Odakint dzsungel van! A rossz szándékú egyének mindenhol vannak, és téged keresnek. Nos, valószínűleg nem Ön személyesen, hanem inkább az Ön adatai. Már nem csak a vírusok ellen kell védekeznünk, hanem mindenféle támadás ellen, amelyek súlyos helyzetbe hozhatják hálózatát és szervezetét. A különféle védelmi rendszerek – például vírusirtó, tűzfal és behatolásjelző rendszerek – elterjedése miatt a hálózati adminisztrátorokat mostanra elárasztják olyan információk, amelyeket összefüggésbe kell hozniuk, próbálva értelmezni ezeket. Itt jönnek jól a biztonsági információ- és eseménykezelő (SIEM) rendszerek. Ők végzik el a túl sok információ kezelésének hátborzongató munkáját. A SIEM kiválasztásának megkönnyítése érdekében bemutatjuk a legjobb biztonsági információ- és eseménykezelési (SIEM) eszközöket.
Ma elemzésünket a modern fenyegetés színterének megvitatásával kezdjük. Mint mondtuk, már nem csak vírusokról van szó. Ezután megpróbáljuk jobban elmagyarázni, mi is az a SIEM pontosan, és beszélünk a SIEM rendszert alkotó különböző összetevőkről. Némelyikük fontosabb lehet, mint mások, de relatív fontosságuk eltérő lehet a különböző emberek számára. Végül pedig bemutatjuk a hat legjobb biztonsági információ- és eseménykezelési (SIEM) eszközt, és röviden áttekintjük mindegyiket.
Tartalomjegyzék
A modern fenyegetés színhelye
A számítógép biztonsága korábban csak a vírusvédelemről szólt. Az elmúlt években azonban számos különböző típusú támadásra derült fény. Ezek szolgáltatásmegtagadási (DoS) támadások, adatlopások és még sok más formáját ölthetik. És már nem csak kívülről jönnek. Sok támadás egy hálózaton belülről származik. Tehát a tökéletes védelem érdekében különféle típusú védelmi rendszereket találtak ki. A hagyományos vírusirtó és tűzfal mellett ma már például behatolásészlelő és adatvesztés-megelőző rendszereink (IDS és DLP) is rendelkezésre állnak.
Természetesen minél több rendszert ad hozzá, annál több munkája lesz a kezelésükben. Mindegyik rendszer figyeli bizonyos paramétereket a rendellenességek keresésére, és naplózza azokat, és/vagy riasztásokat indít el, ha észlelik őket. Nem lenne jó, ha ezeknek a rendszereknek a felügyelete automatizálható lenne? Ezenkívül bizonyos típusú támadásokat több rendszer is észlelhet, miközben különböző szakaszokon mennek keresztül. Nem lenne sokkal jobb, ha az összes kapcsolódó eseményre egyként reagálhatna? Nos, a SIEM pontosan erről szól.
Mi is az a SIEM pontosan?
A név mindent elmond. A biztonsági információ- és eseménykezelés a biztonsági információk és események kezelésének folyamata. Konkrétan a SIEM rendszer nem nyújt védelmet. Elsődleges célja, hogy megkönnyítse a hálózati és biztonsági rendszergazdák életét. Egy tipikus SIEM-rendszer valójában az, hogy információkat gyűjt a különböző védelmi és észlelési rendszerektől, ezeket az információkat összekapcsolja a kapcsolódó eseményekkel, és különféle módon reagál a jelentőségteljes eseményekre. A SIEM-rendszerek gyakran tartalmaznak valamilyen jelentéskészítési és irányítópultot is.
A SIEM rendszer alapvető alkotóelemei
Mindjárt részletesebben megvizsgáljuk a SIEM-rendszer minden egyes fő összetevőjét. Nem minden SIEM rendszer tartalmazza ezeket az összetevőket, és még ha igen is, akkor is különböző funkciókkal rendelkezhetnek. Ezek azonban a legalapvetőbb összetevők, amelyeket az ember ilyen vagy olyan formában általában bármely SIEM rendszerben megtalál.
Naplógyűjtés és kezelés
A naplógyűjtés és -kezelés minden SIEM-rendszer fő összetevője. Enélkül nincs SIEM. A SIEM rendszernek különféle forrásokból kell beszereznie a naplóadatokat. Akár kihúzhatja, akár különböző észlelési és védelmi rendszerek tolhatják a SIEM-hez. Mivel minden rendszernek megvan a maga módja az adatok kategorizálására és rögzítésére, a SIEM feladata az adatok normalizálása és egységesítése, függetlenül attól, hogy mi a forrása.
