7 Bedste Next-Gen SIEM – Opdateret 2022
En SIEM udforsker logdata for at identificere mistænkelig aktivitet. Den næste generation af SIEM henter eksterne data og udnytter erfaringerne fra andre it-systemer til at opdage nye angrebsvektorer, så snart de begynder at rulle ud.
Næste generations SIEM'er bruge maskinlæring og andre AI-baserede teknikker til at reducere registreringstiden for ondsindet aktivitet. Dette kaldes Bruger- og enhedsadfærdsanalyse (UEBA) . Dette overvåger al aktivitet på et system for at finde ud af, hvad der betragtes som 'normal adfærd.' Afvigelser fra denne standard giver alarm. Strategien bruger en triage-metode for at fokusere på potentielle trusler for dybere sporing. Indbyggede forbedringer i detektionsmetoder fremskynder den første identifikation af et nul-dages angreb . Disse trusselsoplysninger uploades øjeblikkeligt til trusselsintelligenspuljen og downloades af andre Next Generation SIEM'er rundt om i verden til øjeblikkelig handling.
Her er vores liste over de syv bedste Next-Gen SIEM'er:
- ManageEngine Log360 REDAKTØRENS VALG Denne lokale pakke integrerer et trusselsintelligens-feed, som tilføjer næste generations muligheder til dette effektive trusselsdetekteringssystem. Kører på Windows Server. Start en 30-dages gratis prøveperiode.
- Logpoint (FÅ GRATIS DEMO) En skybaseret målt log, der behandler SIEM med UEBA og et CTI-feed. Få adgang til den gratis demo.
- jeg vil gå Dette forbedrede sit SIEM-system med internt udviklet UEBA og overtagelsen af SkyFormation, som indsamler tredjeparts sikkerhedshændelsesdata fra cloud-platforme og opretter en CTI ud fra det. Dette er en cloud-baseret tjeneste.
- LogRhythm Et førende SIEM siden 2003, dette system er flyttet til skyen og gået i Next-Gen. Du kan også få denne SIEM som en appliance eller som software til installation på Windows Server.
- Rapid7 Insight Platform Denne cloud-platform, der er klassificeret som en XDR, har alle elementerne i en næste generations SIEM.
- FireEye Helix En sikkerhedsoperationsplatform, der inkluderer SIEM, UEBA og trusselsintelligens. Dette er et cloud-baseret system.
- LogSentinel En af de mindre aktører på markedet, denne cloud-baserede næste-gen SIEM er stærk på overholdelse af standarder.
Efter allerede at have opdaget realiteterne ved at udvikle og markedsføre en Next-Gen SIEM, burde det ikke komme som nogen overraskelse, at de bedste Next-Gen SIEM'er alle er produkter fra disse store cybersikkerhedsmærker. Cloud-baserede SIEM'er tilbyder den hurtigste distribution af trusselsintelligens og inkluderer også den servertid, der er nødvendig for at behandle store mængder logdata.
De bedste næste generations SIEM'er
At få en god Next-Gen SIEM er en tidskrævende opgave. Nøgleelementerne, der gør en SIEM til 'Next-Gen', er dens trusselsefterretningspulje og UEBA. Men hvordan ved du, om hver implementering er god? Ethvert softwarefirma kan sammensætte et centralt meddelelsessystem, men dets magt er helt afhængig af tjenestens tilgængelighed og størrelsen af dets bidragende fællesskab.
Selvom der er leverandørneutrale åbne standarder for cybertrussel efterretning (CTI) , ikke-proprietære databaser har svært ved at komme i gang. De store SIEM-udbydere sørger for at levere en CTI til deres NextGen-værktøjer og mere eller mindre hårdkode CTI-adgangen ind i deres service. Så CTI-udvælgelsen er lidt tribal, og det betyder, at alt i alt har de store spillere i cybersikkerhedsindustrien fordelen.
Hvis du ikke har tid til at undersøge det hele Næste generation af SIEM sektor, gå efter de store navne, der udviklede sig fra bundsolide SIEM'er. De veletablerede udbydere af sikkerhedssoftware har investeret meget store budgetter i udviklingen af UEBA. Selvom store fremskridt inden for teknologi ofte er drevet af innovative aktører på markedet, krævede UEBA en masse penge for at udvikle sig, og kun de store, etablerede mærker havde råd til det udlæg.
1. ManageEngine Log360 (GRATIS PRØVE)
ManageEngine Log360 er et lokalt system, der udfører logindsamling og -konsolidering, trusselsjagt og trusselsmeddelelse. Systemet får et trusselsintelligens-feed fra ManageEngine, hvilket gør det til en næste generations SIEM.
