13 bedste SIEM-værktøjer til 2022: Leverandører og løsninger rangeret

SIEM står for Security Information and Event Management. SIEM-værktøjer giver realtidsanalyse af sikkerhedsadvarsler genereret af applikationer og netværkshardware.

Der er 50+ SIEM-løsninger på markedet, og denne guide hjælper dig med at identificere den rigtige for din organisation.

Her er vores liste over de bedste SIEM-værktøjer:

1. Datadog Security Monitoring REDAKTØRENS VALGEt cloud-native netværksovervågnings- og administrationssystem, der inkluderer sikkerhedsovervågning i realtid og logstyring. Leveres med over 500 leverandørintegrationer ud af kassen. Start med en 14-dages gratis prøveperiode.
2. SolarWinds Security Event Manager (GRATIS PRØVE)Et af de mest konkurrencedygtige SIEM-værktøjer på markedet med en bred vifte af logstyringsfunktioner.
3. LogPoint (ADGANG DEMO) Denne lokale SIEM-løsning er i stand til at orkestrere med andre sikkerhedsværktøjer på netværket for at indsamle aktivitetsdata og implementere trusselsafhjælpning. Tilgængelig som en fysisk enhed eller en softwarepakke til Linux.
4. Graylog (GRATIS PLAN)Denne logstyringspakke inkluderer en SIEM-tjenesteudvidelse, der er tilgængelig i gratis og betalte versioner og har en cloud-mulighed.
5. ManageEngine EventLog Analyzer (GRATIS PRØVE) Et SIEM-værktøj, der administrerer, beskytter og miner logfiler. Dette system installeres på Windows, Windows Server og Linux.
6. ManageEngine Log360 (GRATIS PRØVE) Denne SIEM-pakke indsamler logfiler fra lokale og cloud-systemer og bruger også en trusselsintelligens-feed. Kører på Windows Server.
7. Exabeam Fusion Denne cloud-platform tilbyder en sikkerhedsløsning, der kunne betragtes som en næste-gen SIEM eller en næste-gen XDR.
8. Splunk Enterprise SecurityDette værktøj til Windows og Linux er førende i verden, fordi det kombinerer netværksanalyse med logstyring sammen med et fremragende analyseværktøj.
9. OSSEC Open-source HIDS Security-systemet, der er gratis at bruge og fungerer som en Security Information Management-tjeneste.
10. LogRhythm NextGen SIEM-platformAvanceret AI-baseret teknologi understøtter denne trafik og log analyseværktøj til Windows og Linux.
11. AT&T Cybersecurity AlienVault Unified Security ManagementStor værdi SIEM, der kører på Mac OS såvel som Windows.
12. RSA NetWitnessEkstremt omfattende og skræddersyet til store organisationer, men lidt for meget til små og mellemstore virksomheder. Kører på Windows.
13. IBM QRadarMarkedsførende SIEM-værktøj, der kører på Windows-miljøer.
14. McAfee Enterprise Security ManagerPopulært SIEM-værktøj, der kører gennem dine Active Directory-poster for at bekræfte systemsikkerheden. Kører på Mac OS såvel som Windows.

Hvad er Security Information and Event Management (SIEM)?

SIEM er en paraplybetegnelse for sikkerhedssoftwarepakker, der spænder fra logstyringssystemer til sikkerhedslog/hændelsesstyring, sikkerhedsinformationsstyring og sikkerhedshændelseskorrelation. Oftere end ikke kombineres disse funktioner for en 360-graders udsigt.

Selvom et SIEM-system ikke er idiotsikkert, er det en af ​​nøgleindikatorerne for, at en organisation har en klart defineret cybersikkerhedspolitik. Ni ud af ti gange har cyberangreb ingen klare signaler på overfladen. For at opdage trusler er det mere effektivt at bruge logfilerne. SIEM'ernes overlegne logstyringsfunktioner har gjort dem til et centralt knudepunkt for netværksgennemsigtighed.

De fleste sikkerhedsprogrammer opererer i mikroskala, adresserer mindre trusler, men mangler det større billede af cybertrusler. An Intrusion Detection System (IDS) alene kan sjældent mere end at overvåge pakker og IP-adresser. Ligeledes viser dine servicelogfiler kun brugersessioner og konfigurationsændringer. SIEM sætter disse systemer og andre lignende sammen for at give et komplet overblik over enhver sikkerhedshændelse gennem realtidsovervågning og analyse af hændelseslogfiler.

Hvad er Security Information Management (SIM)?

SsikkerhedjeginformationManage (Ja) er indsamling, overvågning og analyse af sikkerhedsrelaterede data fra computerlogfiler. Også omtalt som logstyring .

Hvad er Security Event Management (SEM)?

SsikkerhedOGaftrækManage (HVILKEN) er praksis for netværkshændelsesstyring, herunder trusselsanalyse i realtid, visualisering og hændelsesrespons.

SIEM vs SIM vs SEM - hvad er forskellen?

SIEM, SIM og SEM bruges ofte i flæng, men der er nogle vigtige forskelle.

SIEM-funktioner

SIEMs grundlæggende egenskaber er som følger:

• Log Indsamling
• Normalisering – Indsamling af logfiler og normalisering af dem til et standardformat)
• Meddelelser og advarsler – Underrette brugeren, når sikkerhedstrusler identificeres
• Detektion af sikkerhedshændelser
• Workflow for trusselsreaktion – Workflow til håndtering af tidligere sikkerhedshændelser

SIEM registrerer data på tværs af en brugers interne netværk af værktøjer og identificerer potentielle problemer og angreb. Systemet opererer under en statistisk model til at analysere logindtastninger. SIEM distribuerer indsamlingsagenter og tilbagekalder data fra netværket, enheder, servere og firewalls.