A normalizálás után a naplózott adatokat gyakran összehasonlítják az ismert támadási mintákkal, hogy a lehető legkorábban felismerjék a rosszindulatú viselkedést. Az adatokat gyakran összehasonlítják a korábban gyűjtött adatokkal is, hogy segítsenek létrehozni egy olyan alapvonalat, amely tovább javítja a rendellenes tevékenységek észlelését.
Eseményre adott válasz
Ha egy eseményt észlel, tenni kell ellene. Erről szól a SIEM rendszer eseményválasz modulja. Az eseményre adott válasz különféle formákat ölthet. A legalapvetőbb megvalósításban egy figyelmeztető üzenet generálódik a rendszer konzolján. Gyakran e-mail vagy SMS-értesítések is generálhatók.
A legjobb SIEM-rendszerek azonban egy lépéssel tovább mennek, és gyakran elindítanak valamilyen javítási folyamatot. Ez megint olyasmi, aminek többféle formája lehet. A legjobb rendszerek teljes incidensreagálási munkafolyamat-rendszerrel rendelkeznek, amely testreszabható, hogy pontosan a kívánt választ adják. És ahogy az várható is, az incidensre adott válasznak nem kell egységesnek lennie, és a különböző események különböző folyamatokat indíthatnak el. A legjobb rendszerek teljes irányítást biztosítanak az incidensreagálás munkafolyamata felett.
Jelentés
Miután a naplógyűjtés és -kezelés, valamint a válaszrendszerek a helyükre kerültek, a következő építőelem a jelentéskészítés. Lehet, hogy még nem tudja, de jelentésekre lesz szüksége. A felső vezetésnek szüksége lesz rájuk, hogy saját szemükkel meggyőződhessen arról, hogy a SIEM-rendszerbe való befektetésük megtérül. A megfelelőségi okokból jelentésekre is szüksége lehet. Az olyan szabványok betartása, mint a PCI DSS, HIPAA vagy SOX, megkönnyíthető, ha SIEM rendszere megfelelőségi jelentéseket tud készíteni.
Lehet, hogy a jelentések nem képezik a SIEM-rendszer magját, de mégis lényeges összetevők. És gyakran a jelentéstétel lesz a fő megkülönböztető tényező a versengő rendszerek között. A jelentések olyanok, mint a cukorka, soha nem lehet túl sok. És természetesen a legjobb rendszerek lehetővé teszik egyéni jelentések készítését.
Irányítópult(ok)
Végül, de nem utolsósorban, az irányítópult lesz az Ön ablaka a SIEM-rendszer állapotára. És akár több műszerfal is lehet. Mivel a különböző emberek prioritásai és érdeklődési köre eltérő, a hálózati rendszergazdák tökéletes irányítópultja különbözik a biztonsági rendszergazdáktól. És egy vezetőnek egy teljesen másra is szüksége lesz.
Bár nem tudjuk értékelni a SIEM-rendszereket az irányítópultok száma alapján, ki kell választania egyet, amelyik rendelkezik az összes szükséges irányítópulttal. Ezt mindenképpen szem előtt kell tartania, amikor értékeli a szállítókat. És csakúgy, mint a jelentések esetében, a legjobb rendszerek lehetővé teszik, hogy tetszés szerint testreszabott irányítópultokat készítsen.
A 6 legjobb SIEM eszközünk
Rengeteg SIEM rendszer létezik. Valójában túl sok ahhoz, hogy itt mindet áttekinthessük. Tehát átkutattuk a piacot, összehasonlítottuk a rendszereket, és összeállítottunk egy listát a hat legjobb biztonsági információs és felügyeleti (SIEM) eszközről. Ezeket a preferenciák sorrendjében soroljuk fel, és mindegyiket röviden áttekintjük. De a megrendelésük ellenére mind a hat kiváló rendszer, amit csak ajánlani tudunk, próbálja ki saját maga.
Íme a 6 legjobb SIEM-eszközünk
SolarWinds napló és eseménykezelő
Splunk Enterprise Security
RSA NetWitness
ArcSight Enterprise Security Manager
McAfee Enterprise Security Manager
IBM QRadar SIEM
1. SolarWinds Log & Event Manager (INGYENES 30 NAPOS Próbaidőszak)
A SolarWinds elterjedt név a hálózatfelügyeleti világban. Zászlós termékük, a Network Performance Monitor az egyik legjobb elérhető SNMP-figyelő eszköz. A cég számos ingyenes eszközéről is ismert, mint például az alhálózati kalkulátoruk vagy az SFTP-kiszolgálójuk.
