É uma selva lá fora! Indivíduos mal-intencionados estão em toda parte e estão atrás de você. Bem, provavelmente não você pessoalmente, mas sim seus dados. Não são mais apenas os vírus que temos que nos proteger, mas todos os tipos de ataques que podem deixar sua rede – e sua organização – em uma situação terrível. Devido à proliferação de vários sistemas de proteção, como antivírus, firewalls e sistemas de detecção de intrusão, os administradores de rede agora são inundados com informações que precisam correlacionar, tentando entendê-las. É aqui que os sistemas de gerenciamento de informações e eventos de segurança (SIEM) são úteis. Eles lidam com a maior parte do trabalho horrível de lidar com muita informação. Para facilitar seu trabalho de selecionar um SIEM, apresentamos as melhores ferramentas de gerenciamento de informações e eventos de segurança (SIEM).
Hoje, começamos nossa análise discutindo o cenário moderno de ameaças. Como dissemos, não são mais apenas vírus. Em seguida, tentaremos explicar melhor o que é exatamente o SIEM e falar sobre os diferentes componentes que compõem um sistema SIEM. Alguns deles podem ser mais importantes do que outros, mas sua importância relativa pode ser diferente para pessoas diferentes. E, finalmente, apresentaremos nossa escolha das seis melhores ferramentas de gerenciamento de eventos e informações de segurança (SIEM) e revisaremos brevemente cada uma delas.
últimas postagens
A cena de ameaça moderna
A segurança do computador costumava ser apenas proteção contra vírus. Mas nos últimos anos, vários tipos diferentes de ataques foram descobertos. Eles podem assumir a forma de ataques de negação de serviço (DoS), roubo de dados e muito mais. E eles já não vêm apenas de fora. Muitos ataques se originam de dentro de uma rede. Assim, para a proteção final, vários tipos de sistemas de proteção foram inventados. Além dos tradicionais antivírus e firewall, agora temos sistemas de Detecção de Intrusão e Prevenção de Perda de Dados (IDS e DLP), por exemplo.
Obviamente, quanto mais você adiciona sistemas, mais trabalho você tem para gerenciá-los. Cada sistema monitora alguns parâmetros específicos quanto a anormalidades e os registrará e/ou acionará alertas quando forem descobertos. Não seria bom se o monitoramento de todos esses sistemas pudesse ser automatizado? Além disso, alguns tipos de ataques podem ser detectados por vários sistemas à medida que passam por diferentes estágios. Não seria muito melhor se você pudesse responder a todos os eventos relacionados como um só? Bem, é exatamente disso que se trata o SIEM.
O que é SIEM, exatamente?
O nome diz tudo. Informações de segurança e gerenciamento de eventos é o processo de gerenciamento de informações e eventos de segurança. Concretamente, um sistema SIEM não oferece nenhuma proteção. Seu objetivo principal é facilitar a vida dos administradores de rede e segurança. O que um sistema SIEM típico realmente faz é coletar informações de vários sistemas de proteção e detecção, correlacionar todas essas informações reunindo eventos relacionados e reagir a eventos significativos de várias maneiras. Muitas vezes, os sistemas SIEM também incluem algum tipo de relatório e painéis.
Os componentes essenciais de um sistema SIEM
Estamos prestes a explorar com mais detalhes cada componente principal de um sistema SIEM. Nem todos os sistemas SIEM incluem todos esses componentes e, mesmo quando o fazem, podem ter funcionalidades diferentes. No entanto, eles são os componentes mais básicos que normalmente encontraríamos, de uma forma ou de outra, em qualquer sistema SIEM.
Coleta e gerenciamento de logs
A coleta e o gerenciamento de logs são o principal componente de todos os sistemas SIEM. Sem ele, não há SIEM. O sistema SIEM precisa adquirir dados de log de várias fontes diferentes. Ele pode puxá-lo ou diferentes sistemas de detecção e proteção podem empurrá-lo para o SIEM. Como cada sistema tem sua própria maneira de categorizar e registrar os dados, cabe ao SIEM normalizar os dados e torná-los uniformes, independentemente de sua origem.
