурност (SEM) от комбайните SolarWinds проследяване на събития във вашата мрежа с a емисия за разузнаване на заплахи доставен от външен източник. Този инструмент не само ще открие заплахи, но и автоматично ще задейства реакции, за да защити вашата система.

Основни функции

  • А ТИ
  • Автоматизирани действия за отстраняване
  • Създава локално хранилище на данни за заплахи
  • Работи на Windows Server
  • Отчитане на съответствието

В основата на това решение за сигурност ще намерите инструмент за анализ на регистрационни файлове . Това следи мрежовата активност, търсейки необичайни събития и също така проследява промените в основните файлове. Вторият елемент от този СЪВЕТ от SolarWinds е a рамка за разузнаване на кибернетични заплахи .

Security Event Manager работи от база данни с известни подозрителни събития и надушва мрежата в търсене на такива събития. Някои подозрителни дейности могат да бъдат забелязани само чрез комбиниране на данни от различни източници във вашата система. Този анализ може да се извърши само чрез анализ на журнала на събитията и следователно не е задача в реално време.

Въпреки че SEM започва с готова база данни със сигнатури на заплахи, инструментът ще коригира и разшири това хранилище от профили на заплахи, докато е в експлоатация. Този процес на обучение намалява досадната поява на „ фалшиви положителни резултати ”, което може да накара някои услуги за защита от заплахи да спрат законната дейност.

Анализаторът на регистрационни файлове в SEM непрекъснато събира регистрационни записи от несъвместими източници и ги преформатира в общо невронно оформление. Това позволява на анализатора да търси модели на дейност в цялата ви система, независимо от конфигурацията, типа на оборудването или операционната система.

Професионалисти:

  • SIEM, фокусиран върху предприятието, с широка гама от интеграции
  • Лесно филтриране на регистрационни файлове, няма нужда да изучавате персонализиран език за заявки
  • Десетки шаблони позволяват на администраторите да започнат да използват SEM с малко настройка или персонализиране
  • Инструментът за исторически анализ помага да се намери аномално поведение и отклонения в мрежата

Минуси:

  • SEM е усъвършенстван SIEM продукт, създаден за професионалисти, изисква време за пълно изучаване на платформата

Мениджър на събития за сигурностинсталира на Windows сървър и SolarWinds предлага системата на a30-дневен безплатен пробен период. Този пробен период ще ви даде време да изпробвате екраните за ръчно задаване на правила, които ви позволяват да подобрите действащата база данни за разузнаване на заплахи, за да отразява по-точно типичните дейности на вашия сайт. Освен това ще можете да дадете пълна проверка на модула за отчитане на съответствието, за да сте сигурни, че SEM отговаря на всичките ви нужди за отчитане.

ИЗБОР НА РЕДАКТОРИТЕ

SolarWinds Security Event Managerе нашият най-добър избор. Перфектен за откриване на заплахи и задействане на автоматизирани отговори на тези заплахи. Отчитането е на първо ниво и таблото за управление е лесно за навигация.

Стартирайте 30-дневен безплатен пробен период:solarwinds.com/security-event-manager

ВИЕ:Windows 10 и по-нови, Windows Server 2012 и по-нови, базирани на облак: хипервизор, AWS и MS Azure

2. ManageEngine Log360 (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)

Изглед на таблото за управление на ManageEngine Log360

ManageEngine Log360е много изчерпателен СЪВЕТ, който проучва всички възможни източници на регистрационни данни, за да засили сигурността на системата.

ManageEngine вече предлага набор от инструменти за управление и анализ на регистрационни файлове. Компанията обаче реши да ги обедини в комбиниран модул, който обхваща всички възможни файлови източници на системна информация. ИТ също интегрира външни източници на информация, като напр STIX/TAXII -базирани емисии на IP адреси в черен списък.

Основни функции

  • Управление и анализ на регистрационни файлове
  • Възприемчив към STIX/TAXII емисии за разузнаване на заплахи
  • Защитава Active Directory
  • Работи на Windows Server

Както и контролиране Регистри на събития , инструментът интегрира резидентната информация в Активна директория . Това помага на механизма за откриване на този инструмент да провери кой има права за достъп до ресурсите, използвани в дейностите, които записват съобщенията в журнала. Инструментът следи промените в Active Directory, за да гарантира, че нарушителите не могат да си предоставят права за достъп.