A SolarWinds SIEM-eszköze, a Log and Event Manager (LEM) leginkább belépő szintű SIEM-rendszerként írható le. De valószínűleg ez az egyik legversenyképesebb belépő szintű rendszer a piacon. A SolarWinds LEM mindent tartalmaz, amit egy SIEM rendszertől elvárhat. Kiváló hosszú kezelési és korrelációs funkciókkal, valamint lenyűgöző jelentéskészítő motorral rendelkezik.
Ami az eszköz eseményreakciós funkcióit illeti, ezek nem hagynak kívánnivalót maguk után. A részletes valós idejű reagálási rendszer minden fenyegetésre aktívan reagál. És mivel ez inkább viselkedésen, mint aláíráson alapul, védve van az ismeretlen vagy jövőbeli fenyegetésekkel szemben.
De az eszköz műszerfala talán a legjobb eszköz. Az egyszerű kialakításnak köszönhetően nem okoz gondot az anomáliák gyors azonosítása. A 4500 dollár körüli ártól az eszköz több mint megfizethető. És ha először szeretné kipróbálni, letölthető egy ingyenes, teljesen működőképes 30 napos próbaverzió.
2. Splunk Enterprise Security
Talán az egyik legnépszerűbb SIEM rendszer, Splunk Enterprise Security– vagy a Splunk ES, ahogyan gyakran nevezik – különösen híres analitikai képességeiről. A Splunk ES valós időben figyeli a rendszer adatait, keresve a sebezhetőségeket és a rendellenes tevékenység jeleit.
A biztonsági válasz a Splunk ES másik erőssége. A rendszer a Splunk által nevezett Adaptive Response Framework-et (ARF) használja, amely több mint 55 biztonsági gyártó berendezéseivel integrálódik. Az ARF automatizált választ hajt végre, felgyorsítva a kézi feladatokat. Ezzel gyorsan fölénybe kerülhet. Ha ehhez hozzáad egy egyszerű és letisztult felhasználói felületet, nyerő megoldást kap. További érdekes funkciók közé tartozik a Notes funkció, amely a felhasználó által testreszabható figyelmeztetéseket jelenít meg, valamint az Asset Investigator a rosszindulatú tevékenységek megjelölésére és a további problémák megelőzésére.
A Splunk ES valóban vállalati szintű termék, és vállalati méretű árcédulával érkezik. A Splunk webhelyéről még árinformációkat sem kaphat. Az árért forduljon az értékesítési osztályhoz. Az ára ellenére ez egy nagyszerű termék, és érdemes felvenni a kapcsolatot a Splunkkal, és kihasználni az ingyenes próbaverziót.
3. RSA NetWitness
20016 óta a NetWitness a „mély, valós idejű hálózati helyzetfelismerést és agilis hálózati reagálást” támogató termékekre összpontosít. Miután az EMC felvásárolta, majd egyesült a Dell-lel, a Newitness üzletág mára a vállalat RSA-ágának része. És ez jó hír, hogy az RSA híres név a biztonság terén.
RSA NetWitness ideális olyan szervezetek számára, amelyek teljes körű hálózati elemzési megoldást keresnek. Az eszköz olyan információkat tartalmaz a vállalkozásáról, amelyek segítik a riasztások fontossági sorrendjét. Az RSA szerint a rendszer „több rögzítési ponton, számítási platformon és fenyegetésintelligencia-forráson keresztül gyűjt adatokat, mint a többi SIEM-megoldás”. Fejlett fenyegetésészlelés is létezik, amely egyesíti a viselkedéselemzést, az adattudományi technikákat és a fenyegetések intelligenciáját. És végül, a fejlett válaszrendszer irányítási és automatizálási képességekkel büszkélkedhet, amelyek segítenek megszabadulni a fenyegetésektől, mielőtt azok hatással lennének az Ön vállalkozására.
Az RSA NetWitness egyik fő hátránya, hogy nem a legkönnyebben használható és konfigurálható. Ugyanakkor átfogó dokumentáció áll rendelkezésre, amely segíthet a termék beállításában és használatában. Ez egy másik vállalati szintű termék, és fel kell vennie a kapcsolatot az értékesítéssel az árinformációkért.
