7 Bedste Incident Response Tools
Hændelsesreaktioner processen med at identificere et cyberangreb, blokere det og komme sig efter den skade, det forårsagede. Hændelsesberedskabsværktøjer omfatter supportsoftware og -tjenester, der hjælper med at identificere et cyberangreb og også de værktøjer, der automatisk blokerer angreb.
Hændelsesreaktionen behøver ikke at være automatiseret. Men software, der uafhængigt udløser handlinger ved detektering af en indtrængen eller malware-aktivitet, bliver mere tilgængelig. Denne type hændelsesresponssystem kaldes SØV , som står for ' Sikkerhedsorkestrering, automatisering og respons ”.
SOAR-systemer forbinder angrebsidentifikatorer gennem analyseværktøjer og videre til forsvarssystemer, der lukker ned for angrebet og vender tilbage og skader, der opstod. SOAR er næsten synonymt med et Intrusion Prevention System (IPS). SOAR integrerer dog en anden førende standard for angrebsdetektering: SIEM .
Her er vores liste over de syv bedste redskaber til at reagere på hændelser:
- SolarWinds Security Event Manager REDAKTØRENS VALG Et SIEM-værktøj, der inkluderer analyse- og handlingstriggere, der gør det til et hændelsesreaktionsværktøj. Start en 30-dages gratis prøveperiode.
- CrowdStrike Falcon Insight (GRATIS PRØVE) En hybridløsning, der understøtter angrebsdetektion ved at koordinere hændelsesdata indsamlet fra hvert endepunkt på et netværk. Start en 15-dages gratis prøveperiode.
- ManageEngine Log360 (GRATIS PRØVE) Denne SIEM genererer meddelelser til servicedesk-systemer for hændelsesrespons. Kører på Windows Server. Start en 30-dages gratis prøveperiode.
- AT&T Cybersecurity USM Anywhere En komplet cloud-baseret SOAR-tjeneste bygget op omkring AlienVault OSSIM.
- Splunk Phantom Et angrebsefterforskningssystem og svarautomatiseringsværktøj. Dette system tilsluttes som en tilføjelse til standard Splunk-værktøjet eller ethvert andet SIEM-system.
- jeg vil gå En SaaS-sikkerhedsplatform, der inkluderer en SIEM, analyse og automatiseret hændelsesrespons.
- LogRhythm SIEM En næste generations SIEM-platform, der inkluderer bruger- og enhedsadfærdsanalyse, trusselsjagt og en SOAR.
SIEM står for ' Sikkerhedsinformation og Event Management ”. Det udgør detektionsdelen af SOAR og er afhængig af to strategier: håndtering af sikkerhedsoplysninger , som undersøger logfiler for tegn på ondsindet aktivitet, og håndtering af sikkerhedshændelser , som undersøger trafikmønstre på et netværk og andre live-indikatorer.
Da SIEM er en stor del af SOAR, er leverandørerne af SIEM-værktøjer på forkant med SOAR og udvider deres ekspertise inden for områderne trusselsanalyse og hændelsesrespons. De andre store spillere inden for hændelsesrespons er producenterne af antivirussystemer. Disse virksomheder har længe været i gang med at opsøge malware og fjerne den. For at give et komplet værktøj til hændelsesrespons skal de blot tilføje forsvar mod hackeraktivitet og indtrængen til deres våbenlager.
De bedste værktøjer til reaktion på hændelser
Selvom industrier ofte væltes af disruptive og innovative nytilkomne, er det generelt etablerede og erfarne virksomheder, der tilpasser deres ekspertise til nye teknikker. Inden for incidensrespons har softwarehuse, der har en stærk baggrund inden for cybersikkerhedssystemer tilbyde de bedste værktøjer til at reagere på hændelser.