Обхватът на този инструмент за сигурност се простира до мрежата, тъй като той също събира одитни доклади от AWS , Лазурно , и Exchange Online .

Знаете, че Exchange, Azure, регистрационни файлове на събития и Active Directory са продукти на Microsoft. Log360 обаче не се ограничава до наблюдение на базирани на Windows системи. Той също така събира съобщения в журнала, повдигнати на Linux и Unix системи, като съобщения в Syslog. Инструментът ще изследва всички съобщения на IIS и Apache Web Server и обхваща съобщения, генерирани от Оракул бази данни.

Вашият мрежов хардуер и системи за сигурност на периметъра също имат важна информация за споделяне и така Log360 слуша за регистрационни съобщения, възникващи на защитни стени, рутери и комутатори. Ако имате инсталирани други системи за откриване и защита от проникване, Log360 ще интегрира техните констатации в своите обобщения за разузнаване на заплахи.

Log360 не създава регистрационни файлове за регистрационни файлове, които в крайна сметка може да пренебрегнете. Системата създава предупреждения за разузнаване на заплахи в реално време , така че вашият екип да бъде уведомен веднага щом бъде открита подозрителна дейност. В допълнение към мониторинга, пакетът Log360 редовно одитира, обобщава и докладва за сигурността на цялата ви ИТ система.

Професионалисти:

  • Страхотни визуализации на таблото, идеални за NOC и MSP
  • Може да интегрира няколко потока данни за заплахи в платформата
  • Предлага стабилно търсене на регистрационни файлове за анализ на събития на живо и исторически
  • Осигурява мониторинг на различни платформи за Windows, Linux и Unix системи
  • Може да наблюдава промените в конфигурацията, предотвратявайки ескалация на привилегии

Минуси:

  • ManageEngine предлага набор от разширени услуги и функции, които можете да проучите и тествате

Можете да инсталирате софтуера Log360 на Windows и Windows сървър . ManageEngine предлага30-дневен безплатен пробен периодотПрофесионално изданиеИмаБезплатно изданиекойто е ограничен до събиране на регистрационни данни само от пет източника. Ако имате различни изисквания, можетеобсъдете ценообразуванетоза пакет, който отговаря на вашите нужди.

ManageEngine Log360 Изтеглете 30-дневна БЕЗПЛАТНА пробна версия

3. CrowdStrike Falcon Intelligence (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)

CrowdStrike Falcon Intelligence - Изглед на графика на индикатора

CrowdStrikeсъздадено платформа за киберсигурност, наречена Falcon . Това се фокусира върху защитата на крайната точка. Един от продуктите, които компанията изгради на своята платформа Falcon еCrowdStrike Falcon Intelligence. Това е услуга за разузнаване на заплахи, която базира повечето от изискванията за обработка на сървъра CrowdStrike в облака.

Основни функции

  • Планове за разузнаване на заплахи
  • Предлага се като отчет или като емисия
  • Включен в пакет с други инструменти за сигурност

Иновативната архитектура на платформата Falcon изисква малка агентска програма да се инсталира на всяко защитено устройство. По-голямата част от работата се извършва в облака, така че вашата защита от заплахи няма да забави вашите защитени крайни точки.

Базовият план на Falcon Intelligence включва автоматизирани процеси . Извиква се следващият план Falcon Intelligence Premium и това включва ежедневен действен разузнавателен доклад и персонализирани интернет проверки, които конкретно търсят името на вашата компания, марката или споменавания на служители в социални медии или сайтове за поставяне. Например, всички откраднати пароли за продажба или публично изтекли ще бъдат взети при това търсене.

Най-високият план се нарича Falcon Intelligence Elite . Всеки клиент на този план получава разузнавателен анализатор. Тази услуга е чудесна за онези фирми, които искат да изнесат всичко и да получат управлявано решение за разузнаване на заплахи, а не просто автоматизирани инструменти за защита.

Всички планове на Falcon Intelligence включват Индикатори за компромис (МОК) доклад. Това поставя заплахите, идентифицирани във вашата система, в глобален контекст. IOC показва откъде произхожда злонамереният софтуер или атаките, които изпитвате, и дали е известно, че същите хакерски групи използват други методи за атака на корпоративни системи. Тази връзка между известни вектори предупреждава абониращата се компания за потенциални предстоящи заплахи.