Alle disse oplysninger sendes derefter til en administrationskonsol, hvor de kan analyseres for at imødegå nye trusler. Det er ikke ualmindeligt, at avancerede SIEM-systemer bruger automatiserede svar, entitetsadfærdsanalyse og sikkerhedsorkestrering. Dette sikrer, at sårbarheder mellem cybersikkerhedsværktøjer kan overvåges og adresseres af SIEM-teknologi.

Når den nødvendige information når styringskonsollen, ses den derefter af en dataanalytiker, som kan give feedback på den overordnede proces. Dette er vigtigt, fordi feedback hjælper med at uddanne SIEM-systemet i form af maskinlæring og øge dets fortrolighed med det omgivende miljø.

Når SIEM-softwaresystemet identificerer en trussel, kommunikerer det med andre sikkerhedssystemer på enheden for at stoppe den uønskede aktivitet. SIEM-systemernes kollaborative karakter gør dem til en populær løsning i virksomhedsskala. Men stigningen i gennemtrængende cybertrusler har fået mange små og mellemstore virksomheder til også at overveje fordelene ved et SIEM-system.

Denne ændring har været relativt nylig på grund af de betydelige omkostninger ved SIEM-vedtagelse. Ikke kun skal du betale et betydeligt beløb for selve systemet; du skal allokere en eller to medarbejdere til at føre tilsyn med det. Som følge heraf har mindre organisationer været mindre begejstrede for SIEM-adoption. Men det er begyndt at ændre sig, da SMV'er kan outsource til administrerede tjenesteudbydere.

Hvorfor er SIEM vigtigt?

SIEM er blevet en kernesikkerhedskomponent i moderne organisationer. Hovedårsagen er, at hver bruger eller tracker efterlader et virtuelt spor i et netværks logdata. SIEM-systemer er designet til at bruge disse logdata til at generere indsigt i tidligere angreb og hændelser. Et SIEM-system identificerer ikke kun, at et angreb er sket, men giver dig også mulighed for at se, hvordan og hvorfor det skete.

Efterhånden som organisationer opdaterer og opskalerer til stadig mere komplekse it-infrastrukturer, er SIEM blevet endnu mere kritisk i de senere år. I modsætning til hvad man tror, ​​er firewalls og antiviruspakker ikke nok til at beskytte et netværk i sin helhed. Zero-day angreb kan stadig trænge ind i et systems forsvar, selv med disse sikkerhedsforanstaltninger på plads.

SIEM løser dette problem ved at detektere angrebsaktivitet og vurdere det i forhold til tidligere adfærd på netværket. Et SIEM-system har evnen til at skelne mellem lovlig brug og et ondsindet angreb. Dette hjælper med at øge et systems hændelsesbeskyttelse og undgå skader på systemer og virtuel ejendom.

Brugen af ​​SIEM hjælper også virksomheder med at overholde en række af industriens regler for cyberstyring. Logstyring er branchestandardmetoden til revision af aktivitet på et it-netværk. SIEM-systemer giver den bedste måde at opfylde dette lovkrav på og giver gennemsigtighed over logfiler for at generere klar indsigt og forbedringer.

De væsentlige funktioner i SIEM Tools

Ikke alle SIEM-systemer er bygget ens. Som følge heraf er der ingen one-size-fits-all. En SIEM-løsning, der passer til én virksomhed, kan være ufuldstændig for en anden. I dette afsnit opdeler vi de kernefunktioner, der er nødvendige for et SIEM-system.

Log Data Management

Som nævnt ovenfor er logdatastyring en kernekomponent i ethvert SIEM-system i virksomhedsskala. Et SIEM-system skal samle logoplysninger fra en række forskellige datakilder, hver med deres egen måde at kategorisere og registrere data på. Når du leder efter et SIEM-system, vil du have et, der har evnen til at normalisere data effektivt (du har muligvis brug for et tredjepartsprogram, hvis dit SIEM-system ikke håndterer uensartede logdata godt).

Når dataene er normaliseret, kvantificeres de og sammenlignes med tidligere registrerede data. SIEM-systemet kan derefter genkende mønstre af ondsindet adfærd og rejse meddelelser for at advare brugeren om at handle. Disse data kan derefter søges af en analytiker, som kan definere nye kriterier for fremtidige alarmer. Dette er med til at udvikle systemets forsvar mod nye trusler.

Overholdelsesrapportering

Med hensyn til bekvemmelighed og lovgivningsmæssige krav er det meget vigtigt at have en SIEM med omfattende overholdelsesrapporteringsfunktioner. Generelt har de fleste SIEM-systemer en form for indbygget rapportgenereringssystem, der vil hjælpe dig med at overholde dine overholdelseskrav.

Kilden til kravene til de standarder, som du skal overholde, vil have stor indflydelse på, hvilket SIEM-system du installerer. Hvis dine sikkerhedsstandarder er dikteret af kundekontrakter, har du ikke meget spillerum til, hvilket SIEM-system du vælger - hvis det ikke understøtter den påkrævede standard, så er det ikke noget, du er vant til. Du kan blive bedt om at demonstrere overholdelse af PCI DSS , FISMA , FERPA, HIPAA , SOX , ISO, NCUA, GLBA, NERC CIP, GPG13, DISA STIG eller en af ​​mange andre industristandarder.

Trusselsefterretning

Hvis der opstår et brud eller et angreb, kan du generere en rapport, der detaljeret beskriver, hvordan det skete. Du kan derefter bruge disse data til at forfine interne processer og foretage justeringer af din netværksinfrastruktur for at sikre, at det ikke sker igen. Dette bruger SIEM-teknologi holder din netværksinfrastruktur udviklet til at håndtere nye trusler.

