您的位置: 首頁 >互聯(lián)網 >

它將SIM和SEM功能結合到一個安全管理系統(tǒng)中

2022-09-02 15:33:22 編輯:藍建貝 來源:
導讀 SIEM,其現(xiàn)代工具已經存在了大約十二年,是一種安全管理方法,它將SIM(安全信息管理)和SEM(安全事件管理)功能結合到一個安全管理系統(tǒng)中。SI...

SIEM,其現(xiàn)代工具已經存在了大約十二年,是一種安全管理方法,它將SIM(安全信息管理)和SEM(安全事件管理)功能結合到一個安全管理系統(tǒng)中。SIM收集,分析和報告日志數(shù)據(jù); SEM實時分析日志和事件數(shù)據(jù),以提供威脅監(jiān)控,事件關聯(lián)和事件響應。由于其全天候實時性,SIEM現(xiàn)在已成為大型企業(yè)所需的技術。

SIM和SEM功能均可按應用程序分析應用程序和網絡硬件生成的安全警報??梢詫⑦@兩種功能結合起來的安全提供商處于新業(yè)務的內部通道中。

企業(yè)SIEM的主要功能包括從多個來源獲取數(shù)據(jù),解釋數(shù)據(jù),整合威脅情報源,警報關聯(lián),分析,分析,自動化和潛在威脅的總結。

IBM QRadar與Splunk:業(yè)務中最好的兩個

IBM QRadar和Splunk,后者在十年的大部分時間里一直是市場領導者,是現(xiàn)有兩種最好的安全信息和事件管理(SIEM)解決方案。但是,每種產品都為潛在買家提供了明顯的好處。兩者都提供強大的核心SIEM產品,但它們在使用智能和與第三方和其他安全工具集成方面存在差異。

通常,IBM QRadar旨在與其他IBM產品(如Watson AI)進行最佳協(xié)作,而作為獨立軟件制造商的Splunk可以更輕松地與系統(tǒng)內的其他組件進行交互。

以下是每個解決方案的一些關鍵特性和分析。以下是SIEM工具業(yè)務中兩個最佳的利弊面對面匯編:IBM QRadar和Splunk。

IBM QRadar

QRadar帶來的內容: IBM的SIEM工具集QRadar專為大型組織而設計,包含一個用于構建企業(yè)級威脅檢測和響應系統(tǒng)的可靠平臺。它還包含用于更簡單用例的大量藍圖和模板。QRadar擁有龐大的部署基礎和廣泛的服務提供商,可以幫助組織采購,運行,調整和監(jiān)控他們的部署。

IBM QRadar安全智能平臺圍繞IBM QRadar SIEM構建,并包含多個組件。IBM QRadar Vulnerability Manager使用VM數(shù)據(jù)對事件數(shù)據(jù)進行上下文化。IBM QRadar Network Insights提供基于QFlow的應用程序對網絡流的可見性。

IBM QRadar用戶行為分析是一個免費的UBA模塊,可解決一些內部威脅用例。IBM QRadar Incident Forensics提供法醫(yī)調查支持。Watson的IBM QRadar Advisor為已識別的威脅提供自動化根本原因研究。

考慮QRadar的主要原因:

更容易將投資案例提交給首席財務官,IBM擁有強大的力量和莊嚴的品質。

QRadar提供了一個多功能和廣泛的SIEM平臺,可以為廣泛的用例選擇開箱即用(模板化)的內容。管理員在處理安裝時不必從頭開始。

QRadar擁有與其他IBM安全產品組合解決方案(例如帶有Watson的IBM QRadar Advisor,IBM Resilient或免費UBA模塊)以及由第三方(社區(qū),安全和IT供應商)開發(fā)的內容的增值集成的堅實生態(tài)系統(tǒng),可通過IBM QRadar的市場訪問。

Watson AI本身就是一個很大的賣點。

IBM QRadar用戶行為分析是一個免費的UBA模塊,可解決一些內部威脅用例。IBM QRadar Incident Forensics提供法醫(yī)調查支持。Watson的IBM QRadar Advisor為已識別的威脅提供自動化根本原因研究。該供應商還提供IBM Security App Exchange,其中IBM QRadar客戶可以下載由IBM或第三方開發(fā)的內容,以擴展IBM QRadar的覆蓋范圍或價值主張。

包括對網絡數(shù)據(jù)監(jiān)控的強大支持,以及大量應用程序流簽名來解析流數(shù)據(jù)。

如何部署QRadar:

IBM QRadar SIEM可作為硬件虛擬設備和軟件包提供,具體取決于客戶的事件速度(范圍內數(shù)據(jù)源的EPS數(shù)量)。它也可以作為IBM托管的SaaS SIEM從云中獲取。

QRadar的定價如何運作:

IBM QRadar安全情報平臺中其他組件的定價取決于其各自的指標(例如,IBM QRadar Network Insights的流數(shù)或IBM QRadar Vulnerability Manager范圍內的資產數(shù))。QRadar Network Insights僅適用于數(shù)據(jù)中心的硬件設備格式。

接受建議:

IBM QRadar與其他IBM組件最佳地協(xié)同工作。

用戶體驗可能落后于一些較新的競爭對手,IBM QRadar中的選項卡和模塊之間的外觀和感覺不一致。據(jù)說IBM正在努力改進這一點。

平臺中的風險評分在違規(guī)情況下顯示為數(shù)量級,并且可能需要安全流程中的成熟度來實現(xiàn)此操作。提供風險評分,無需定制。

分析師指出,IBM在整合和部署以及服務/支持方面的得分低于其他SIEM領導者,包括Splunk。SIEM的參考客戶為IBM提供低于平均水平的服務和支持。IBM已經表示,它最近增加了服務和支持的人員配備水平。

Splunk安全產品組合

Splunk帶來了什么:Splunk不僅在所有IT業(yè)務中擁有更多彩色名稱之一,其SIEM系統(tǒng)得到高度評價和歡迎。尋求可以跨SIEM和其他IT用例共享架構和供應商管理的SIEM解決方案的組織以及那些尋求可擴展解決方案的組織,從基本日志管理到高級分析和響應,應該考慮使用Splunk。

其安全運營套件包括Splunk Enterprise和三個解決方案:Splunk Enterprise Security(ES),Splunk用戶行為分析(UBA)和Splunk Phantom。Splunk Enterprise為IT操作和一些安全用例中的各種用途提供事件和數(shù)據(jù)收集,搜索和可視化。高級ES解決方案提供大多數(shù)特定于安全監(jiān)視的功能,包括特定于安全性的查詢,可視化和儀表板,以及一些案例管理,工作流和事件響應功能。

Splunk的安全產品組合連續(xù)六年被Gartner Research評為領先技術 - 這不是一項微不足道的成就。該平臺可幫助客戶優(yōu)化其安全神經中心,并解決各種安全監(jiān)控和威脅檢測用例??蛻魧plunk Enterprise Security和Splunk用戶行為分析一起用作分析驅動的SIEM,以構建其安全運營中心,以檢測,調查和響應威脅。Splunk Phantom是領先的安全編排,自動化和響應(SOAR)解決方案,可幫助客戶調查并加速他們對事件的響應。

尋求SIEM解決方案的組織可以跨SIEM和其他IT用例共享架構和供應商管理,以及尋求具有從基本日志管理到高級分析和響應的全方位選項的可擴展解決方案,應該考慮Splunk。

考慮Splunk的主要原因:

Splunk的Security Operations Suite集中運行,具有直觀的用戶界面。該平臺由Splunk Enterprise和三個解決方案組成:Splunk Enterprise Security(ES),Splunk用戶行為分析(UBA)和Splunk Phantom。Splunk Enterprise為IT操作和一些安全用例中的各種用途提供事件和數(shù)據(jù)收集,搜索和可視化。

高級ES解決方案提供大多數(shù)特定于安全監(jiān)視的功能,包括特定于安全性的查詢,可視化和儀表板,以及一些案例管理,工作流和事件響應功能。UBA增加了機器學習(ML)驅動的高級分析。Phantom提供SOAR功能。Splunkbase提供了其他安全用例應用程序。

Splunk在過去12個月中最重要的增強功能是通過Splunk ES中的Investigation Workbench UI,ES和UBA的快速內容更新以及速度改進支持指導性調查。

Splunk的產品為組織提供了多個安全監(jiān)控入口點,其路徑可以從基本事件收集開始,簡單的使用案例與Splunk Enterprise一起使用,通過ES實現(xiàn)更豐富的SIEM功能,使用UBA實現(xiàn)更高級的分析,使用Phantom實現(xiàn)SOAR功能。

該供應商在Splunk應用程序市場中擁有強大的技術集成生態(tài)系統(tǒng),盡管與Splunk競爭的其他技術的用戶(例如,在用戶分析空間中)應該驗證集成的深度。

PII保護功能強大; 支持模糊處理和PII屏蔽到字段級別,可以根據(jù)用戶身份,位置和其他特征應用。

如何部署Splunk:

Splunk提供多種部署選項:內部部署軟件,IaaS中的軟件以及混合模型。Splunk Cloud是一個使用AWS基礎架構的Splunk托管和操作SaaS解決方案。Splunk Enterprise和Splunk Cloud組件包括支持n層體系結構的通用轉發(fā)器,索引器和搜索頭。

Splunk的定價如何運作:

Splunk根據(jù)提取到平臺的數(shù)據(jù)量獲得許可,并提供DNS和NetFlow數(shù)據(jù)的定價折扣。ES還獲得了每天千兆字節(jié)的許可,而UBA則通過組織中的用戶帳戶數(shù)量獲得許可,并且所有這些都可以作為永久或期限許可提供,具有各種企業(yè)級定價和校正的選項。幻影的價格取決于用戶采取行動的事件數(shù)量。

接受建議:

另一個例子是“你通常得到你付出的代價”,Splunk通常比競爭對手貴。客戶和潛在買家傾向于表達對定價模型和總成本的擔憂。Phantom的加入和“神經中樞”概念的引入(單獨的SIEM,UBA和SOAR產品)導致三種定價模型具有不同的測量方法。

Splunk UBA此時是內部部署或客戶云計算解決方案,可能會與希望保留SaaS模型的Splunk Cloud客戶產生摩擦。

Splunk沒有本地代理支持FIM或EDR,盡管有許多第三方解決方案的集成。

Splunk對OT / IoT的支持在很大程度上取決于第三方應用程序的功能,而不是Splunk對OT協(xié)議的支持。


免責聲明:本文由用戶上傳,如有侵權請聯(lián)系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經網.復制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯(lián)網 版權歸原作者所有。