Агентите, работещи на всяка крайна точка, сканират цялата активност на устройството и качват подозрителни файлове на сървъра на CrowdStrike за анализ. Има няма нужда от човешка намеса в този процес. Системният мениджър обаче ще получи обратна връзка за откритите заплахи и действията, предприети за затварянето им.

Професионалисти:

  • Не разчита само на регистрационни файлове за откриване на заплахи, използва сканиране на процеса, за да открие заплахи веднага
  • Действа като HIDS и инструмент за защита на крайни точки в едно
  • Може да проследява и предупреждава за необичайно поведение с течение на времето, подобрява се колкото по-дълго следи мрежата
  • Може да се инсталира или на място, или директно в облачна архитектура
  • Леките агенти няма да забавят сървърите или устройствата на крайните потребители

Минуси:

  • Ще има полза от по-дълъг пробен период

CrowdStrike предлага 15-дневен безплатен пробен период на Falcon Intelligence.

CrowdStrike Falcon Intelligence Стартирайте 15-дневен БЕЗПЛАТЕН пробен период

4. Datadog Threat Intelligence (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)

Datadog Threat Intelligence

Datadog Threat Intelligence се предлага от облака Datadog SaaS платформа който включва набор от абонаментни услуги за мониторинг на системата. Системата изисква инсталиране на агенти в наблюдаваните мрежи и може да включва облачни ресурси с активиране на интеграция.

Datadog агенти могат също да действат като събирачи на данни за други услуги на Datadog в комбинация. Тези локални агенти качват регистрационни съобщения и други системни данни на сървъра Datadog, където се извършва лов на заплахи.

Основни функции

  • SIEM система
  • Централизира сигурността за няколко сайта
  • Използва UEBA

Системата UEBA в Datadog Threat Intelligence е a анализ на поведението на потребителите и субектите система. Това е AI базиран система, която използва машинно обучение, за да установи базова линия на нормална дейност. Отклоненията от този модел идентифицират дейности, които изискват допълнително изследване.

Ловецът на заплахи търси модели на поведение, които се наричат Индикатори за компромис (IoCs). IoC базата данни е извлечена от опита на всички клиенти на Datadog, създавайки пул за разузнаване на заплахи.

Datadog използва метод, наречен ИЗВЪРШВАНЕ за взаимодействие с пакети, доставени от други доставчици. Това означава оркестрация на сигурността, автоматизация и реакция . Това означава, че агентите могат да събират оперативни данни от системи като мениджъри на права за достъп, комутатори и защитни стени. В другата посока сървърът може да изпрати инструкции до тези ключови мрежови устройства, за да спре проникването или да унищожи зловреден софтуер.

Функциите SOAR и UEBA на Datadog Threat Intelligence означават, че не е необходимо напълно да изхвърляте цялата си текуща настройка за защита на сигурността. Системата Datadog ще седи върху вашите съществуващи услуги и ще добави към техните защитни възможности.

Datadog Threat Intelligence включва допълнителни услуги, които биха представлявали интерес за разработчиците и DevOps отделите. Те включват профилиращ код и системи за непрекъснато тестване за CI/CD тръбопроводи.

Професионалисти:

  • Интегрира се с други услуги на Datadog
  • Внедрява SIEM
  • Централизира наблюдението на много сайтове и облачни ресурси
  • Уеб базирана конзола

Минуси:

  • Защитените системи изискват постоянна достъпност до интернет

Datadog Threat Intelligence, както всички единици на Datadog, е абонаментна услуга . Вие плащате ставка на месец за всеки GB регистрационни данни, обработени от услугата. Datadog предлага всички свои модули на 14-дневен безплатен пробен период.

Datadog Threat Intelligence Стартирайте 14-дневен БЕЗПЛАТЕН пробен период

5. Извадете го

Издърпайте таблото

Навън е платформа за поддръжка, създадена за доставчици на управлявани услуги (MSP) . то е доставено от облака , така че MSP не е необходимо да инсталира какъвто и да е софтуер в своите помещения и дори не е необходимо да управлява основна ИТ инфраструктура. Всичко, от което се нуждае, е компютър с интернет връзка и уеб браузър. Наблюдаваната система обаче се нуждае от специален софтуер, инсталиран на нея. Това е агентска програма който събира данни и комуникира със сървърите на Atera.

