安全信息和事件管理(SIEM)工具是大多数公司网络防御的核心部分。使用本指南可以帮助您寻找到最符合您需求的SIEM选项。
SIEM可以说是网络安全专业人员的“蓝领级”工具,因为审计、审查和管理事件日志并不具备任何独到的魅力,但它却是构建安全企业网络的一个必不可少的层面。它可以作为所有数据收集和分析活动的集中点,可对系统日志和网络信息提供智能分析。一旦SIEM配置正确,它便可以查找恶意行为和系统活动,在安全事件恶化成为有影响的数据泄露事件之前提醒企业的安全事件团队。
如今,网络安全已经逐步走向成熟,无数工具(机器学习支持的防火墙,强化的Web应用程序服务器,云服务等)的衍生进一步加剧了企业网络攻击的难度。以全局、“自上而下”的方式监控每个层、服务和设备,对于为日志事件提供上下文而言至关重要。此外,将自动修复任务应用于事件日志也助力许多此类SIEM工具提升到了另一个级别。
鉴于事件日志的性质,它们通常会成为渴望掩盖其活动踪迹的恶意用户的二次攻击面。SIEM工具通常会通过将事件日志转移到为任务构建的服务器或服务中,来为事件日志提供额外的保护层,从而提供一种防止编辑或删除,甚至创建备份副本的方法。
以下是Gartner PeerInsights评选的12款顶级SIEM工具,以及来自同行评审的评级摘要:
AlienVault的统一安全管理(USM)平台提供了在各种系统中监控、分析和管理系统事件的工具。其声称能够从网络中的任何地方发现威胁,而不仅仅通过防火墙,且能够将发现的威胁以“杀伤链”(KILL CHAIN)的不同阶段进行归类。
AlienVault USM不仅仅是一个SIEM解决方案。除了监控进而管理事件日志外,该平台还提供用于漏洞评估和入侵检测(包括网络和基于主机)的工具,为可能不具备这些功能的客户提供附加价值。除此之外,AlienVault还提供OSSIM(开源安全信息和事件管理)服务,顾名思义,它是一个开源的SIEM解决方案,且可能是更受欢迎的开源SIEM平台之一。OSSIM将本地日志存储和关联功能与众多开源项目结合在一起,以构建完整的SIEM。OSSIM中包含的开源项目列表包括FProbe,Munin,Nagios,NFSen / NFDump,OpenVAS,OSSEC,PRADS,Snort,Suricata和TCPTrack。
Elastic并不提供真正的SIEM平台(如果您的组织需要PCI兼容性,可以前往查看其他工具),但Logstash作为一个日志聚合器,可以收集和处理来自几乎任何数据源的数据,它可以过滤、处理、关联并且通常增强它收集的任何日志数据。尤其是Elastic还提供了诸如Beats之类的工具来移动数据,Beats包括各种轻量级日志传送,负责收集数据并通过Logstash将其发送到堆栈;Elasticsearch是存储引擎,用于帮助解析大量数据;而Kibana则是堆栈中的可视化层,用于处理可视化和分析问题。
Logstash可能是该列表中最灵活的工具,但它也存在一些关键问题。毫无疑问,Elastic的Stack平台非常强大,其日志处理、存储和可视化功能在功能上都是无与伦比的。然而,对于SIEM而言,ELK Stack至少在其原始开源格式中缺少一些关键组件。首先,没有内置的报告或警报功能。这是一个已知的痛点,不仅对于尝试将堆栈用于安全性的用户而且对于更常见的用例来说也是如此——例如IT操作。警报可以通过使用X-Pack(Elastic的商业产品)或通过添加开源安全附件来添加。其次,也没有可以使用的内置安全规则。这使得堆栈在处理资源和运营成本方面成本更高。
在我们此次列举的12款解决方案中,Exabeam赢得了最高的Gartner PeerInsights评分,至于原因也是显而易见的。对于初学者而言,Exabeam的安全管理平台可以为您的事件日志带来大数据工具集,提供性能和分析优势。Exabeam Data Lake可以支持尽可能多的数据,且其定价也是基于用户数量而非数据量而定,此外,Exabeam还可以使用机器学习等技术为用户提供多种分析策略。
除了提供用于编译、聚合和分析事件日志的工具之外,Exabeam还提供了一个用于处理事件响应的工具集。Exabeam事件响应程序提供了在事件发生时将事件分配给相关人员以及跟踪状态更新的选项。事件响应者还可以利用自动和定制的“剧本”,来针对不同类型的事件采取相应的缓解措施,以及阻止自动化和与其他系统集成的潜在机会。