Após a normalização, os dados registrados geralmente serão comparados com padrões de ataque conhecidos na tentativa de reconhecer o comportamento malicioso o mais cedo possível. Os dados também serão frequentemente comparados aos dados coletados anteriormente para ajudar a construir uma linha de base que melhorará ainda mais a detecção de atividades anormais.
Resposta do evento
Uma vez que um evento é detectado, algo deve ser feito a respeito. É disso que trata o módulo de resposta a eventos do sistema SIEM. A resposta do evento pode assumir diferentes formas. Em sua implementação mais básica, uma mensagem de alerta será gerada no console do sistema. Muitas vezes, alertas por e-mail ou SMS também podem ser gerados.
Mas os melhores sistemas SIEM vão um passo além e geralmente iniciam algum processo de correção. Novamente, isso é algo que pode assumir muitas formas. Os melhores sistemas têm um sistema completo de fluxo de trabalho de resposta a incidentes que pode ser personalizado para fornecer exatamente a resposta desejada. E, como seria de esperar, a resposta a incidentes não precisa ser uniforme e eventos diferentes podem desencadear processos diferentes. Os melhores sistemas lhe darão controle total sobre o fluxo de trabalho de resposta a incidentes.
Comunicando
Depois de ter a coleta e o gerenciamento de logs e os sistemas de resposta em vigor, o próximo bloco de construção que você precisa é o relatório. Você pode não saber ainda, mas precisará de relatórios. A alta administração precisará que eles vejam por si mesmos que seu investimento em um sistema SIEM está valendo a pena. Você também pode precisar de relatórios para fins de conformidade. A conformidade com padrões como PCI DSS, HIPAA ou SOX pode ser facilitada quando seu sistema SIEM pode gerar relatórios de conformidade.
Os relatórios podem não estar no centro de um sistema SIEM, mas ainda assim são um componente essencial. E, muitas vezes, os relatórios serão um importante fator de diferenciação entre sistemas concorrentes. Relatórios são como doces, você nunca pode ter muitos. E, claro, os melhores sistemas permitem criar relatórios personalizados.
Painéis
Por último, mas não menos importante, o painel será sua janela para o status do seu sistema SIEM. E pode até haver vários painéis. Como pessoas diferentes têm prioridades e interesses diferentes, o painel perfeito para um administrador de rede será diferente daquele de um administrador de segurança. E um executivo também precisará de um completamente diferente.
Embora não possamos avaliar um sistema SIEM pelo número de painéis que ele possui, você precisa escolher um que tenha todos os painéis necessários. Isso é definitivamente algo que você deve ter em mente ao avaliar os fornecedores. E, assim como com os relatórios, os melhores sistemas permitem que você crie painéis personalizados ao seu gosto.
Nossas 6 principais ferramentas SIEM
Existem muitos sistemas SIEM por aí. Demasiadas, na verdade, para poder revê-las todas aqui. Então, pesquisamos o mercado, comparamos sistemas e criamos uma lista das seis melhores ferramentas de gerenciamento e informações de segurança (SIEM). Estamos listando-os em ordem de preferência e revisaremos brevemente cada um deles. Mas, apesar de sua ordem, todos os seis são sistemas excelentes que só podemos recomendar que você experimente por si mesmo.
Veja quais são nossas 6 principais ferramentas SIEM
Gerenciador de logs e eventos SolarWinds
Splunk Segurança Empresarial
RSA NetWitness
Gerenciador de segurança empresarial ArcSight
McAfee Enterprise Security Manager
IBM QRadar SIEM
1. SolarWinds Log & Event Manager (AVALIAÇÃO GRATUITA DE 30 DIAS)
SolarWinds é um nome comum no mundo do monitoramento de rede. Seu principal produto, o Network Performance Monitor é uma das melhores ferramentas de monitoramento SNMP disponíveis. A empresa também é conhecida por suas inúmeras ferramentas gratuitas, como a Calculadora de Sub-rede ou o servidor SFTP.