Finjusteringsadvarselsbetingelser

At have evnen til at sætte kriterierne for fremtidige sikkerhedsadvarsler er afgørende for at opretholde et effektivt SIEM-system gennem trusselsintelligens. Forfining af advarsler er den vigtigste måde, hvorpå du holder dit SIEM-system opdateret mod nye trusler. Innovative cyberangreb dukker op hver dag, så brug af et system, der er designet til at tilføje nye sikkerhedsadvarsler, forhindrer dig i at blive efterladt.

Du vil også sikre dig, at du finder en SIEM-softwareplatform, der kan begrænse antallet af sikkerhedsadvarsler, du modtager. Hvis du bliver oversvømmet med advarsler, vil dit team ikke være i stand til at løse sikkerhedsproblemer i tide. Uden finjusteringsadvarsler vil du blive udsat for at gennemgå masser af begivenheder fra firewalls til indtrængningslogfiler.

Dashboard

Et omfattende SIEM-system er ikke godt, hvis du har et dårligt dashboard bagved. At have et dashboard med en enkel brugergrænseflade gør det meget nemmere at identificere trusler. I praksis leder du efter et dashboard med visualisering. Dette giver straks din analytiker mulighed for at opdage, om der opstår uregelmæssigheder på skærmen. Ideelt set ønsker du et SIEM-system, der kan konfigureres til at vise specifikke hændelsesdata.

De bedste SIEM værktøjer

Før du vælger et SIEM-værktøj, er det vigtigt at evaluere dine mål. For eksempel, hvis du leder efter et SIEM-værktøj til at opfylde lovkrav, vil generering af rapporter være en af ​​dine vigtigste prioriteter.

På den anden side, hvis du vil bruge et SIEM-system til at forblive beskyttet mod nye angreb, har du brug for et med højfungerende normalisering og omfattende brugerdefinerede notifikationsfaciliteter. Nedenfor tager vi et kig på nogle af de bedste SIEM-værktøjer på markedet.

Vores metode til at vælge et SIEM-værktøj

Vi gennemgik SIEM-markedet og analyserede værktøjer ud fra følgende kriterier:

• Et system, der samler både log-beskeder og live trafikdata
• Et logfilstyringsmodul
• Dataanalyseværktøjer
• Evnen til at rapportere til databeskyttelsesstandarder
• Nem at installere med en brugervenlig grænseflade
• En prøveperiode til vurdering
• Den rette balance mellem funktionalitet og værdi for pengene

1. Datadog Sikkerhedsovervågning (GRATIS PRØVE)

Operativ system:Cloud baseret

Datahunder en skybaseret systemovervågningspakke der inkluderer sikkerhedsovervågning. Systemets sikkerhedsfunktioner er indeholdt i et specialiseret modul. Dette er et komplet SIEM-system, fordi det overvåger livebegivenheder, men samler dem som logfilposter, så det fungerer både på logoplysninger og på overvågningsdata . Tjenesten indsamler lokal information gennem en agent, som uploader hver post til Datadog-serveren. Sikkerhedsovervågningsmodulet analyserer derefter alle indgående meddelelser og arkiverer dem.

Nøglefunktioner:

• Detektion af sikkerhedshændelser i realtid
• Over 500 leverandørintegrationer
• Observer metrics, spor, logfiler og mere fra ét dashboard
• Solide præ-konfigurerede detektionsregler, der er klar

Sikkerhedshændelser udløses alarmer i konsollen til tjenesten. Konsollen giver også adgang til alle hændelsesregistre. Loggede meddelelser indekseres og opbevares i 15 måneder. De kan tilgås til analyse via Datadog-konsollen eller udtrækkes for at blive importeret til et andet analyseværktøj.

Offsite-behandlingsmulighederne reducerer behandlingskravene til din infrastruktur. Det gør det også meget nemt at overvåge fjernnetværk . Analysetjenesten har et foruddefineret sæt regler, der automatisk vil opdage kendte angrebsvektorer.

Puljen af ​​detektionsregler får opdateres automatisk af Datadog, når nye angrebsstrategier opdages. Det betyder, at systemadministratorerne ikke behøver at bekymre sig om at holde sikkerhedssoftware opdateret, fordi den proces sker automatisk på cloud-serveren. Det er også meget nemt for en systemadministrator at oprette tilpassede detektions- og afhjælpningsregler .

Fordele:

• Trusselsdetektion i realtid
• Fuld sikkerhedssynlighed med 500+ integrationer
• Begynd at opdage trusler med det samme med standardregler knyttet til MITER ATT&CK-rammeværket
• Datadog scorede 4,6/5 i Gartners undersøgelse af it-kunder
• 14 dages gratis prøveperiode

Ulemper:

• Rigdom af funktionalitet kan være lidt overvældende i starten

Datadog er tilgængelig på en 14-dages gratis prøveperiode .

REDAKTØRENS VALG

Datadog er vores bedste valg.Det tilbyder en menu af specialistmoduler, og alle kan implementeres individuelt eller som en suite. Du får større funktionalitet ved at kombinere moduler, som alle er i stand til at dele data om det overvågede system.

Få 14 dages gratis prøveperiode:datadoghq.com/product/security-monitoring/

DU:Cloud-native

2. SolarWinds Security Event Manager (GRATIS PRØVE)

Operativ system:Windows

Med hensyn til SIEM-værktøjer på begynderniveau,SolarWinds Security Event Manager(HVILKEN) er et af de mest konkurrencedygtige tilbud på markedet. SEM'en indeholder alle de kernefunktioner, du kan forvente af et SIEM-system, med omfattende logstyringsfunktioner og rapportering. SolarWinds' detaljerede hændelsesrespons i realtid gør det til et fantastisk værktøj for dem, der ønsker at udnytte Windows-hændelseslogfiler til aktivt at styre deres netværksinfrastruktur mod fremtidige trusler.