Vores metode til at vælge et hændelsesresponssystem
Vi gennemgik markedet for hændelsesberedskabsværktøjer og analyserede mulighederne ud fra følgende kriterier:
- Links fra detektion til opløsningssystemer
- Koordinering med adgangsrettighedsadministratorer og firewalls
- Handlingsregler, der kan tilpasses
- Logning af handlinger
- Live status rapporter
- En gratis prøveperiode eller en demo-mulighed for en risikofri vurderingsmulighed
- Værdi for pengene, som leveres af et automatiseret system til en rimelig pris
Ved at bruge dette sæt kriterier ledte vi efter en række incidensresponstjenester, der vil integreres med de sikkerhedstjenester, der allerede opererer på dit netværk.
1. SolarWinds Security Event Manager (GRATIS PRØVE)
SolarWinds udmærker sig ved systemovervågning, og det nærmede sig udviklingen af værktøj til hændelsesberedskab fra det udgangspunkt. På trods af at blive kaldt Security Event Manager (SEM), dette værktøj er en Security Information Manager ( Ja ). Den søger gennem logfiler for at identificere mulig ondsindet aktivitet. Dette placerer værktøjet i SIEM-kategorien af sikkerhedsløsninger, og SolarWinds har rykket grænserne for dette format for at nå ind i hændelsesvarsområdet.
Nøglefunktioner:
- On-premises til Windows Server
- Trusselsprioritering
- Regler, der kan tilpasses
- Integrerer med Active Directory
- Opretter forbindelse til firewalls
SolarWinds inkluderer et modul med SEM, der kaldes Aktiv respons . Dette er den sidste fase i at gøre SEM til en komplet hændelsesdetektions- og responstjeneste. SIM-kortet registrerer uregelmæssigheder og forfiner trusselsprioriteterne og leverer en triage-tjeneste gennem en alarmeringsmekanisme . En advarsel kan efterlades for blot at informere en operatør, som derefter er i stand til at beslutte om afhjælpende handlinger. Men hvis Active Response er slået til, kan meget af det manuelle arbejde med at reagere på hændelser blive slettet.
Aktiv respons er et regelgrundlag for udløsning af hændelser og handlinger – Trigger A starter Action X. At lade et systemværktøj implementere respons kan betragtes som en fare. Disse handlingsregler kan dog tilpasses, og operatøren kan beslutte, hvor langt SEM'en skal gå i at køre svarsystemet. De typer handlinger, som SEM'en kan starte, omfatter lancering af en sporing, suspendering af en brugerkonto i Active Directory eller opdatering af en firewalltabel for at blokere adgang fra en specifik IP-adresse. Alle disse handlinger kan vendes, fordi de alle er dokumenterede.
Fordele:
- Tilbyder både hændelsesberedskabsværktøjer samt automatiseret afhjælpning og forebyggelse
- Enterprise fokuseret SIEM med en bred vifte af integrationer
- Enkel logfiltrering, ingen grund til at lære et brugerdefineret forespørgselssprog
- Dusinvis af skabeloner giver administratorer mulighed for at begynde at bruge SEM med lidt opsætning eller tilpasning
- Det historiske analyseværktøj hjælper med at finde anomal adfærd og afvigere i netværket
Ulemper:
- SEM Er et avanceret SIEM-produkt bygget til professionelle, der kræver tid til fuldt ud at lære platformen
Softwaren til SolarWinds Security Event Manager installeres på Windows Server . Du kan sætte det igennem med en 30-dages gratis prøveperiode.
REDAKTØRENS VALG
MedSolarWinds Security Event Managerdu vil aldrig gå glip af en sikkerhedsbegivenhed nogen steder på dit netværk. SEM er også fantastisk til at reagere på trusler i realtid med Active Response-modulet, hvor du kan indstille regler for at udløse handlinger. Et must have værktøj.
Start 30-dages gratis prøveperiode:solarwinds.com/security-event-manager/use-cases/incident-response-software
DU:Windows Server
to. CrowdStrike Falcon Insight (GRATIS PRØVE)
CrowdStrike Falcon Insightser en hændelsesberedskabstjeneste . Dette er et menneskebaseret konsulentfirma, der kan indgås kontrakt om at rydde op efter et sikkerhedsbrud. Kunder vil sandsynligvis først kontakte denne service, når de finder ud af, at de allerede har haft en sikkerhedshændelse.