4. ArcSight Enterprise Security Manager
ArcSight Enterprise Security Manager segít azonosítani és rangsorolni a biztonsági fenyegetéseket, megszervezni és nyomon követni az incidens-reagálási tevékenységeket, valamint egyszerűsíteni az ellenőrzési és megfelelőségi tevékenységeket. Korábban HP márkanév alatt árulták, most pedig egyesült a Micro Focus másik HP-leányvállalattal.
A több mint tizenöt éve létező ArcSight egy másik rendkívül népszerű SIEM-eszköz. Különféle forrásokból gyűjti össze a naplóadatokat, és kiterjedt adatelemzést végez, keresve a rosszindulatú tevékenység jeleit. A fenyegetések gyors azonosításának megkönnyítése érdekében megtekintheti a real0tme elemzési eredményeket.
Íme egy összefoglaló a termék főbb jellemzőiről. Erőteljes elosztott valós idejű adatkorrelációval, munkafolyamat-automatizálással, biztonsági koordinációval és közösségvezérelt biztonsági tartalommal rendelkezik. Az Enterprise Security Manager más ArcSight termékekkel is integrálható, mint például az ArcSight Data Platform and Event Broker vagy az ArcSight Investigate. Ez egy másik vállalati szintű termék – mint nagyjából az összes minőségi SIEM-eszköz –, amelynek árinformációiért fel kell vennie a kapcsolatot az ArcSight értékesítési csapatával.
5. McAfee Enterprise Security Manager
A McAfee minden bizonnyal egy másik ismert név a biztonsági iparban. Ismertebb azonban vírusvédelmi termékeiről. A Vállalati biztonsági menedzser nem csak szoftver. Ez valójában egy készülék. Megszerezheti virtuális vagy fizikai formában.
Analitikai képességeit tekintve a McAfee Enterprise Security Managert sokan az egyik legjobb SIEM-eszköznek tartják. A rendszer számos eszközről gyűjti a naplókat. Ami a normalizálási képességeit illeti, szintén elsőrangú. A korrelációs motor könnyen összeállítja az eltérő adatforrásokat, így könnyebben észlelhető a biztonsági események, amikor azok megtörténnek
Az igazat megvallva, a McAfee megoldásban több is van, mint az Enterprise Security Manager. A teljes SIEM-megoldás megszerzéséhez szükség van az Enterprise Log Managerre és az Event Receiverre is. Szerencsére minden termék egyetlen készülékbe csomagolható. Azok számára, akik szeretnék kipróbálni a terméket vásárlás előtt, ingyenes próbaverzió áll rendelkezésre.
6. IBM QRadar
Az IBM, az IT-ipar talán legismertebb neve, sikerült létrehoznia SIEM megoldását, IBM QRadar az egyik legjobb termék a piacon. Az eszköz lehetővé teszi a biztonsági elemzők számára az anomáliák észlelését, a fejlett fenyegetések feltárását és a hamis pozitív eredmények valós időben történő eltávolítását.
Az IBM QRadar naplókezelési, adatgyűjtési, elemzési és behatolásészlelési szolgáltatásokkal büszkélkedhet. Együtt segítik a hálózati infrastruktúra folyamatos működését. Létezik olyan kockázatmodellező elemzés is, amely képes szimulálni a lehetséges támadásokat.
A QRadar néhány fő funkciója magában foglalja a megoldás helyszíni vagy felhőkörnyezetben történő üzembe helyezését. Ez egy moduláris megoldás, és gyorsan és olcsón bővíthető a feldolgozási teljesítmény. A rendszer az IBM X-Force intelligens szakértelmét használja, és zökkenőmentesen integrálódik több száz IBM és nem IBM termékkel.
Az IBM lévén az IBM, várhatóan prémium árat kell fizetnie SIEM-megoldásáért. De ha a piac egyik legjobb SIEM-eszközére van szüksége, a QRadar nagyon megéri a befektetést.
Következtetésképpen
Az egyetlen probléma, amivel felmerülhet, ha a legjobb biztonsági információ- és eseményfigyelő (SIEM) eszközt vásárol, az a rengeteg kiváló lehetőség. Most mutattuk be a legjobb hatot. Mindegyik kiváló választás. Az, hogy melyiket választja, nagymértékben függ az Ön pontos igényeitől, költségvetésétől és attól, hogy mennyi időt hajlandó a beállítására fordítani. Sajnos mindig a kezdeti konfiguráció a legnehezebb rész, és itt elromolhatnak a dolgok, mert ha egy SIEM-eszköz nincs megfelelően konfigurálva, nem fogja tudni megfelelően ellátni a feladatát.
Szöveg 50 – 2300