Основни функции

  • Проектиран за MSP
  • Комбинира RMM и PSA
  • Наблюдавайте отдалечени системи

Като отдалечена услуга, Atera може да наблюдава всяко клиентско съоръжение, включително облачно базирано AWS и Лазурно сървъри. Услугата включва процес на автоматично откриване, който регистрира цялото оборудване, свързано към мрежата. За крайни точки и сървъри системата за мониторинг ще сканира целия софтуер, създавайки опис. Това е основен източник на информация за управление на софтуерни лицензи и също така е важна услуга за защита от заплахи. След като инвентаризацията на софтуера бъде съставена, операторът може да провери какъв неоторизиран софтуер е инсталиран на всяко устройство и след това да го изтрие.

The монитор на сървъра проверява процесите като част от редовните си задачи и това ще подчертае работещия зловреден софтуер. Операторът има достъп до сървъра от разстояние и убива нежелани процеси.

Атера следи контролерите за права на достъп на сайта на клиента, включително Активна директория . Инструментът Live Manager в пакета Atera дава достъп до Windows събитие регистрира и предоставя източник с възможност за търсене на възможни пробиви в сигурността.

Още една услуга за защита от заплахи, съдържаща се в пакета Atera, е неговата мениджър на корекции . Това автоматично актуализира операционните системи и ключовия приложен софтуер, когато станат налични. Тази важна услуга гарантира, че всички средства за защита срещу експлойт, произведени от доставчиците на софтуер, се инсталират възможно най-бързо.

Професионалисти:

  • 30-дневен безплатен пробен период
  • Непрекъснатото мрежово сканиране прави инвентаризацията лесна и точна
  • Вградена система за билети, чудесна за MSP, които искат да се справят със заплахи на място
  • Ценообразуването се основава на броя техници, а не на поддържаните потребители

Минуси:

  • Може да се възползва от повече интеграции с други инструменти за отдалечен достъп и Azure AD

Atera се таксува чрез абонамент с зададената тарифа на техник . Купувачите могат да избират между план за месечно плащане или годишна лихва. Годишният период на плащане излиза по-евтино. Можете да получите достъп до a безплатен пробен период за да постави Atera през нейните стъпки.

6. Платформа за сигурност FireEye Helix

Платформа за сигурност FireEye Helix

Платформа за сигурност FireEye Helix е базирана на облак смесена система за защита за мрежи и крайни точки. Инструментът включва SIEM подход, който следи мрежовата активност и също така управлява и търси регистрационни файлове. The емисии за разузнаване на заплахи предоставен от FireEyes, допълва това многостранно решение, като предоставя актуализирана база данни за заплахи за вашата система за наблюдение.

Основни функции

  • SaaS пакет
  • Постоянно актуализирайте базата данни за заплахи
  • Работни процеси за отстраняване

FireEyes е известна фирма за киберсигурност и използва своя опит, за да предоставя услуги за разузнаване на заплахи на абонамент база. Форматът и дълбочината на това разузнаване зависят от плана, избран от клиента. FireEyes предлага предупреждения за цялата индустрия за нови вектори на заплахи, които позволяват на мениджърите на инфраструктурата да планират защита. Той също така предлага канал за разузнаване на заплахи, който се превежда директно в правила за откриване и разрешаване на заплахи в Helix Security Platform.

Пакетът Helix включва също „ книги-игри ”, които са автоматизирани работни потоци, които предприемат отстраняване на заплахи, след като проблемът бъде открит. Тези решения понякога включват съвети за сигурни практики и действия по домакинството, както и автоматизирани отговори.

Професионалисти:

  • Страхотен интерфейс, тъмната тема е чудесна за дългосрочно наблюдение в NOC
  • Абонаментният модел поддържа вашата база данни актуализирана с най-новите заплахи и лоши участници
  • Предоставя информация за коригиране и превантивни действия въз основа на скорошни събития
  • Playbooks предлагат работни потоци за коригиране за автоматично отстраняване на проблеми

Минуси:

  • Конфигурирането може да бъде предизвикателство
  • Отчитането може да бъде тромаво и трудно за персонализиране

7. N-способен монитор за заплахи

N-способен монитор за заплахи

TheМонитор на заплахие продукт на N-способен който предоставя софтуер и услуги за поддръжка на управлявани доставчици на услуги. MSP редовно предлагат услуги за управление на мрежова и ИТ инфраструктура и така добавянето на мониторинг на сигурността е естествено продължение на редовните дейности на такива MSP.