Nøglefunktioner:
- Hybrid system
- Koordinerer hændelser på slutpunkter
- Vil køre på offline slutpunkter
- Teknisk responsteam
De værktøjer, som teknikerne fra CrowdStrikes Incident Response-team bruger, markedsføres også til virksomheder som en del af en suite af sikkerhedssoftware, kaldet CrowdStrike Falcon .
CrowdStrike Falcon er en sikkerhedsplatform. Den indeholder mange elementer, som hver især dækker forskellige aspekter af infrastruktur eller service til sikkerhedsforskning. Modulerne i Falcon platformen arbejder alle sammen for at beskytte et system fuldstændigt.
Falcon Insight er en Endpoint Detection and Response Service (EDR). Dette er et udviklet antivirussystem. Den erstatter dog ikke en AV, fordi den i Falcon-pakken indeholder en net-gen AV, kaldet Falcon Prevent . Falcon Insights specialiserede rolle er at koordinere forsvarsstrategier mellem mange endepunkter på et netværk.
Falcon-platformen kombinerer on-premises software og et cloud-baseret element, der skaber et dobbelt fokus for sikkerhedstjenester. Det installerede element er det, der passer til et antivirussystem. Fordelen ved at have softwaren installeret på hvert endepunkt er, at den kan fortsætte med at virke, selvom internetforbindelsen går ned, eller hvis der er et problem med netværket. Cloud-delen af tjenesten samler data fra alle endepunkter på et websted for at skabe et overblik over netværksaktivitet. Falcon Insight bygger bro mellem disse to elementer.
Endpoint-softwaren giver øjeblikkelig beskyttelse, mens den centrale datakonsolidator fungerer som et SIEM-værktøj, der analyserer hændelsesregistreringer, der er uploadet af slutpunktsagenterne for at lede efter adfærdsmønstre det ville indikere en indtrængen eller en anden form for systemdækkende angreb. Den centrale Falcon-tjeneste opdaterer også alle endepunkter med nye detektionsstrategier, så koordineringen af mange instanser skaber et sikkerhedsnetværk.
Falcon Insight arbejder sammen med andre elementer i platformen for at skabe en SØV . Falcon Insights prioriterede opgave i dette teamprojekt er at identificere og prioritere potentielle trusler. Dette er kendt som ' triage ” i hændelsesreaktion. Det reducerer afbødningstiden ved at identificere det mest sandsynlige punkt i aktiviteten, der kan spredes yderligere, hvilket gør det muligt for forsvarsstrategier at finde sted på stedet for et nyt angreb.
CrowdStrike markedsfører Falcon-platformen i pakker. Hver pakke inkluderer Falcon Prevent, næste generations antivirussystem. De fire planer, der tilbydes af CrowdStirke er Falcon Pro , Falcon Enterprise , Falcon Premium , og Falcon komplet . Hver eneste af disse udgaver med undtagelse af Falcon Pro inkluderer Falcon Insight.
Samlet set har hvert element i pakken af tjenester i platformen sine egne specialiserede metoder, og kombinationen af disse skaber en samlet sikkerhedstjeneste, der er stærkere end summen af dens dele.
Fordele:
- Stoler ikke kun på logfiler til trusselsdetektion, bruger processcanning til at finde trusler med det samme
- Fungerer som et hybrid SIEM/SOAR produkt
- Kan spore og advare unormal adfærd over tid, forbedres, jo længere den overvåger netværket
- Kan installeres enten on-premise eller direkte i en cloud-baseret arkitektur
- Letvægtsagenter bremser ikke servere eller slutbrugerenheder
Ulemper:
- Ville have gavn af en længere prøveperiode
Falcon-planerne opkræves ved abonnement med en sats pr. slutpunkt pr. måned. Du kan få15 dages gratis prøveperiodeaf Falcon-systemet, selvom dette kun omfatter Falcon Prevent.
