Det er en jungle derude! Personer med dårlige hensigter er overalt, og de er efter dig. Nå, sandsynligvis ikke dig personligt, men snarere dine data. Det er ikke længere kun vira, vi skal beskytte mod, men alle mulige angreb, der kan efterlade dit netværk – og din organisation – i en alvorlig situation. På grund af udbredelsen af forskellige beskyttelsessystemer såsom antivirus, firewalls og indtrængningsdetektionssystemer, bliver netværksadministratorer nu oversvømmet med information, som de skal korrelere, og forsøger at give mening ud af det. Det er her SIEM-systemer (Security Information and Event Management) er nyttige. De klarer det meste af det grufulde arbejde med at håndtere for meget information. For at gøre dit job med at vælge en SIEM nemmere, præsenterer vi dig de bedste værktøjer til sikkerhedsinformation og hændelsesstyring (SIEM).
I dag begynder vi vores analyse med at diskutere den moderne trusselsscene. Som vi sagde, er det ikke længere kun vira længere. Derefter vil vi prøve at forklare bedre, hvad SIEM præcist er, og tale om de forskellige komponenter, der udgør et SIEM-system. Nogle af dem kan være vigtigere end andre, men deres relative betydning kan være forskellig for forskellige mennesker. Og til sidst vil vi præsentere vores udvalg af de seks bedste værktøjer til sikkerhedsinformation og hændelsesstyring (SIEM) og kort gennemgå hver enkelt.
Indholdsfortegnelse
Den moderne trusselsscene
Computersikkerhed plejede at handle om virusbeskyttelse. Men i de senere år er flere forskellige slags angreb blevet afdækket. De kan tage form af denial of service (DoS)-angreb, datatyveri og mange flere. Og de kommer ikke længere bare udefra. Mange angreb stammer fra et netværk. Så for den ultimative beskyttelse er forskellige typer beskyttelsessystemer blevet opfundet. Ud over den traditionelle antivirus og firewall har vi nu f.eks. Intrusion Detection og Data Loss Prevention-systemer (IDS og DLP).
Jo mere du tilføjer systemer, jo mere arbejde har du selvfølgelig med at administrere dem. Hvert system overvåger nogle specifikke parametre for abnormiteter og vil logge dem og/eller udløse advarsler, når de opdages. Ville det ikke være rart, hvis overvågningen af alle disse systemer kunne automatiseres? Desuden kan nogle typer angreb opdages af flere systemer, når de gennemgår forskellige stadier. Ville det ikke være langt bedre, hvis du så kunne reagere på alle relaterede begivenheder som én? Nå, det er præcis, hvad SIEM handler om.
Hvad er SIEM helt præcist?
Navnet siger det hele. Sikkerhedsinformation og hændelsesstyring er processen med styring af sikkerhedsoplysninger og begivenheder. Konkret giver et SIEM-system ingen beskyttelse. Dens primære formål er at gøre livet lettere for netværks- og sikkerhedsadministratorer. Hvad et typisk SIEM-system virkelig gør, er at indsamle information fra forskellige beskyttelses- og detektionssystemer, korrelere al denne information ved at samle relaterede hændelser og reagere på meningsfulde hændelser på forskellige måder. Ofte vil SIEM-systemer også omfatte en form for rapportering og dashboards.
De væsentlige komponenter i et SIEM-system
Vi er ved at udforske i dybere detaljer hver hovedkomponent i et SIEM-system. Ikke alle SIEM-systemer inkluderer alle disse komponenter, og selv når de gør det, kan de have forskellige funktionaliteter. Men de er de mest basale komponenter, som man typisk ville finde, i en eller anden form, i ethvert SIEM-system.
Logindsamling og styring
Logindsamling og -styring er hovedkomponenten i alle SIEM-systemer. Uden den er der ingen SIEM. SIEM-systemet skal hente logdata fra en række forskellige kilder. Det kan enten trække det, eller forskellige detektions- og beskyttelsessystemer kan skubbe det til SIEM. Da hvert system har sin egen måde at kategorisere og registrere data på, er det op til SIEM at normalisere data og gøre det ensartet, uanset hvad dets kilde er.