Nøglefunktioner:

• Automatisk logsøgning efter brud
• Live anomali detektion
• Historisk analyse
• Systemadvarsler
• 30 dages gratis prøveperiode

En af de bedste ting ved SEM er dens detaljerede og intuitive dashboarddesign. Visualiseringsværktøjernes enkelhed gør det nemt for brugeren at identificere eventuelle uregelmæssigheder. Som en velkomstbonus tilbyder virksomheden 24/7 support, så du kan kontakte dem for at få råd, hvis du løber ind i en fejl.

Fordele:

• Enterprise fokuseret SIEM med en bred vifte af integrationer
• Enkel logfiltrering, ingen grund til at lære et brugerdefineret forespørgselssprog
• Dusinvis af skabeloner giver administratorer mulighed for at begynde at bruge SEM med lidt opsætning eller tilpasning
• Historisk analyseværktøj hjælper med at finde unormal adfærd og afvigelser på netværket

Ulemper:

• SEM Er et avanceret SIEM-produkt bygget til professionelle, der kræver tid til fuldt ud at lære platformen

Et flot interface med masser af grafisk datavisualisering fronter et kraftfuldt og omfattende SIEM-værktøj, der kører på Windows Server. Hændelsesresponsen i realtid gør det nemt aktivt at administrere din infrastruktur, og det detaljerede og intuitive dashboard gør dette til et af de nemmeste at bruge på markedet.

Få 30 dages gratis prøveperiode:solarwinds.com/security-event-manager/

DU:Windows

3. LogPoint (ADGANG GRATIS DEMO)

LogPointer et lokalt SIEM-system, der bruger afsløring af anomalier for sin trusselsjagtstrategi.

Tjenesten bruger maskinlæringsprocesser til at registrere hver brugers og enheds regelmæssige aktivitet. Dette etablerer en baseline, hvorfra man kan identificere usædvanlig adfærd, som udløser fokuseret aktivitetssporing. Denne teknik kaldes bruger- og enhedsadfærdsanalyse (UEBA). Det AI-baseret maskinlæringsteknik reducerer behandlingskravene, fordi den begrænser intense undersøgelser til netop de konti eller enheder, der har rejst mistanke.

Nøglefunktioner:

• Effektiv forarbejdning
• UEBA for aktivitetsbaselining
• Registrering af kontoovertagelse
• Trusselsefterretningsfeed

LogPoint-systemet er informeret af en database med typiske angrebsstrategier, som kaldes Indikatorer for kompromis (IOC'er). Denne liste over tricks er ret statisk, men hver gang LogPoint identificerer en ny strategi, opdaterer virksomheden alle sine SIEM-systemforekomster, der kører på klientwebsteder rundt om i verden.

Triage-strategien i LogPoint gør det ikke kun lavt på CPU-brug, men det gør også systemet hurtigt. Det trusselsdetektion indikatorer gemmes centralt, så efterfølgende indikatorer, der identificeres, vil blive korreleret, uanset hvor de forekommer på systemet.

Fordele:

• Regler for registrering af trusler
• Orkestrering med andre værktøjer
• Opdagelse af insidertrusler
• GDPR-rapportering

Ulemper:

• Ingen gratis prøveperiode

LogPoint er i stand til at kommunikere med tredjepartsværktøjer for at udtrække aktivitetsdata, og det indsamler disse logmeddelelsesoutput fra mere end 25.000 forskellige kilder. Integrationen med andre værktøjer kaldes sikkerhedsorkestrering, automatisering og respons (SOAR), og det kan også sende afhjælpningsinstruktioner tilbage til de andre systemer. Der er en høj grad af automatisering i systemet, hvilket inkluderer muligheden for at generere billetter til feed til dit Service Desk-system.

Du kan få LogPoint som et netværksapparat eller som en softwarepakke til installation på Linux . Der er ingen gratis prøveperiode, men du kananmod om en demoat vurdere pakken

LogPoint Access GRATIS DEMO

4. Graylog (GRATIS PLAN)

Grayloger et log management system, der kan tilpasses til brug som et SIEM-værktøj . Pakken inkluderer en dataindsamler, der opfanger logmeddelelser, der stammer fra operativsystemer. Det er også i stand til at fange logdata fra en liste over applikationer, som pakken har integrationer med. De to hovedformater, som Graylog vil fange, er Syslog og Windows-begivenheder .

Nøglefunktioner:

• Dataindsamler
• Applikationsintegrationer
• Syslog og Windows-begivenheder
• Konsolidator

Dataindsamleren sender logmeddelelser til en logserver, hvor de konsolideres til et fælles format. Graylog-systemet beregner loggennemløbsstatistikker og viser levende hale poster i konsollen, når de ankommer. Logserveren arkiverer derefter meddelelser og administrerer en meningsfuld mappestruktur. Enhver af logfilerne kan kaldes tilbage til datafremviseren til analyse.

Graylog-systemet indeholder forudskrevne skabeloner til SIEM funktioner . Disse kan tilpasses, og det er også muligt at implementere playbooks til automatiske svar på opdagelse af en trussel.