Falcon Insight er endnu et fantastisk værktøj til håndtering af hændelser, fordi det demonstrerer, hvordan ét stykke cybersikkerhedssoftware – en AV – kan forbedres til et værktøj til håndtering af hændelser ved at tilføje systemdækkende koordinering. Falcon Insight kombinerer de traditionelle aktiviteter fra en AV og en firewall, der beskytter en enhed med datascanningsfunktionerne i et SIEM-værktøj. Dette er en fantasifuld nyfortolkning af allerede eksisterende teknologier, der giver et hærdet forsvarssystem gennem en platformstrategi.
Få en 15-dages gratis prøveperiode : go.crowdstrike.com/try-falcon-prevent.html
DU:Windows, macOS, Linux
3. ManageEngine Log360 (GRATIS PRØVE)
ManageEngine Log360 er et lokalt SIEM, der indsamler data fra flere systemer og søger gennem en pulje af logmeddelelser efter indikatorer for et angreb. Værktøjet implementerer ikke svar direkte, men sender meddelelser gennem servicedesk-systemer for at få systemteknikernes øjeblikkelige opmærksomhed.
Nøglefunktioner:
- Søger på websteder og cloud-platforme
- Konsoliderer logformater
- Trusselsdetektion
- Logstyring
Log360-pakken indeholder et bibliotek af agenter – et til hvert operativsystem og også til cloud-platforme, som f.eks. AWS og Azure . Du installerer agenterne på hvert endpoint og cloud-konto. Den indsamler derefter alle logmeddelelser fra operativsystemet og softwarepakkerne. Værktøjet får Windows-begivenheder fra Windows-systemer og Syslog beskeder fra Linux. Agenterne kan interagere med mere end 700 softwarepakker for at udtrække driftsdata.
Agenterne videresender logbeskeder til en central log server . Dette konverterer alle indkommende beskeder til et standardformat. Med logfilerne standardiserede, kan de samles sammen i Log360 datafremviser og også i logfiler. Logserveren administrerer loglagring, roterer filer og gemmer dem i en meningsfuld mappestruktur. Dette er vigtigt, fordi logfiler skal være tilgængelige for overholdelsesrevision, hvis du skal certificeres til en databeskyttelsesstandard. Log360-pakken inkluderer compliance-rapportering til HIPAA, PCI DSS, FISMA, SOX, GDPR og GLBA.
Dashboardet viser live statistik på logmeddelelsesgennemstrømning og resultaterne af trusselsdetektionsscanningerne. Konsollen har en datafremviser, der viser logmeddelelser, når de ankommer. Det er også muligt at indlæse en logfil. Datafremviseren inkluderer værktøjer til analyse .
ManageEngine giver en trusselsefterretninger feed, der samler oplysninger om hackerangreb og indtrængen, der finder sted over hele verden. At få information om de aktuelle angrebsstrategier giver trusselsjagtfunktionen i Log360 en bedre idé om, hvad man skal kigge efter. Systemet håndterer en stor mængde data, der konstant tilføjes, og at få anvisninger på, hvad man skal kigge efter, fremskynder først trusselsdetektionsprocessen.
Når trusselsjægeren i Log360 opdager mistænkelig aktivitet, genererer den en advarsel. Du kan se advarsler i dashboardet, men det er også muligt at få dem ført til dit servicedesk-system. Værktøjet kan arbejde med Administrer Engine Service Desk Plus , Ja , og Kayoko . Den prioritet, der gives til Log360 i dit servicedesk-system, er op til den politik, du opsætter i teamstyringsværktøjet. Du kan beslutte at dirigere Log360-advarsler til specifikke teammedlemmer og også tilføje en prioritetsvurdering.