A ferramenta SIEM da SolarWinds, o Log and Event Manager (LEM), é melhor descrita como um sistema SIEM de nível básico. Mas é possivelmente um dos sistemas básicos mais competitivos do mercado. O SolarWinds LEM tem tudo o que você pode esperar de um sistema SIEM. Possui excelentes recursos de gerenciamento e correlação de longo prazo e um mecanismo de relatório impressionante.
Quanto aos recursos de resposta a eventos da ferramenta, eles não deixam nada a desejar. O sistema detalhado de resposta em tempo real reagirá ativamente a todas as ameaças. E como é baseado no comportamento e não na assinatura, você está protegido contra ameaças desconhecidas ou futuras.
Mas o painel da ferramenta é possivelmente seu melhor ativo. Com um design simples, você não terá problemas para identificar anomalias rapidamente. A partir de cerca de US $ 4.500, a ferramenta é mais do que acessível. E se você quiser experimentá-lo primeiro, uma versão de avaliação gratuita de 30 dias totalmente funcional está disponível para download.
2. Segurança Empresarial Splunk
Possivelmente um dos sistemas SIEM mais populares, Splunk Segurança Empresarial–ou Splunk ES, como costuma ser chamado–é particularmente famoso por seus recursos de análise. O Splunk ES monitora os dados do seu sistema em tempo real, procurando por vulnerabilidades e sinais de atividade anormal.
A resposta de segurança é outro dos pontos fortes do Splunk ES. O sistema usa o que o Splunk chama de Adaptive Response Framework (ARF), que se integra a equipamentos de mais de 55 fornecedores de segurança. O ARF realiza resposta automatizada, agilizando as tarefas manuais. Isso permitirá que você ganhe rapidamente a vantagem. Adicione a isso uma interface de usuário simples e organizada e você terá uma solução vencedora. Outros recursos interessantes incluem a função Notáveis, que mostra alertas personalizáveis pelo usuário e o Asset Investigator para sinalizar atividades maliciosas e evitar mais problemas.
O Splunk ES é realmente um produto de nível empresarial e vem com um preço de tamanho empresarial. Você nem consegue obter informações sobre preços no site do Splunk. Você precisa entrar em contato com o departamento de vendas para obter um preço. Apesar de seu preço, este é um ótimo produto e você pode entrar em contato com o Splunk e aproveitar uma avaliação gratuita.
3. RSA NetWitness
Desde 20016, a NetWitness se concentra em produtos que suportam “consciência situacional de rede profunda e em tempo real e resposta de rede ágil”. Depois de ser adquirida pela EMC, que se fundiu com a Dell, o negócio Newitness agora faz parte da filial RSA da corporação. E esta é uma boa notícia RSA é um nome famoso em segurança.
RSA NetWitness é ideal para organizações que buscam uma solução completa de análise de rede. A ferramenta incorpora informações sobre o seu negócio que ajudam a priorizar os alertas. De acordo com a RSA, o sistema “coleta dados em mais pontos de captura, plataformas de computação e fontes de inteligência de ameaças do que outras soluções SIEM”. Há também detecção avançada de ameaças que combina análise comportamental, técnicas de ciência de dados e inteligência de ameaças. E, finalmente, o sistema de resposta avançado possui recursos de orquestração e automação para ajudar a eliminar as ameaças antes que elas afetem seus negócios.
Uma das principais desvantagens do RSA NetWitness é que ele não é o mais fácil de usar e configurar. No entanto, há documentação abrangente disponível que pode ajudá-lo a configurar e usar o produto. Este é outro produto de nível empresarial e você precisará entrar em contato com as vendas para obter informações sobre preços.