FortiSIEM是Fortinet公司的SIEM解决方案,其可以为企业提供一个完善、整合、可扩展的解决方案,从IoT到云,通过持有专利的分析技术来让网络安全管理更可操作,更高效,更可视,以及满足多种合规标准。
FortiSIEM可以在收集事件和自动化事件响应方面进行集成。此外,FortiSIEM修复库还提供了内置脚本,可以利用来自各种供应商的设备和系统来执行修复步骤,例如禁用交换机端口或Active Directory帐户。
该产品的突出优势包括:统一的NOC和SOC分析能力;分布式实时事件关联技术;实时、自动化基础设施发现以及应用发现引擎;动态用户识别与匹配;灵活且快速的自定义日志解析;混合数据库架构- 融合结构化和非结构化数据源;大规模威胁情报源整合以及“多租户架构”等等。
IBM长期以来一直是企业软件领域的领导者,所以其QRadar SIEM平台能够处理大型数据集以及企业事件管理解决方案所需的无数功能也就不足为奇了。QRadar对500多种集成和内置分析引擎的支持也正是我们对IBM软件产品的期望。
IBM QRadar SIEM可以检测异常,发现高级威胁以及消除误报。它可以将分散在整个网络中的数千个设备、终端和应用中的日志事件和网络流数据整合起来。然后使用先进的Sense Analytics引擎,对这些数据实施规范化和关联处理,并确定需要调查的安全攻击。此外,您也可以选择将该产品与IBM Security X-Force Threat Intelligence结合使用,从而获得可能的恶意IP地址的列表,包括恶意主机、垃圾邮件源和其他威胁。QRadar SIEM可在内部部署,也可在云端部署。
作为昔日的AI“老大哥”,IBM Watson可能是全球销量最高的AI,而IBM QRadar Advisor with Watson正是将Watson的认知功能和行业领先的QRadar Security Analytics Platform 相结合,以发现潜在的威胁和异常行为,并自动发掘洞察而无需手动识别,从而彻底改变安全分析人员的工作方式。此外,Watson Advisor还整合了来自外部资源的新威胁,以识别零日攻击。
LogPoint用户将简单的设置过程视为关键点,许可结构(licensing structure)使得成本预测变得更为清晰。licensing的本质实际上是一项资产的拥有者给予受让方在特定目的,时期以及地域范围内使用自己资产权利的一种许可。LogPoint的许可主要基于向SIEM发送数据的设备数量,而非用户或吞吐量。
LogPoint使用用户和实体行为分析(UEBA)作为其威胁建模和机器学习产品。UEBA使用户能够快速实现启动和运行,而无需创建或修改广泛的规则集。
LogRhythm提供了全面的SIEM套件,有助于实现从数据收集到修复的威胁管理任务。LogRhythm可以根据您的具体需求提供各种尺寸的LogRhythm XM,或支持跨多个服务器进行扩展的LogRhythm Enterprise。这两者都可用于基于软件或设备的解决方案,不同之处在于,LogRhythm Enterprise也可以支持混合架构。
核心LogRhythm解决方案还有几个附加组件可供使用。其中,CloudAI是LogRhythm基于UEBA的高级威胁检测产品;LogRhythm NetMon负责跟踪网络流量,以识别异常行为和潜在威胁;此外,LogRhythm还提供了SysMon组件,其基于软件代理的传感器可用于监控用户、应用程序和端点。
如今,McAfee已经成功跻身Gartner SIEM 魔力象限领导者之列,作为其SIEM 解决方案的基础,McAfee Enterprise Security Manager(ESM)不仅可以将事件、威胁和风险数据集中到一起,以提供强大的安全情报、快速事件响应、无缝日志管理以及合规报告功能,从而提供适应性安全风险管理所需的上下文环境,而且其嵌入式合规框架和内置安全内容包还能够简化分析人员的操作和合规性操作。