Fordele:
- Konsoliderer logfiler fra mange kilder
- Indsamler Syslog, Windows-hændelser og applikationslogfiler
- Ruter notifikation gennem servicedesk-systemer
- Overholdelsesrapportering
Ulemper:
- Ingen serversoftware til Linux
Serveren til ManageEngine Log360 installeres på Windows Server . Du kan vurdere pakken med en30 dages gratis prøveperiode.
ManageEngine Log360 Start 30-dages GRATIS prøveperiode
Fire. AT&T Cybersecurity USM Anywhere
Indtil for nylig blev denne systemsikkerhedspakke kaldt AlienVault Unified Security Management . AlienVault blev opkøbt af AT&T i 2018, og de nye ejere har trukket det gamle AlienVault-mærke på pension.
Nøglefunktioner:
- Cloud-baseret
- Baseret på OSSIM
- Proaktiv systemhærdning
USM hvor som helst er den betalte version af den meget roste gratis open source AlienVault OSSIM – AT&T efterlod AlienVault-navnet på det produkt. OSSIM-standarder for ' open source styring af sikkerhedsinformation ”. Det er et meget brugt SIEM-værktøj, og det udgør kernen i USM Anywhere.
OSSIM-sektionen af USM Anywhere er en dataindsamler og trusselsanalysator. Tjenesten søger gennem logfiler og scanner netværkstrafik og leder efter tegn på ondsindet aktivitet. Med USM Anywhere forbedres systemovervågningsfunktionerne i OSSIM med hardware og software opdagelse af aktiver plus lagerstyring starter hele processen. SIEM-systemet konsoliderer og arkiverer logmeddelelser og giver adgang til disse poster gennem en fremviser, der inkluderer sorterings- og søgefaciliteter.
USM Anywhere tilføjer sårbarhedsvurdering algoritmer til dets netværksscanningsrutiner. Asset management og sårbarhedsscanningerne gør det muligt for systemadministratorer at blive opmærksomme på konfigurationssvagheder, der kan håndteres for at hærde systemet.
Systemovervågning styres fra AT&T-servere i skyen. Tjenesten er i stand til at beskytte alle aktiver i en abonnentvirksomhed, inklusive flere lokationer og også AWS og Azure cloud-servere.
USM Anywhere er et SOAR, fordi det inkluderer dataindsamling fra tredjepartskilder, trusselsintelligens-feeds, trusselsprioritering og automatiserede svar , som omfatter interaktion med andre tjenester, såsom firewalls. Trusselsefterretningsfeedet kommer fra Open Threat Exchange (OTX) , en AlienVault-administreret, crowd-forsynet trusselsinformationsplatform.
Fordele:
- Tilgængelig til Mac og Windows
- Kan scanne logfiler samt levere sårbarhedsvurderingsrapporter baseret på enheder og applikationer scannet på netværket
- Brugerdrevet portal giver kunderne mulighed for at dele deres trusselsdata for at forbedre systemet
- Bruger kunstig intelligens til at hjælpe administratorer med at jage trusler
Ulemper:
- Vil gerne se en længere prøveperiode
- Vil gerne se flere integrationsmuligheder i andre sikkerhedsværktøjer
Dette er en cloud-tjeneste, der inkluderer lagerplads og en rapporteringsmotor samt cybersikkerhedstjenester. Rapportskabeloner, der er formateret til datasikkerhedsstandarder, er inkluderet i pakken. AT&T Cybersecurity USM Anywhere er en abonnementstjeneste med tre udgaver: Vigtig , Standard , og Præmie . Den største forskel mellem disse planer ligger i dataopbevaringsperioden. Essentials-planen inkluderer ikke automatiserede hændelsesresponsmekanismer eller interaktion med tredjepartsværktøjer til orkestrering.
5. Splunk Phantom
Splunk Phantom er et SOAR-system og det er en del af en bredere platform, der kaldes Splunk Security Operations Suite. Automatiseret hændelsesrespons er inkluderet i Splunk Phantom-funktionaliteten.