Efter normalisering vil loggede data ofte blive sammenlignet med kendte angrebsmønstre i et forsøg på at genkende ondsindet adfærd så tidligt som muligt. Data vil også ofte blive sammenlignet med tidligere indsamlede data for at hjælpe med at opbygge en baseline, der yderligere vil forbedre detektion af unormal aktivitet.
Hændelsessvar
Når først en hændelse er opdaget, skal der gøres noget ved det. Det er, hvad hændelsesresponsmodulet til SIEM-systemet handler om. Hændelsessvaret kan antage forskellige former. I sin mest basale implementering vil en advarselsmeddelelse blive genereret på systemets konsol. Ofte kan der også genereres e-mail- eller SMS-advarsler.
Men de bedste SIEM-systemer går et skridt videre og vil ofte igangsætte en eller anden afhjælpende proces. Igen er dette noget, der kan antage mange former. De bedste systemer har et komplet hændelsesrespons-workflow-system, der kan tilpasses til at give præcis det svar, du ønsker. Og som man kunne forvente, behøver hændelsesrespons ikke at være ensartet, og forskellige hændelser kan udløse forskellige processer. De bedste systemer vil give dig fuld kontrol over hændelsens arbejdsproces.
Indberetning
Når først du har logindsamlingen og -styringen og svarsystemerne på plads, er den næste byggeklods, du skal bruge, rapportering. Du ved det måske ikke endnu, men du skal bruge rapporter. Den øverste ledelse vil have brug for, at de selv kan se, at deres investering i et SIEM-system betaler sig. Du har muligvis også brug for rapporter til overensstemmelsesformål. Overholdelse af standarder som PCI DSS, HIPAA eller SOX kan gøres lettere, når dit SIEM-system kan generere overensstemmelsesrapporter.
Rapporter er måske ikke kernen i et SIEM-system, men det er stadig en væsentlig komponent. Og ofte vil rapportering være en væsentlig differentieringsfaktor mellem konkurrerende systemer. Rapporter er som slik, du kan aldrig få for mange. Og selvfølgelig giver de bedste systemer dig mulighed for at oprette tilpassede rapporter.
Dashboard(s)
Sidst, men ikke mindst, vil dashboardet være dit vindue til dit SIEM-systems status. Og der kan endda være flere dashboards. Fordi forskellige mennesker har forskellige prioriteter og interesser, vil det perfekte dashboard for en netværksadministrator være anderledes end en sikkerhedsadministrators. Og en leder har også brug for en helt anden.
Selvom vi ikke kan evaluere et SIEM-system ud fra antallet af dashboards, det har, skal du vælge et, der har alle de dashboards, du har brug for. Dette er helt sikkert noget, du skal huske på, når du vurderer leverandører. Og ligesom med rapporter giver de bedste systemer dig mulighed for at bygge skræddersyede dashboards efter din smag.
Vores top 6 SIEM-værktøjer
Der er masser af SIEM-systemer derude. Alt for mange, faktisk, til at kunne gennemgå dem alle her. Så vi har søgt på markedet, sammenlignet systemer og bygget en liste over, hvad vi fandt som de seks bedste værktøjer til sikkerhedsinformation og -administration (SIEM). Vi opstiller dem i rækkefølge efter præference, og vi vil kort gennemgå hver enkelt. Men på trods af deres bestilling er alle seks fremragende systemer, som vi kun kan anbefale dig at prøve selv.
Her er, hvad vores top 6 SIEM-værktøjer er
SolarWinds Log & Event Manager
Splunk Enterprise Security
RSA NetWitness
ArcSight Enterprise Security Manager
McAfee Enterprise Security Manager
IBM QRadar SIEM
1. SolarWinds Log & Event Manager (GRATIS 30-DAGES PRØVE)
SolarWinds er et almindeligt navn i netværksovervågningsverdenen. Deres flagskibsprodukt, Network Performance Monitor, er et af de bedste SNMP-overvågningsværktøjer, der findes. Virksomheden er også kendt for sine mange gratis værktøjer, såsom deres Subnet Calculator eller deres SFTP-server.