Fordele:

• Tilpasbare SIEM-funktioner
• Orkestrering med adgangsrettighedsadministratorer og firewalls
• Ad-hoc forespørgselsværktøj
• Rapportformater

Ulemper:

• Vil ikke installere på Windows

Der er fire versioner af Graylog. Den originale udgave hedder Graylog Open , som er en gratis open source-pakke med fællesskabsstøtte. Denne pakke installeres på Linux eller over en VM. De to hovedversioner er Graylog Enterprise og Graylog Cloud. Forskellen mellem disse er det Graylog Cloud er en SaaS-pakke, og den inkluderer lagerplads til logfiler. Enterprise-systemet kører over en VM. Der er også en gratis version af Enterprise, kaldet Graylog Small Business . Atgratis planer begrænset til behandling2 GB data om dagen. Du kan få en demo af den fulde Graylog Cloud-udgave.

Graylog Small Business Download - GRATIS op til 2 GB/dag

5. ManageEngine EventLog Analyzer (GRATIS PRØVE)

Operativ system: Windows og Linux

DetManageEngine EventLog Analyzerer et SIEM-værktøj fordi det fokuserer på at administrere logfiler og hente oplysninger om sikkerhed og ydeevne fra dem.

Værktøjet er i stand til at samle Windows Event log og Syslog-meddelelser. Det vil derefter organisere disse meddelelser i filer, rotere til nye filer hvor det er relevant og lagring af disse filer i meningsfuldt navngivne mapper for nem adgang. EventLog Analyzer beskytter derefter disse filer mod manipulation.

Nøglefunktioner:

• Samler Windows-hændelseslogfiler og Syslog-meddelelser
• Live indtrængen detektion
• Log analyse
• Alarmmekanisme

ManageEngine-systemet er dog mere end en logserver. Det har analytiske funktioner der vil informere dig om uautoriseret adgang til virksomhedens ressourcer. Værktøjet vil også vurdere ydeevnen af ​​nøgleapplikationer og tjenester, såsom webservere, databaser, DHCP-servere og printkøer.

Revisions- og rapporteringsmodulerne i EventLog Analyzer er meget nyttige til at demonstrere overholdelse af databeskyttelsesstandarder. Rapporteringsmaskinen indeholder formater til overholdelse af PCI DSS , FISMA , GLBA , SOX , HIPAA , og ISO 27001 .

Fordele:

• Multi-platform, tilgængelig til både Linux og Windows
• Understøtter compliance audit for alle større standarder, HIPAA, PCI, FISMA, ect
• Intelligent alarmering hjælper med at reducere falske positiver og gør det nemt at prioritere specifikke begivenheder eller områder af netværket
• Indeholder en gratis version til test

Ulemper:

• Er et meget funktionstæt produkt, vil nye brugere, der aldrig har brugt en SIEM, skulle investere tid med værktøjet

Der er fire udgaver af ManageEngine EventLog Analyzer og den første af disse er Gratis . Den gratis version er begrænset til fem logkilder og har et begrænset sæt funktioner. Den billigste betalte pakke er Arbejdsstation udgave, som kan samle logfiler fra op til 100 noder. For et større netværk har du brug for Præmie udgave, og der er en Distribueret udgave, der vil indsamle logfiler fra flere websteder. Alle versioner kører videre Windows Server og Linux og du kan få en af ​​de betalte udgaver på en30 dages gratis prøveperiode.

ManageEngine EventLog Analyzer Download 30-dages GRATIS prøveversion

6. ManageEngine Log360 (GRATIS PRØVE)

ManageEngine Log360 er en on-premises-pakke, der inkluderer agenter til forskellige operativsystemer og cloud-platforme. Agenterne indsamler logmeddelelser og sender dem til den centrale serverenhed. Agenter integreres med mere end 700 applikationer, så de kan udtrække information fra dem. De behandler også Windows Event- og Syslog-meddelelser.

Logserveren konsoliderer logmeddelelser og viser dem i en datafremviser i dashboardet, når de ankommer. Værktøjet præsenterer også metadata om logmeddelelser, såsom ankomsthastigheden.

Nøglefunktioner:

• Logindsamling fra site og cloud-systemer
• Trusselsefterretningsfeed
• Advarsler sendt til servicedesk-pakker

Denne SIEM modtager et trusselsintelligensfeed, som forbedrer hastigheden af ​​trusselsdetektion. Hvis der opdages mistænkelig aktivitet, udløser Log360 en alarm. Alarmer kan sendes gennem servicedesk-systemer, som f.eks Administrer Engine Service Desk Plus , Ja , og Kayoko . Pakken inkluderer også et overholdelsesrapporteringsmodul til PCI DSS, GDPR, FISMA, HIPAA, SOX og GLBA.

Fordele:

• Filintegritetsovervågning
• Fletter Windows-begivenheder og Syslog-meddelelser til et fælles format
• Manuelle dataanalyseværktøjer
• Automatiseret trusselsdetektion
• Logstyring og overholdelsesrapportering

Ulemper:

• Ikke tilgængelig til Linux

ManageEngine Log360 kører videre Windows Server og den er tilgængelig for en 30-dages gratis prøveperiode.

ManageEngine Log360 Download 30-dages GRATIS prøveversion

7. Exabeam Fusion

Operativ system : Skybaseret

Exabeam Fusion er en abonnementstjeneste. Som en SaaS-pakke er systemet hostet og inkluderer processorkraften fra en cloud-server og lagerplads til logdata. Systemet har brug for kildedata til sine trusselsjagtrutiner, og dette leveres af agenter, der skal installeres på de netværk, der skal beskyttes af Exabeam.