Основни функции

  • SIEM, създаден за MSP
  • Базиран на облак
  • Управление на регистрационни файлове

Това е информация за сигурността и управление на събития (SIEM) система. SIEM разглежда както активността на живо в наблюдаваната система, така и търси в системните регистрационни файлове, за да открие следи от злонамерени дейности. Услугата е в състояние да наблюдава системите на място на клиентите на MSP, както и всички други Лазурно или AWS сървър, който клиентът използва.

Предимствата на N-able Threat Intelligence монитора са в способността му да събира информация от всяка точка на мрежата и устройствата, свързани към нея. Това дава по-изчерпателен поглед върху атаките, отколкото една точка за събиране. Заплахите се идентифицират чрез модели на поведение, а също и чрез препратка към централната база данни на SolarWinds Threat Intelligence, която се актуализира постоянно. The база данни за разузнаване на заплахи е съставен от записи на събития, случващи се по целия свят. Така че е в състояние незабавно да забележи, когато хакерите предприемат глобални атаки или опитват същите трикове срещу много различни жертви.

Нивата на алармата на услугата могат да се регулират от оператора на MSP. Таблото за управление на системата включва визуализации за събития , като циферблати и диаграми, както и списъци на живо с чекове и събития. Услугата се доставя от облака и така е достъпен през всеки уеб браузър . N-able Threat Intelligence е абонаментна услуга, така че е напълно мащабируема и подходяща за използване от MSP от всякакъв размер.

Професионалисти:

  • Проектиран с мисъл за MSP и дистрибутори
  • Може да сканира и изтегля регистрационни файлове от облачните и хибридни облачни среди
  • Могат да се конфигурират различни нива на аларма, чудесно за големи бюра за помощ
  • Достъпен от всеки браузър

Минуси:

  • Функционалността за Mac не е толкова стабилна, колкото Windows
  • Бих искал по-рационализиран процес за привличане на нови клиенти

8. Унифицирано управление на сигурността на AlienVault

AlienVault USM

AlienVault Unified Security Management (USM) е продукт на Киберсигурност на AT&T , която придоби марката AlienVault през 2018 г. AlienVault USM еволюира от проект с отворен код, наречен OSSIM , което означава „управление на информация за сигурността с отворен код“. OSSIM все още се предлага безплатно с AlienVault USM, работещ заедно като търговски продукт.

Основни функции

  • Отворете обмена на заплахи
  • Облачно базиран SIEM
  • Лов на заплахи с AI процеси

OSSIM всъщност е погрешно наименование, тъй като системата е пълен SIEM, включващ както мониторинг на анализа на лог съобщенията, така и проверка на мрежовия трафик в реално време. AlienVault USM включва и двата елемента. AlienVault има редица допълнителни функции, които не са налични в OSSIM, като консолидиране на регистрационни файлове, управление на съхранение на лог файлове и архивиране. AlienVault USM е абонаментна услуга, базирана на облак който идва с пълна поддръжка по телефона и имейл , докато OSSIM е достъпен за изтегляне и разчита на форумите на общността за поддръжка.

Основно предимство, което е достъпно за потребителите както на безплатните, така и на платените продукти за сигурност, е достъпът до Open Threat Exchange (OTX) . Това е най-голямата в света платформа за разузнаване на заплахи, предоставяна от тълпата. Информацията, предоставена на OTX, може да бъде изтеглена автоматично в AlienVault USM, за да предостави актуална база данни за заплахи. Това осигурява правилата за откриване и работните процеси за разрешаване, необходими на SIEM. Достъпът до OTX е безплатен за всички.