Nøglefunktioner:
- On-premises eller cloud
- Respons playbooks
- Guidet årsagsanalyse
Centralt i Splunk Phantom-systemet er et koncept om ' spillebøger ”. Disse er automatiserede arbejdsgange, der skaber proceskæder til at opdage uregelmæssigheder ved at implementere et udvalg af tilgængelige værktøjer. Arbejdsgange omfatter betinget forgrening, der kan føre til lanceringen af afbødende handlinger. Disse arbejdsgange kan lanceres manuelt eller indstilles til at køre kontinuerligt på en sløjfe, på udkig efter problemer.
Brugeren kan samle tilpassede spillebøger gennem en grafisk redigeringsskærm. Designeren ligner en flowchart-editor. Hver boks i spillebogen repræsenterer en proces. Flow kan forgrene og skabe separate tråde, der løber samtidigt.
Hændelsessvar behøver ikke at blive lanceret automatisk. Phantom-systemet inkluderer et samarbejdsmodul, der understøtter hændelseshåndtering. Dette note maker-system hjælper teams med at udforske outputtet af en undersøgende spillebog.
Fantommissionsvejledning er en intuitiv guide til analyse. Dette system giver forslag til mulige forklaringer på opdagelser, hvilket giver anledning til yderligere analyse for at bekræfte eller udelukke et muligt scenarie.
Fordele:
- Tilbyder årsagsanalyse for hurtigere udbedring
- Ledere kan designe trusselshåndbøger – fantastisk til at bringe nye teammedlemmer op i hastighed
- Understøtter Windows, Linux, macOS og en række andre miljøer
- Understøtter en gratis version - fantastisk til test
Ulemper:
- Bedre egnet til virksomhedsnetværk
Phantom overvåger ikke automatisk systemer. Du har brug for hovedsystemet Splunk som datakilde. Men hvis du ikke vil betale for to værktøjer, kan du få den gratis version af Splunk. Der er ikke en gratis version af Splunk Phantom. Splunk og Splunk Phantom kan installeres på Windows , Linux , macOS , FreeBSD , Solaris 11 , og AIX .
6. jeg vil gå
Exabeam er en sikkerhedsoperationspakke der er baseret på en SIEM. Tjenesten er hostet, og så får du også processorkraft og lagerplads på Exabeam-serverne. SIEM kræver, at dataindsamlingsagenter installeres på stedet. Disse indsamler logmeddelelser og uploader dem til Exabeam-serveren. Disse kildedata samles og forenes i Exabeam Data Lake , som er kilden til både SIEM og analytiske funktioner i Exabeam-konsollen.
Nøglefunktioner:
- Cloud-baseret
- Implementerer SOAR
- Respons playbooks
Sikkerhedspakken indeholder en Bruger- og enhedsadfærdsanalyse (UEBA) modul, kaldet Exabeam Advanced Analytics , som er en AI-baseret maskinlæringsproces, der undersøger typisk aktivitet for at sætte et benchmark og derefter identificere afvigelser fra denne norm.
Hændelsessvar kan startes manuelt gennem konsollen eller indstilles til at køre automatisk gennem Exabeams SØV mekanisme. Det Jeg vil forklare Incident Responderen er baseret på ' spillebøger ”. Disse er arbejdsgange, der definerer handlinger, der skal lanceres ved detektering af en bestemt hændelse. Playbooks kan også oprette handlingsvejledning til arbejdsgange med manuelle svar. Fuldførelse af hvert trin i en playbook logges, giver et revisionsspor til compliance-rapportering.
Exabeam tilbyder god værdi for pengene og fremragende lukkede kredsløbstjenester ved at kombinere UEBA- og SOAR-systemerne sammen med SIEM - mange konkurrerende produkter opkræver separat for hvert modul.
Da det er en onlinetjeneste, behøver du ikke bekymre dig om at vedligeholde software. Konsollen tilgås via enhver standardbrowser. Exabeam tilbyder også en arkiveringstjeneste der kan tilføjes til en Exabeam-pakke for at opbevare logfilarkiver.