Nøglefunktioner:

• Tilpasningsbar baselining gennem UEBA
• SOAR til detektion og respons

Agenterne på stedet indsamler logmeddelelser og uploader dem til Exabeam-serveren. De interagerer også med sikkerhedspakker på stedet, såsom firewalls og antivirussystemer for at udtrække flere begivenhedsoplysninger. Dette er sikkerhedsorkestrering, automatisering og respons (SOAR), og samarbejdet med tredjepartsværktøjer virker også til at lukke opdagede trusler ned.

Exabeam-konsollen indeholder også et analysemodul. Dette gør det muligt for teknikere at spore hændelser og undersøge grænseoverskridende anomalier, der kan betragtes som trusler eller blot kan være legitime, sjældne handlinger. Analysesystemet præsenterer en tidslinje for et angreb, der viser, hvilke begivenhedskæder der fører til beslutningen om at behandle disse aktiviteter som en trussel.

Fordele:

• En sikker, off-site pakke, der ikke er sårbar over for angreb
• Automatiske opdateringer af trusselsintelligens
• Automatiserede svar for at lukke angreb

Ulemper:

• Ingen gratis prøveperiode
• Ingen prisliste

Exabeam er et imponerende sikkerhedsprodukt med en liste over højprofilerede brugere, der omfatter banker, forsyningsselskaber og teknologivirksomheder. Et problem med dette system er, at Exabeam ikke offentliggør sin prisliste, og det giver ikke en gratis prøveperiode. Det kan du dog få en demo at udforske SIEM-systemet.

8. Splunk Enterprise Security

Operativ system:Windows og Linux

Splunker en af ​​de mest populære SIEM-styringsløsninger i verden. Det, der adskiller det fra konkurrenterne, er, at det har inkorporeret analyser i hjertet af sit SIEM. Netværks- og maskindata kan overvåges i realtid, mens systemet afsøger efter potentielle sårbarheder og kan endda pege på unormal adfærd. Enterprise Securitys Notables-funktion viser advarsler, der kan forfines af brugeren.

Nøglefunktioner:

• Netværksovervågning i realtid
• Asset Investigator
• Historisk analyse

Med hensyn til at reagere på sikkerhedstrusler er brugergrænsefladen utrolig enkel. Når brugeren udfører en hændelsesgennemgang, kan brugeren starte med en grundlæggende oversigt, før han klikker sig videre til dybdegående annoteringer om den tidligere hændelse. Ligeledes gør Asset Investigator et fint stykke arbejde med at markere ondsindede handlinger og forhindre fremtidig skade.

Fordele:

• Kan bruge adfærdsanalyse til at opdage trusler, der ikke opdages gennem logfiler
• Fremragende brugergrænseflade, meget visuel med nemme tilpasningsmuligheder
• Nem prioritering af arrangementer
• Enterprise fokuseret
• Tilgængelig til Linux og Windows

Ulemper:

• Prisen er ikke gennemsigtig, kræver tilbud fra leverandøren
• Mere egnet til store virksomheder
• Bruger Search Processing Language (SPL) til forespørgsler, hvilket gør indlæringskurven stejlere

Du skal kontakte leverandøren for at få et tilbud, så det er klart, at dette er en skalerbar platform designet med større organisationer i tankerne. Der er også en SaaS-version af denne Splunk-tjeneste tilgængelig, kaldet Splunk Security Cloud. Dette er tilgængeligt for en 15 dages gratis prøveperiode . Prøveversionen af ​​systemet er begrænset til at behandle 5 GB data om dagen.

9. OSSEC

Operativ system: Windows, Linux, Unix og Mac

OSSEC er det førende værtsbaserede system til forebyggelse af indtrængen (HIDS). Ikke alene er OSSEC en meget god HIDS, men den er gratis at bruge. HIDS-metoder kan udskiftes med de tjenester, der udføres af SIM-systemer, så OSSEC passer også ind i definitionen af ​​et SIEM-værktøj.

Nøglefunktioner:

• Logfilhåndtering
• Mulighed for supportpakke
• Gratis at bruge

Softwaren fokuserer på de tilgængelige oplysninger i logfiler for at lede efter beviser på indtrængen. Ud over at gennemlæse logfiler, overvåger softwaren filkontrolsummerne for at detektere manipulation. Hackere ved, at logfiler kan afsløre deres tilstedeværelse i et system og spore deres aktiviteter, så mange avanceret indtrængen malware vil ændre logfiler for at fjerne beviserne.

Som et gratis stykke software er der ingen grund til ikke at installere OSSEC mange steder på netværket. Værktøjet undersøger kun logfilerne på værten. Programmørerne af softwaren ved, at forskellige operativsystemer har forskellige logningssystemer. Så OSSEC vil undersøge hændelseslogfiler og forsøg på adgang til registreringsdatabasen på Windows- og Syslog-poster og forsøg på rootadgang på Linux-, Unix- og Mac OS-enheder. Højere funktioner i softwaren gør det muligt for den at kommunikere på tværs af et netværk og konsolidere logposterne, der er identificeret på ét sted, i en central SIM-logbutik.

Selvom OSSEC er gratis at bruge, ejes det af en kommerciel virksomhed - Trend Micro. Frontenden til systemet kan downloades som et separat program, og det er ikke perfekt. De fleste OSSEC-brugere fører deres data igennem til Graylog eller Kibana som en frontend og som en analysemotor.

Fordele:

• Kan bruges på en lang række operativsystemer, Linux, Windows, Unix og Mac
• Kan fungere som en kombination af SIEM og HIDS
• Interface er let at tilpasse og meget visuelt
• Fællesskabsbyggede skabeloner giver administratorer mulighed for at komme hurtigt i gang

Ulemper:

• Kræver sekundære værktøjer som Graylog og Kibana til yderligere analyse
• Open source-versionen mangler betalt support

OSSEC's adfærd er dikteret af 'politikker', som er aktivitetssignaturer, man skal kigge efter i logfilerne. Disse politikker er tilgængelige gratis fra brugerfællesskabets forum. Virksomheder, der foretrækker kun at bruge fuldt understøttet software, kan abonnere på en supportpakke fra Trend Micro.