Професионалисти:

  • Предлага се за Mac и Windows
  • Може да сканира регистрационни файлове, както и да предоставя доклади за оценка на уязвимостта въз основа на устройството и приложенията, сканирани в мрежата
  • Порталът, захранван от потребителите, позволява на клиентите да споделят своите данни за заплахи, за да подобрят системата
  • Използва изкуствен интелект, за да помогне на администраторите при преследването на заплахи

Минуси:

  • Регистрационни файлове могат да бъдат трудни за търсене и анализ
  • Бих искал да видя повече опции за интегриране в други системи за сигурност

9. LogRhythm NextGen SIEM

LogRhythm

LogRhythm го определя NextGen SIEM като рамка за управление на жизнения цикъл на заплахите (TLM). . Платформата обслужва два продукта LogRhythm, които са сериите Enterprise и XM. И двата продукта се предлагат или като уред, или като софтуер. LogRhythm Enterprise е насочен към много големи организации, които LogRhythm XM обслужва малки и средни предприятия.

Основни функции

  • SIEM
  • Управление на регистрационни файлове
  • Отчитане на съответствието

SIEM означава Управление на информацията за събития за сигурност . Тази плътна стратегия съчетава две дейности, управление на информацията за сигурност (SIM) и управление на събития за сигурност (SEM). SEM следи трафика в реално време, търсейки модели на атаки, които се съхраняват в база данни за заплахи. SIM също се отнася до базата данни за заплахи, но сравнява събитията, записани в регистрационните файлове, с моделите, посочени в правилата за откриване на заплахи.

Софтуерът за NextGen SIEM може да се инсталира на Windows , Linux , или Unix . Възможно е също така да поддържате вашата система за управление на заплахите напълно независима от вашия хардуер, като закупите системата като устройство, което се свързва с вашата мрежа.

Професионалисти:

  • Използва прости съветници за настройка на събирането на регистрационни файлове и други задачи по сигурността, което го прави по-удобен за начинаещи инструмент
  • Елегантен интерфейс, много персонализиран и визуално привлекателен
  • Използва изкуствения интелект и машинното обучение за анализ на поведението

Минуси:

  • Бих искал да видя пробна опция
  • Поддръжката на различни платформи би била добре дошла функция

Избор на доставчик на платформа за разузнаване на заплахи

Секторът на киберсигурността е много жизнен в момента. Нарастването на заплахите за проникване, добавящи към постоянния риск от злонамерен софтуер, принуди индустрията напълно да преосмисли своя подход към защитата на системата. Тази ситуация доведе до това, че големите AV производители инвестират големи суми пари в иновативни AI техники и нови стратегии за борба с хакери и кибертерористи.

Новите играчи на пазара добавят допълнителен натиск върху репутацията на утвърдени доставчици на киберсигурност и я запазват разширяване на границите на технологиите за киберсигурност . Платформите за разузнаване на заплахи играят важна роля в борбата за киберсигурност заедно със SIEM и системите за предотвратяване на проникване.

Въпреки че нови съвети се появяват през цялото време, ние сме уверени, че препоръчаните платформи за разузнаване на заплахи в нашия списък ще останат начело на групата. Това е така, защото компаниите, които ги предоставят, имат дългогодишен опит в областта и са показали, че са готови да правят иновации, за да изпреварват заплахите.

Често задавани въпроси за платформи за разузнаване на заплахи

Каква е разликата между разузнаване на заплахи и лов на заплахи?

Търсенето на заплахи е процес на търсене на индикатори за компромис (IOC). Threat Intelligence е списък с IOC, за които трябва да внимавате. Известно разузнаване на заплахи е вградено в повечето модули за лов на заплахи – това са основните събития, за които трябва да следите, като прекомерни и бързи неуспешни опити за влизане, които показват атака с груба сила. Друго разузнаване за заплахи е нова информация, която идентифицира нова стратегия за атака, която хакерите едва сега са започнали да използват. Информационен канал за разузнаване на заплахи предава новините за атака от нулев ден на други абонати, така че веднага щом един потребител в групата открие тази атака, всички останали клиенти знаят за нея и техният модул за лов на заплахи може да я търси.

Как описвате разликите между разузнаването на заплахи и SIEM?

SIEM системите търсят в регистрационните съобщения индикатори за компрометиране (IOC). Threat Intelligence предоставя списък с IOC, за които да внимавате. NextGen SIEM включват достъп до живо предаване на разузнавателна информация за заплахи, което предоставя актуални IOCs.

Могат ли платформите за разузнаване на заплахи да спрат злонамерени домейни?

Платформата за разузнаване на заплахи включва форматиран списък с потенциални атаки. Това ще включва IP адреси и домейни, за които е известно, че се използват от злонамерени участници.

^