4. Gerenciador de segurança corporativa do ArcSight
Gerenciador de segurança empresarial ArcSight ajuda a identificar e priorizar ameaças de segurança, organizar e rastrear atividades de resposta a incidentes e simplificar atividades de auditoria e conformidade. Anteriormente vendido sob a marca HP, agora se fundiu com a Micro Focus, outra subsidiária da HP.
Com mais de quinze anos de existência, o ArcSight é outra ferramenta SIEM imensamente popular. Ele compila dados de log de várias fontes e realiza uma extensa análise de dados, procurando sinais de atividade maliciosa. Para facilitar a identificação rápida de ameaças, você pode visualizar os resultados da análise real0tme.
Aqui está um resumo das principais características dos produtos. Ele possui uma poderosa correlação de dados distribuídos em tempo real, automação de fluxo de trabalho, orquestração de segurança e conteúdo de segurança orientado pela comunidade. O Enterprise Security Manager também se integra a outros produtos ArcSight, como ArcSight Data Platform e Event Broker ou ArcSight Investigate. Este é outro produto de nível empresarial – como praticamente todas as ferramentas SIEM de qualidade – que exigirá que você entre em contato com a equipe de vendas da ArcSight para obter informações sobre preços.
5. McAfee Enterprise Security Manager
A McAfee é certamente outro nome familiar no setor de segurança. No entanto, é mais conhecido por seus produtos de proteção contra vírus. O Gerente de segurança empresarial não é apenas software. Na verdade é um aparelho. Você pode obtê-lo em forma virtual ou física.
Em termos de recursos de análise, o McAfee Enterprise Security Manager é considerado por muitos uma das melhores ferramentas de SIEM. O sistema coleta logs em uma ampla variedade de dispositivos. Quanto aos seus recursos de normalização, também é de primeira qualidade. O mecanismo de correlação compila facilmente fontes de dados diferentes, facilitando a detecção de eventos de segurança à medida que eles ocorrem
Para ser verdade, há mais na solução McAfee do que apenas seu Enterprise Security Manager. Para obter uma solução SIEM completa, você também precisa do Enterprise Log Manager e do Event Receiver. Felizmente, todos os produtos podem ser embalados em um único aparelho. Para aqueles que desejam experimentar o produto antes de comprá-lo, uma avaliação gratuita está disponível.
6. IBM QRadar
A IBM, possivelmente o nome mais conhecido na indústria de TI, conseguiu estabelecer sua solução SIEM, IBM QRadar é um dos melhores produtos do mercado. A ferramenta capacita os analistas de segurança a detectar anomalias, descobrir ameaças avançadas e remover falsos positivos em tempo real.
O IBM QRadar possui um conjunto de recursos de gerenciamento de log, coleta de dados, análise e detecção de intrusão. Juntos, eles ajudam a manter sua infraestrutura de rede funcionando. Há também análises de modelagem de risco que podem simular ataques potenciais.
Alguns dos principais recursos do QRadar incluem a capacidade de implementar a solução no local ou em um ambiente de nuvem. É uma solução modular e pode-se adicionar de forma rápida e barata mais armazenamento de poder de processamento. O sistema usa a experiência em inteligência do IBM X-Force e integra-se perfeitamente a centenas de produtos IBM e não IBM.
IBM sendo IBM, você pode esperar pagar um preço premium por sua solução SIEM. Mas se você precisar de uma das melhores ferramentas SIEM do mercado, o QRadar pode valer a pena o investimento.
Para concluir
O único problema que você corre o risco de ter ao comprar a melhor ferramenta de monitoramento de informações e eventos de segurança (SIEM) é a abundância de excelentes opções. Acabamos de apresentar os seis melhores. Todos são excelentes escolhas. O que você escolherá dependerá em grande parte de suas necessidades exatas, seu orçamento e o tempo que você está disposto a dedicar para configurá-lo. Infelizmente, a configuração inicial é sempre a parte mais difícil e é aí que as coisas podem dar errado, pois se uma ferramenta SIEM não estiver configurada corretamente, ela não poderá fazer seu trabalho corretamente.
Texto 50 – 2300