架构和集成方面的灵活性是McAfee ESM的关键特征。ESM可用于各种规模的物理和虚拟设备中,其中虚拟设备还包括各种虚拟机管理程序和云平台等。而McAfee所提供的内置安全内容包还可以针对特定用例或合作伙伴平台启用监视器和警报,此外,其与十几家第三方供应商所建立的集成合作伙伴关系,也使得ESM具有其他同类产品难以企及的可扩展性。
ArcSight企业安全管理程序(ESM)是一个功能齐全的解决方案,可以检查企业SIEM的所有内容。ArcSight ESM支持一系列集成和自定义选项,允许安全分析师从单一管理平台执行事件响应。借助ArcSight Marketplace,您可以轻松利用更新的仪表板、报告或关联规则。
ArcSight ESM支持基于工作流程的自动化,允许分析人员快速关联事件,在案例中引用事件,并根据需要进行响应或升级。您还可以审核并报告所采取的每个操作,以维持服务级别协议(SLA)合规性并跟踪响应时间。此外,与第三方系统的集成还允许用户启用修复程序,例如禁用端口或帐户,甚至可以创建规则集以自动执行这些步骤。
RSA的SIEM解决方案RSA NetWitness具有企业级SIEM所需的许多功能,包括用户行为分析(UEBA),自动化工具和架构灵活性(支持硬件和虚拟设备、基于软件的选项或云部署)。此外,RSA NetWitness还可以通过与RSA Archer和SecurID集成,对所捕获的网络和日志数据进行实时上下文智能分析,从而为企业提供可操作的安全情报信息。
加密或编码的事件数据或Web流量可能难以合并到您的SIEM中。但RSA NetWitness可以利用各种加密工具(包括解密、解压和熵测量)来显示此类信息,并将其合并到您的SIEM工作流程中。这种对加密流量的可见性可能就是确定流量本质上是恶意还是合法的关键所在。
SolarWinds对于许多IT专业人士而言是非常熟悉的名称,其积极的营销模式和长期以来发布免费工具的行为已经赢得了众多中小型IT商店的青睐。SolarWinds Log & Event Manager是其SIEM解决方案,主要提供快速简单的合规性报告、实时事件关联、实时补救、高级搜索和取证分析、文件完整性监控等诸多功能。
Log&Event Manager并不提供基于机器学习的分析,也不提供与该列表中其他企业级工具相同的第三方系统集成功能。但SolarWinds却能够提供USB设备监控功能,旨在降低USB闪存驱动器对您的网络造成的风险。
Splunk可能是该列表中最为知名的一大存在,同时也是判断SIEM平台的标准。Gartner PeerInsights的评分也体现了这一点,高达4.4星的评级以及500多条评论支持,都明显超出了其他竞争解决方案。
Splunk提供了两个版本的平台。其中,Splunk Enterprise可以作为各种Unix或Windows操作系统上的服务器应用程序安装在本地,也可以作为Docker容器应用程序安装;Splunk Cloud则允许您在SaaS环境中实现Splunk的优势,最大限度地减少基础架构和维护需求。这两种平台版本都支持可自定义的仪表板和报告,以及异常检测和高度访问控制等功能。
不过,Splunk最大的卖点或许还是Splunkbase,Splunkbase应用库包含100多个来自Splunk、合作伙伴和社区的应用和加载项。Splunkbase应用程序可以在Splunk Enterprise或Splunk Cloud上运行,并添加第三方集成、分析或自动化功能。其强大的大数据收集分析功能可以针对几乎任何一个数据源和用户需求,用户可根据自身企业需求查找对应行业应用或加载项,或只需根据开发人员门户中的帮助创建自己的应用或加载项。
完整的SIEM解决方案包含从各种数据源收集信息,长时间保留信息,在不同事件之间关联,创建关联规则或警报,分析数据并使用可视化和仪表板监控数据的能力。
无论一款工具多么强大,都可能存在这样或那样的不足,从来都不存在可以“一劳永逸”的工具,想要真正最大化实现工具的性能,还需要根据自身需求和具备的实际条件来进行选择。此外,还需要针对具体工具进行正确部署,因为即便一款工具再怎么强大,一旦部署失误也是徒劳无功。希望上述内容可以帮助您选出最合适的SIEM工具,更好地提升企业的整体安全态势。