Se også: De bedste HIDS

10. LogRhythm NextGen SIEM-platform

Operativ system : Windows, apparat eller sky

LogRhythmhar længe etableret sig som pionerer inden for SIEM-løsningssektoren. Fra adfærdsanalyse til log-korrelation og kunstig intelligens til maskinlæring, denne platform har det hele.

Nøglefunktioner:

• AI-baseret
• Logfilhåndtering
• Guidet analyse

Systemet er kompatibelt med et stort udvalg af enheder og logtyper. Med hensyn til konfiguration af dine indstillinger administreres det meste af aktiviteten gennem Deployment Manager. For eksempel kan du bruge Windows Host Wizard til at gennemgå Windows-logfiler.

Dette gør det meget nemmere at indsnævre, hvad der sker på dit netværk. I første omgang har brugergrænsefladen en indlæringskurve, men den omfattende instruktionsmanual hjælper. Prikken over i'et er, at brugsanvisningen faktisk indeholder hyperlinks til forskellige funktioner for at hjælpe dig på din rejse.

Fordele:

• Bruger enkle guider til at konfigurere logindsamling og andre sikkerhedsopgaver, hvilket gør det til et mere begyndervenligt værktøj
• Slank grænseflade, meget tilpasselig og visuelt tiltalende
• Udnytter kunstig intelligens og maskinlæring til adfærdsanalyse

Ulemper:

• Vil gerne se en prøvemulighed
• Support på tværs af platforme ville være en velkommen funktion

Prisen på denne platform gør den til et godt valg for mellemstore organisationer, der ønsker at implementere nye sikkerhedsforanstaltninger.

11. AT&T Cybersecurity AlienVault Unified Security Management

Operativ system : Cloud-baseret

Som en af ​​de mere konkurrencedygtige SIEM-løsninger på denne liste,AlienVault(nu en del afAT&T Cybersecurity)er et meget attraktivt tilbud. I sin kerne er dette et traditionelt SIEM-produkt med indbygget indtrængningsdetektion, adfærdsovervågning og sårbarhedsvurdering. AlienVault har den indbyggede analyse, du ville forvente fra en skalerbar platform.

Nøglefunktioner:

• Indbrudsdetektion
• Adfærdsovervågning

Et af de mere unikke aspekter af AlienVaults platform er Open Threat Exchange (OTX). OTX er en webportal, der giver brugerne mulighed for at uploade 'indicators of compromise' (IOC) for at hjælpe andre brugere med at markere trusler. Dette er en stor ressource med hensyn til generel viden og trusler.

Fordele:

• Kan scanne logfiler samt levere sårbarhedsvurderingsrapporter baseret på enhed og applikationer scannet på netværket
• Brugerdrevet portal giver kunderne mulighed for at dele deres trusselsdata for at forbedre systemet
• Bruger kunstig intelligens til at hjælpe administratorer med at jage trusler

Ulemper:

• Vil gerne se en længere prøveperiode
• Logs kan være sværere at søge og læse
• Vil gerne se flere integrationsmuligheder i andre sikkerhedssystemer

Den lave pris på dette SIEM-system gør det ideelt for små og mellemstore virksomheder, der ønsker at opskalere deres sikkerhedsinfrastruktur. AT&T Cybersikkerhed tilbud en gratis prøveperiode .

12. IBM QRadar SIEM

Operativ system : Linux, virtuel enhed og cloud-baseret

I løbet af de sidste par år eller deromkring har IBMs svar på SIEM etableret sig som et af de bedste produkter på markedet. Platformen tilbyder en række logstyrings-, analyse-, dataindsamlings- og indtrængningsdetektionsfunktioner for at hjælpe med at holde dine kritiske systemer oppe og køre. Al logstyring går gennem ét værktøj:QRadar Log Manager. Når det kommer til analyse, er QRadar en næsten komplet løsning.

Nøglefunktioner:

• Logstyring
• Indbrudsdetektion
• Analytiske funktioner

Systemet har risikomodelleringsanalyse, der kan simulere potentielle angreb. Dette kan bruges til at overvåge en række fysiske og virtuelle miljøer på dit netværk. IBM QRadar er et af de mest komplette tilbud på denne liste og er et godt valg, hvis du leder efter en alsidig SIEM-løsning.

Fordele:

• Bruger kunstig intelligens til at give risikovurderinger
• Kan bedømme indvirkningen på et netværk baseret på simulerede angreb
• Har en enkel, men effektiv grænseflade

Ulemper:

• Mangler integrationer til andre SOAR- og SIEM-platforme
• Kunne bruge bedre flowanalyseværktøjer

Dette industristandard SIEM-systems mangfoldige funktionalitet har gjort det til industristandarden for mange større organisationer.

Softwaren til QRadar kan installeres på Red Hat Enterprise Linux eller det kan køres som en virtuel enhed over VMWare , Hyper-V , eller KVM virtualiseringer. Systemet er også tilgængeligt som en cloud platform. IBM har skabt en gratis Fællesskabsudgave af QRadar, der også fungerer som en prøveversion af systemet.

13. McAfee Enterprise Security Manager

Operativ system : Windows. VMWare ESX/ESXi og Cloud

McAfee Enterprise Security Managerbetragtes som en af ​​de bedste SIEM-platforme med hensyn til analyse. Brugeren kan indsamle en række logfiler på tværs af en bred vifte af enheder gennem Active Directory-systemet.