SolarWinds’ SIEM-værktøj, Log and Event Manager (LEM) beskrives bedst som et SIEM-system på entry-level. Men det er muligvis et af de mest konkurrencedygtige entry-level-systemer på markedet. SolarWinds LEM har alt, hvad du kan forvente af et SIEM-system. Den har fremragende langstyrings- og korrelationsfunktioner og en imponerende rapporteringsmotor.
Hvad angår værktøjets hændelsesresponsfunktioner, lader de intet tilbage at ønske. Det detaljerede realtidsresponssystem vil aktivt reagere på enhver trussel. Og da det er baseret på adfærd snarere end signatur, er du beskyttet mod ukendte eller fremtidige trusler.
Men værktøjets dashboard er muligvis dets bedste aktiv. Med et enkelt design har du ingen problemer med hurtigt at identificere uregelmæssigheder. Fra omkring 4.500 USD er værktøjet mere end overkommeligt. Og hvis du vil prøve det først, er en gratis fuldt funktionel 30-dages prøveversion tilgængelig til download.
2. Splunk Enterprise Security
Muligvis et af de mest populære SIEM-systemer, Splunk Enterprise Security– eller Splunk ES, som det ofte kaldes – er især berømt for sine analysemuligheder. Splunk ES overvåger dit systems data i realtid og leder efter sårbarheder og tegn på unormal aktivitet.
Sikkerhedsrespons er en anden af Splunk ES’ stærke sider. Systemet bruger, hvad Splunk kalder Adaptive Response Framework (ARF), som integreres med udstyr fra mere end 55 sikkerhedsleverandører. ARF’en udfører automatisk respons, hvilket fremskynder manuelle opgaver. Dette vil lade dig hurtigt få overtaget. Tilføj dertil en enkel og overskuelig brugergrænseflade, og du har en vindende løsning. Andre interessante funktioner inkluderer Notables-funktionen, som viser brugertilpassede advarsler og Asset Investigator til at markere ondsindede aktiviteter og forhindre yderligere problemer.
Splunk ES er virkelig et produkt i virksomhedskvalitet, og det kommer med et prisskilt i virksomhedsstørrelse. Du kan ikke engang få prisoplysninger fra Splunks hjemmeside. Du skal kontakte salgsafdelingen for at få en pris. På trods af prisen er dette et fantastisk produkt, og du vil måske kontakte Splunk og drage fordel af en gratis prøveperiode.
3. RSA NetWitness
Siden 20016 har NetWitness fokuseret på produkter, der understøtter “dyb, real-time netværkssituationsbevidsthed og agil netværksrespons”. Efter at være blevet opkøbt af EMC, som derefter fusionerede med Dell, er Newitness-forretningen nu en del af RSA-afdelingen af selskabet. Og dette er gode nyheder RSA er et berømt navn inden for sikkerhed.
RSA NetWitness er ideel til organisationer, der søger en komplet netværksanalyseløsning. Værktøjet inkorporerer oplysninger om din virksomhed, som hjælper med at prioritere advarsler. Ifølge RSA “samler systemet data på tværs af flere opsamlingspunkter, computerplatforme og trusselsintelligenskilder end andre SIEM-løsninger”. Der er også avanceret trusselsdetektion, som kombinerer adfærdsanalyse, datavidenskabelige teknikker og trusselsintelligens. Og endelig kan det avancerede responssystem prale af orkestrerings- og automatiseringsfunktioner for at hjælpe med at slippe af med at udrydde trusler, før de påvirker din virksomhed.
En af de største ulemper ved RSA NetWitness er, at det ikke er det nemmeste at bruge og konfigurere. Der er dog omfattende dokumentation tilgængelig, som kan hjælpe dig med opsætning og brug af produktet. Dette er endnu et produkt i virksomhedskvalitet, og du skal kontakte salgsafdelingen for at få prisoplysninger.
4. ArcSight Enterprise Security Manager
ArcSight Enterprise Security Manager hjælper med at identificere og prioritere sikkerhedstrusler, organisere og spore hændelsesresponsaktiviteter og forenkle revisions- og overholdelsesaktiviteter. Tidligere solgt under HP-mærket er det nu fusioneret med Micro Focus, et andet HP-datterselskab.