Trusselsefterretningsfeedet er indsamlet fra hele verden. Enhver ny hackerkampagne, der dukker op, bliver rapporteret til den centrale pulje og ManageEngine-pakker, der i en række indikatorer og sender den videre til alle de forekomster af Log360, der kører i verden.
Trusselsinformationsfeedet skaber prioriterede søgninger. SIEM-systemer skal konstant søge gennem mængder af data, og den opgave tager tid, før alle data er undersøgt, kommer nye poster ind – de bliver sikkerhedskopieret. Fokus på sandsynlige angrebsmønstre fremskynder trusselsjagten. Dette forbedrer dets chancer for at identificere en ubuden gæst, før der sker skade eller datatyveri.
De poster, som SIEM'en sorterer igennem, er samlet i agentprogrammer, der kommer i pakken med Log360. Der er agenter, der kører på alle de store operativsystemer. Der er også agenter til cloud-platforme, herunder AWS, Azure og Salesforce.
Logposterne inkluderer operativsystemlogfiler i Windows Events- og Syslog-formaterne og også data, der er udtrukket fra tredjepartssoftware. Agenterne kan kommunikere med mere end 700 applikationer.
Agenterne sender indsamlede log-beskeder til serveren, hvor de bliver konverteret til et neutralt format, så de kan søges og gemmes sammen. Lagring af logdata til revision er et krav i mange datasikkerhedsstandarder, og Log360-pakken leverer overholdelsesrapportering for HIPAA, PCI DSS, FISMA, SOX, GDPR og GLBA.
ManageEngine Log360 kører videre Windows Server og den er tilgængelig for en30 dages gratis prøveperiode.
ManageEngine Log360 Start 30-dages GRATIS prøveperiode
to. Logpoint (ADGANG GRATIS DEMO)
Logpunkt er ikke så udbredt som de bedste produkter på vores liste. Men hvis den månedlige abonnementspris på Rapid 7 InsightIDR var langt ude af din liga, eller hvis du er en lille eller mellemstor virksomhed med relativt lave logdatamængder, så den målte sats af LogPoint burde interessere dig.
Logpoint erkender, at mange virksomheder med lav databehandlingsvolumen ikke vil være interesseret i en generel abonnementssats for deres Næste generation af SIEM . Når det er sagt, er dette SIEM-system implementeret af nogle meget store virksomheder, herunder Boeing og Airbus.
Logpoint-prisstrukturen beregnes på en kombination af gennemløbsindikatorer. Disse er antallet af hændelser per sekund (EPS) og mængden af data behandlet per dag i gigabyte. Virksomheden offentliggør ikke sine priser for disse faktorer. I stedet skal du kontakte dem for et tilbud.
Logpoint SIEM er integreret UEBA og dets trusselsjagt er informeret af trusselsefterretninger indsamlet fra hændelser oplevet af alle dets kunder. Mere end de andre tjenester på denne liste letter LogPoint manuelle undersøgelser samt implementering af automatiserede detektionsprocesser.
Der er indbygget automatiserede svar i LogPoint-systemet, og tjenesten inkluderer ' integrationer ”, der gør det muligt at interface med andre sikkerhedsprodukter både til dataudveksling og trusselsbegrænsende handlinger. Du kan booke en demo for at se, hvordan Logpoint fungerer.
Logpoint Tilmeld dig en GRATIS demo
3. jeg vil gå
jeg vil gå har produceret SIEM-systemer siden 2013. Det betyder, at virksomheden ikke er en af de længst etablerede virksomheder i sektoren. Den historie var dog lang nok til at give den en betydelig kundebase, da NextGen-bevægelsen opstod. Virksomhedens specialisering i SIEM gav det også et fokus, der gjorde det muligt for det at koncentrere investeringerne om nye Næste Gen faciliteter.
Exabeam-systemet er en cloud platform – ligesom alle de andre produkter på vores liste – hvilket gør leveringen meget enklere end lokale systemer. Kunder behøver ikke at bekymre sig om at holde softwaren opdateret, fordi opgraderinger sker automatisk bag kulisserne, udført af Exabeam-teknikere.
Selvom dette strengt taget ikke er en administreret tjeneste, er kombinationen af driftspersonale, der vedligeholder softwaren og de servere, den kører på, ekspertsupportrådgivning on-demand og automatiserede processer i softwaren betyder, at du ikke behøver nogen ekspertise på stedet for at få et fuldt operationelt SIEM-system, der beskytter dit netværk.
Da det er et cloud-baseret system, er den største ydeevneflaskehals, du vil opleve med Exabeam din internetforbindelse . Alle logmeddelelser, der genereres af dit system, skal uploades til Exabeam-serveren. For store operationer kan det betyde en stor datagennemstrømning . Imidlertid er de fleste forretningsaktiviteter i disse dage stærkt afhængige af internetforbindelse, så at holde din internetforbindelse live og med tilstrækkelig kapacitet er sandsynligvis allerede en serviceprioritet for dit it-team.