Fordele:
- Understøtter hændelsesreaktionsarbejdsgange, playbooks og automatisering
- Tilbyder nyttige forespørgselsfunktioner til filtrering af store datasæt
- Kan bruges til compliance-rapportering og interne revisioner for HIPAA, PCI DSS mv.
- Tilbyder dataarkivering som en service – fantastisk til virksomheder, der ønsker at registrere deres trusselsdata
Ulemper:
- Grænsefladen kunne bruge forbedringer - enklere layout, bedre grafer osv.
Exabeam SaaS er tilgængelig på en gratis prøveperiode .
7. LogRhythm SIEM
LogRhythm NextGen SIEM-platform leverer moduler af tjenester til at opdage og lukke sikkerhedstrusler. Systemet inkluderer live-overvågningsværktøjer, der giver en ekstra service til brugerne, samtidig med at det indsamler information, der skal føres ind i SIEM. Disse er NetMon til netværksovervågning og SysMon til slutpunktsovervågning. SysMon samler også log-beskeder for at uploade til LogRhythm-serveren. Den modtagende logserver kaldes AnalytiX .
Nøglefunktioner:
- Cloud-baseret
- Bruger SOAR
- Udbedringsarbejdsgange
AnalytiX tilbyder en datafremviser med rudimentære analyseværktøjer såsom søgning og sortering. De sidste to moduler i LogRhythm SIEM er DetectX , som er et trusselsjagtsystem, og SvarX hvilket er et SOAR. De automatiske hændelsesresponstjenester er indeholdt i RespondX. Abonnenter på LogRhythm har mulighed for at opgradere DetectX ved at tilføje UserXDR , som er et bruger- og enhedsadfærdsanalysesystem til at forfine afsløring af anomalier.
RespondX, som en SOAR, er i stand til at interagere med tredjepartsværktøjer, såsom firewalls for at implementere lockdown-rutiner. SOAR's centrale hændelsesresponsmodul kaldes SmartResponse Automation . Dette tilbyder en arbejdsgangmulighed, der udløses automatisk i henhold til forudindstillede eller tilpassede regler.
Fordele:
- Bruger enkle guider til at konfigurere logindsamling og andre sikkerhedsopgaver, hvilket gør det til et mere begyndervenligt værktøjSlank grænseflade, meget tilpasselig og visuelt tiltalende Udnytter kunstig intelligens og maskinlæring til adfærdsanalyse.
Ulemper:
- Vil gerne se en prøvemulighed
LogRhythm fås som en cloud-baseret tjeneste . Det kan også erhverves til installation på stedet med software, der kører på Windows Server . LogRhythm kan også leveres som et netværksapparat .
Valg af et værktøj til reaktion på hændelser
En god kilde til hændelsesresponsværktøjer kommer fra SIEM-leverandører, som har udvidet deres kerneprodukt til at skabe SOAR-platforme. Denne anden hovedkategori af leverandører af hændelsesvarsværktøjer ligger hos cybersikkerhedsservicevirksomheder, der tilbyder tjenester til afbødning af angreb . Teknikerne i disse virksomheder udviklede interne værktøjer til deres job, og mange af dem bliver også frigivet til det bredere erhvervsliv. Ved at undersøge alle kilder til sikkerhedssoftware har vi identificeret nogle meget gode muligheder.
Ofte stillede spørgsmål om hændelsesberedskab
Hvad er det mest udbredte værktøj i cloud-hændelsesvar?
Markedet for hændelsesresponsværktøjer er domineret af SIEM-systemer. I de senere år har udbyderne af SIEM-værktøjer flyttet deres software til skyen. Disse værktøjer kan overvåge sikkerheden på flere websteder og cloud-ressourcer fra én konto.
Hvad er de 7 trin i hændelsesrespons?
De syv trin i hændelsesrespons er:
- Forberede
- Identificere
- Indeholde
- Udrydde
- Gendan
- Lære
- Test og gentag