Efter at have eksisteret i mere end femten år, er ArcSight et andet uhyre populært SIEM-værktøj. Den kompilerer logdata fra forskellige kilder og udfører omfattende dataanalyse og leder efter tegn på ondsindet aktivitet. For at gøre det nemt at identificere trusler hurtigt, kan du se real0tme-analyseresultaterne.
Her er en oversigt over produkternes hovedfunktioner. Den har kraftfuld distribueret datakorrelation i realtid, automatisering af workflow, sikkerhedsorkestrering og fællesskabsdrevet sikkerhedsindhold. Enterprise Security Manager integreres også med andre ArcSight-produkter såsom ArcSight Data Platform og Event Broker eller ArcSight Investigate. Dette er endnu et produkt i virksomhedskvalitet – som stort set alle kvalitets SIEM-værktøjer – som kræver, at du kontakter ArcSights salgsteam for at få prisoplysninger.
5. McAfee Enterprise Security Manager
McAfee er bestemt et andet kendt navn i sikkerhedsbranchen. Det er dog bedre kendt for sine virusbeskyttelsesprodukter. Det Enterprise sikkerhedschef er ikke kun software. Det er faktisk et apparat. Du kan få det i virtuel eller fysisk form.
Med hensyn til dets analysefunktioner betragtes McAfee Enterprise Security Manager som et af de bedste SIEM-værktøjer af mange. Systemet indsamler logfiler på tværs af en lang række enheder. Hvad angår dens normaliseringsevner, er den også i top. Korrelationsmotoren kompilerer let forskellige datakilder, hvilket gør det nemmere at opdage sikkerhedshændelser, når de sker
For at være sandt, er der mere ved McAfee-løsningen end blot dens Enterprise Security Manager. For at få en komplet SIEM-løsning har du også brug for Enterprise Log Manager og Event Receiver. Heldigvis kan alle produkter pakkes i et enkelt apparat. For dem af jer, der måske vil prøve produktet, før du køber det, er en gratis prøveperiode tilgængelig.
6. IBM QRadar
IBM, muligvis det mest kendte navn i it-branchen, har formået at etablere sin SIEM-løsning, IBM QRadar er et af de bedste produkter på markedet. Værktøjet giver sikkerhedsanalytikere mulighed for at opdage uregelmæssigheder, afdække avancerede trusler og fjerne falske positiver i realtid.
IBM QRadar kan prale af en række funktioner til logstyring, dataindsamling, analyse og indtrængningsdetektion. Sammen hjælper de med at holde din netværksinfrastruktur oppe og kørende. Der er også risikomodelleringsanalyse, der kan simulere potentielle angreb.
Nogle af QRadars nøglefunktioner inkluderer muligheden for at implementere løsningen på stedet eller i et cloudmiljø. Det er en modulær løsning, og man kan hurtigt og billigt tilføje mere lagring af processorkraft. Systemet bruger intelligensekspertise fra IBM X-Force og integreres problemfrit med hundredvis af IBM- og ikke-IBM-produkter.
Da IBM er IBM, kan du forvente at betale en høj pris for deres SIEM-løsning. Men hvis du har brug for et af de bedste SIEM-værktøjer på markedet, kan QRadar meget vel være investeringen værd.
Afslutningsvis
Det eneste problem, du risikerer at have, når du handler efter det bedste værktøj til sikkerhedsinformation og hændelsesovervågning (SIEM), er overfloden af fremragende muligheder. Vi har lige introduceret de bedste seks. Alle af dem er fremragende valg. Den, du vælger, vil i høj grad afhænge af dine præcise behov, dit budget og den tid, du er villig til at bruge på at sætte den op. Ak, den indledende konfiguration er altid den sværeste del, og det er her, tingene kan gå galt, for hvis et SIEM-værktøj ikke er korrekt konfigureret, vil det ikke være i stand til at udføre sit arbejde ordentligt.
SMS 50 – 2300