|
|
Обеспечение надлежащего уровня кибербезопасности является одной из главных задач, стоящих перед компаниями. Поскольку число технологий защиты постоянно растет, понимание событий или предупреждений становится важной задачей для раннего обнаружения инцидентов и реагирования на них.
Именно здесь может помочь информация о безопасности и управление событиями (SIEM). SIEM обеспечивает мониторинг и корреляцию событий, уведомлений и предупреждений в режиме реального времени из разных представлений консоли, а также предоставляет аналитику путем анализа и составления отчетов по собранным данным.
IBM Security QRadar был лидером по продукту в волшебном квадранте Gartner 2017 года для технологий SIEM. Это локальное решение, доступное через автономную или распределенную архитектуру - SIEM как сервис (QRadar on Cloud) или как совместно управляемый QRadar в партнерстве с IBM Managed Security Services.
Splunk Security Intelligence Platform была также включена в список лидеров в магическом квадранте Gartner 2017 года для технологий SIEM. Splunk Enterprise является основным компонентом продукта. Он может обеспечить сбор событий и данных, а также обладает несколькими аналитическими возможностями, функциями поиска и визуализацией.
Splunk может предоставлять расширенные аналитические возможности с помощью нескольких различных средств в своей экосистеме, включая встроенные основные возможности поиска, инструментарий машинного обучения и ряд других опций через сторонних поставщиков приложений.
LogRhythm Threat Lifecycle Management обеспечивает не только основные функции SIEM, но также включает в себя опции дополнений для мониторинга сети и хоста.
SIEM LogRhythm включает в себя несколько компонентов, которые можно запускать с одного устройства или по отдельности, включая сборщик данных, процессор данных, индексатор данных, AI Engine, диспетчер платформ и службы WebUI. Это создает надежную платформу для компаний, которым нужны основные возможности SIEM в дополнение к возможностям мониторинга хоста и сети, в решении, которое может масштабироваться до n-уровневых архитектур.
McAfee Enterprise Security Manager (ESM) - еще один продукт SIEM с наивысшим рейтингом, который предоставляет важную информацию, такую как отображение в реальном времени всей активности в системах, сетях, базах данных и приложениях. Он предоставляет группе безопасности постоянное представление об угрозах и рисках, а также облегчает решающий анализ, который может ускорить расследования и другие важные задачи, такие как оркестровка исправлений безопасности.
Важно учитывать, что McAfee ESM, по сравнению с другими передовыми технологиями SIEM, не имеет передовых возможностей машинного анализа. McAfee уже планирует в ближайшем будущем изменить платформу ESM для работы на архитектуре больших данных, что позволит разработать эти недостающие возможности.
В сентябре 2017 года Hewlett Packard Enterprise (HPE) и Micro Focus заключили сделку, эффективно превратив продукт ArcSight SIEM в часть бизнеса Micro Focus.
ArcSight Enterprise Security Manager (ESM) - это основное SIEM-решение от Micro Focus, которое обеспечивает корреляцию данных в режиме реального времени со скоростью до 75 000 событий в секунду, используя такие функции, как автоматизация рабочих процессов и оркестровка безопасности, для существенного повышения эффективности во время сортировки обнаруженных предупреждений посредством Командный центр ArcSight (ACC).
ArcSight ESM поддерживает сбор и анализ данных из широкого спектра источников и настройку соединителей. Это позволяет нормализовать широкий спектр источников событий и даже использовать открытую платформу, позволяя использовать структурированные данные вне решения ArcSight.
Пакет Dell RSA NetWitness Suite предназначен для обнаружения угроз в реальном времени, реагирования на инциденты и расследования. Он включает в себя мощные инструменты для криминалистической экспертизы и поиска угроз, включая полный пакетный захват сети, данные о событиях безопасности и журналах, NetFlow и телеметрию с конечных точек. Он также может выполнять сбор событий и данных в облаке, включая поставщиков IaaS, таких как AWS и Azure.
NetWitness Suite использует единый подход к обнаружению угроз и мониторингу событий, расследованию и реагированию по всему сетевому трафику, конечным точкам и другим источникам данных о событиях и журналах безопасности. Это обеспечивает расширенное обнаружение угроз, реагирование на инциденты, криминалистическую экспертизу и поиск угроз, что делает ее отличным вариантом для компаний, которые имеют или планируют развернуть операционный центр безопасности (SOC).
InsightIDR - это решение SIEM от Rapid7, состоящее из сервиса InsightIDR, агентов EDR и honeypots. InsightIDR может предоставлять основные функции SIEM, такие как сбор и управление журналами, правила и корреляции обнаружения угроз, расширенная аналитика, информационные панели, управление случаями, рабочие процессы и отчетность.
Одним из лучших преимуществ InsightIDR является предоставление в качестве услуги, эффективно упрощающей большую часть его архитектуры и процесса внедрения, а также упрощающей работу. Rapid7 полностью управляет текущими задачами по обслуживанию, такими как управление производительностью, модернизация и масштабирование.
Также важно учитывать тот факт, что InsightIDR является довольно новым игроком на рынке SIEM. Он имеет меньше возможностей по сравнению с другими, более устоявшимися решениями SIEM, включая отчеты и количество поддерживаемых событий журнала и источников данных.
Snypr Security Analytics - это платформа SIEM нового поколения Securonix. Он сочетает в себе открытую модель данных с возможностями управления журналами, инцидентами безопасности и событиями (SIEM) и другими функциями, такими как анализ поведения пользователей и объектов (UEBA) и обнаружение мошенничества. Это превращает Snypr в законченную комплексную платформу, которая может быть развернута с использованием гибкого подхода и модульных компонентов.
Хотя его развертывание может быть гибким, важно отметить, что Snypr работает поверх коммерческой платформы Hadoop, используя другую архитектуру по сравнению с более традиционными решениями SIEM. Это может расширить необходимую кривую обучения, чтобы полностью понять, как управлять, отслеживать и устранять неполадки различных компонентов, работающих на платформе (например, Kafka, Solr, HBase, Spark, HDFS и т. Д.).
Кроме того, поскольку у Securonix нет собственных расширенных решений для защиты от угроз, Snypr зависит от интеграции со сторонними решениями для этих функций.
Exabeam Security Intelligence Platform - это набор различных компонентов, которые совместно предоставляют решение Exabeam SIEM. Он использует различные технологии больших данных, такие как Elastic, Hadoop, Kafka и Spark.
Платформа Exabeam Security Intelligence Platform сосредоточена на предоставлении комплексных возможностей сквозного обнаружения, аналитики и реагирования из единого решения для управления безопасностью и операциями, а также обладает эластичной масштабируемостью с использованием архитектуры больших данных и машинного обучения, которая принимает и анализирует данные на любой масштаб.
Одним из преимуществ Exabeam является его лицензионный подход: вместо использования традиционных индикаторов, таких как скорость, объем событий, журналы и анализируемые контекстные данные, он основан просто на количестве пользователей в организации, что может означать более низкие затраты.
Важно отметить, что помимо своего решения Advanced Analytics, Exabeam не получил широкого распространения по сравнению с большинством решений SIEM на рынке. Он также не имеет встроенной поддержки возможностей анализа сетевого трафика, что делает Exabeam зависимым от сторонних решений.