Nøglefunktioner:

• Log konsolidering
• Live overvågning

Med hensyn til normalisering kompilerer McAfees korrelationsmotor let forskellige datakilder. Dette gør det meget nemmere at opdage, når en sikkerhedshændelse indtræffer.

Med hensyn til support har brugere adgang til både McAfee Enterprise Technical Support og McAfee Business Technical Support. Brugeren kan vælge at få besøgt sit websted af en Support Account Manager to gange om året, hvis de ønsker det. McAfees platform er rettet mod mellemstore virksomheder, der leder efter en komplet løsning til håndtering af sikkerhedshændelser.

Fordele:

• Bruger en kraftfuld korrelationsmotor til at hjælpe med at finde og eliminere trusler hurtigere
• Integreres godt i Active Directory-miljøer
• Bygget med store netværk i tankerne

Ulemper:

• Interfacet er rodet og ofte overvældende
• Skal kontakte salgsafdelingen for et tilbud
• Kunne bruge flere integrationsmuligheder
• Er ret ressourcekrævende

Softwaren til Enterprise Security Manager installeres på Windows og Windows Server, eller du kan køre den som en virtuel enhed over VMWare ESX/ESXi virtualiseringer. VM-versionen af ​​systemet er tilgængelig for en gratis prøveversion , som varer indtil udgangen af ​​den efterfølgende måned – altså mere end 30 dage. ESM er også tilgængelig som en SaaS-pakke og det hedder ESM Cloud .

Implementering af SIEM

Uanset hvilket SIEM-værktøj du vælger at indarbejde i din virksomhed, er det vigtigt at indføre en SIEM-løsning langsomt. Der er ingen hurtig måde at implementere et SIEM-system på. Den bedste metode til at integrere en SIEM-platform i dit it-miljø er at bringe den gradvist ind. Det betyder, at man skal vedtage enhver løsning stykke for stykke. Du bør tilstræbe at have både realtidsovervågning og loganalysefunktioner.

Hvis du gør det, får du mulighed for at gøre status over dit it-miljø og finjustere adoptionsprocessen. At implementere et SIEM-system gradvist vil hjælpe dig med at opdage, om du efterlader dig selv åben for ondsindede angreb. Det vigtigste er at sikre, at du har et klart overblik over de mål, du ønsker at opfylde, når du bruger et SIEM-system.

Igennem denne guide har du set en række forskellige SIEM-udbydere, der tilbyder vidt forskellige slutprodukter. Hvis du vil finde den tjeneste, der passer til dig, skal du bruge tid på at undersøge de tilgængelige muligheder og finde en, der passer til dine organisatoriske mål. I de indledende faser vil du gerne forberede dig på det værst tænkelige scenarie.

Forberedelse til det værst tænkelige scenarie betyder, at du er rustet til at håndtere selv de hårdeste angreb. I sidste ende er det bedre at være overbeskyttet mod cyberangreb end at være underbeskyttet. Når du har valgt et værktøj, du vil bruge, skal du forpligte dig til at opdatere. Et SIEM-system er kun så godt som dets opdateringer. Hvis du undlader at holde dine logfiler opdaterede og forfine dine meddelelser, vil du være uforberedt, når en ny trussel rammer.

Hvis din organisation ikke er klar til at påtage sig udfordringerne ved at implementere et SIEM-værktøj, eller hvis dit budget strengt forbyder det, kan du outsource dine SIEM-behov til en co-administreret SIEM eller en administreret SIEM-udbyder. Tjek vores opslag på bedst administrerede SIEM-løsninger .

De bedste SIEM-leverandører

1. Datadog Security Monitoring REDAKTØRENS VALG
2. SolarWinds (GRATIS PRØVE)
3. LogPoint (ADGANG DEMO)
4. Graylog (GRATIS PLAN)
5. ManageEngine EventLog Analyzer (GRATIS PRØVE)
6. ManageEngine Log360 (GRATIS PRØVE)
7. Splunk
8. OSSEC
9. LogRhythm
10. AT&T Cybersikkerhed
11. RSA
12. IBM
13. McAfee

SYV ofte stillede spørgsmål

Hvad er SIEM-processen?

'SIEM-processen' refererer til en virksomheds strategi for datasikkerhed. SIEM-værktøjer er et vigtigt element i den strategi, men måden, hvorpå værktøjerne integreres i arbejdspraksis, er dikteret af krav til overholdelse af datasikkerhedsstandarder.

Hvad er SIEM as a Service?

Cloud-baseret software inkluderer den server, der kører softwaren og også lagerplads til logdata og kaldes 'Software as a Service' (SaaS). SIEM as a Service (SIEMAaS) er en SIEM-form for SaaS, og højere planer vil omfatte levering af ekspertdataanalytikere samt it-ressourcer.

Hvad er en sikkerhedshændelse?

En sikkerhedshændelse er en uventet brug af en systemressource, der indikerer uautoriseret brug af data eller infrastruktur. Den enkelte hændelse kan virke harmløs, men kan bidrage til et sikkerhedsbrud, når det kombineres med andre handlinger.

Hvad er log-parsing i SIEM?

Log-parsing omstrukturerer eksisterende data til brug i sikkerhedsanalyse i SIEM. Nøgledata vil blive udtrukket fra almindelige logfiler, der er hentet fra forskellige registreringssystemer, og forener begivenhedsinformationen, der stammer fra flere kilder.

Hvor meget koster SIEM?

SIEM-systemer kommer i mange konfigurationer og spænder fra open source-implementeringer til startende eller mellemstore virksomheder til flerbrugerlicenspakker, der er mere velegnede til større virksomheder.