Datauploads administreres af et agentprogram på stedet, og transmissioner er det beskyttet af kryptering . På serveren modtager, konsoliderer og indekserer Exabeam-systemet alle logmeddelelser, hvilket gør gennemstrømningsstatistik tilgængelig i systemets dashboard og kompilering af live trusseldata, efterhånden som logmeddelelser passerer gennem den skybaserede logserver.
Exabeam bruger UEBA , så dens vurdering af basisaktivitet er forskellig for hver kunde. Det er også i stand til at samle sin egen database med advarselsskilte ved at samle erfaringerne fra alle sine kunder. I 2019 købte Exabeam et firma ved navn SkyFormation . Denne virksomhed modtager trusselsdetektionserfaring fra 30 tredjeparts cloud-platforme og bruger den til at skabe en CTI database . SkyFormation-trusselsintelligensen supplerer trusselsindikatorerne, der er indsamlet af Exabeam. Denne store pulje af CTI gør trusselsjagt Exabeams funktioner er meget kraftfulde.
Den hurtige processorkraft og store kapacitet på Exabeam-serverne gør det meget nemt at søge gennem store mængder logdata. Tjenesten udsendes triage i sin trusselsjagtstrategi, sammenligne indikatorer for angreb med dens etablerede aktivitetsbaseline for den pågældende kunde, som konstant justeres vha. maskinorienteret . Når et sandsynligt udgangspunkt for en trussel er identificeret, er denne hændelse det vises i dashboardet og den fokuserede aktivitetssporing af Exabeam starter og leder efter den næste kendte handling af et typisk angreb, der starter med den opdagede hændelse. Hvis det efterfølgende trin detekteres, vises det også i trusselsidentifikation skærm i dashboardet, og sandsynligheden for et igangværende angreb øges.
Denne trinvise feedback fra Exabeam adresserer et af de store problemer ved SIEM-strategien, som er, at rapportering om relaterede hændelser, der notificeres via log-beskeder, er et forsinket responssystem. Det virker på historiske data . Trusselsjagtfunktionen i Exabeam bringer denne detektionsmetode til nær-live .
Exabeam tilbyder også Sikkerhedsorkestrering, automatisering og respons (SOAR) , som den kalder Incident Responder . Dette vil interagere med Active Directory, e-mail-servere og firewalls for at fryse konti, der ser ud til at have været det kompromitteret eller blokere adgang til kommunikation fra mistænkelige IP-adresser.
Exabeam har alle elementerne i en vellykket SIEM, men dens efterretningsfeed for undtagelsestrusler skubber det op til nummer et efter vores vurdering.
jeg vil gå kombinerer oplevelsen fra Exabeam SIEM-tjenesten med det innovative SkyFormation-trusselsefterretningsfeed. Exabeam-brugere drager fordel af bidragene til trusselsdetektering fra andre Exabeam-kunder plus bidragene fra brugerfællesskabet på mere end 30 andre sikkerhedsplatforme. Exabeam udviklede sin service fra et lokalt SIEM-system til en cloud-baseret sikkerhedsplatform, der giver sine kunder hurtig trusselsdetektion og automatiserede svar.
Fire. LogRhythm
LogRhythm har produceret en SIEM-løsning siden 2003, så virksomheden har dyb ekspertise på området. Dets system er nu cloud-baseret med alle de effektivitetsgevinster, det indebærer. Det har også erhvervet UEBA, CTI og SOAR for at gøre det en Next-Gen SIEM .
LogRhythm inkluderer sit eget netværksovervågningsmodul, der tilføjer ekstra detektionsstrategier til de logsøgninger, det udfører. I denne tjeneste, som LogRhythm betegner Netværksdetektion og -respons (NDR) , anvender systemet maskinlæring for at etablere en baseline af forventede trafikmønstre, og dermed skære ned på falsk-positiv rapportering og reducere mængden af data, der skal uploades til LogRhythm-serveren til behandling.
LogRhythm kalder sin platform XDR-stakken – XDR står for udvidet detektion og respons. Lagene i denne stak er:
- AnalytiX – Logsøgningskernen i SIEM.
- DetectX – Anvendelsen af trusselsefterretninger.
- SvarX – SOAR-elementet i systemet, der lukker ned for ondsindet aktivitet.
Ud over at abonnere på denne pakke kan kunderne vælge to tilføjelser for at forbedre ydeevnen. Disse er:
- Bruger XDR – Et UEBA-modul, der forfiltrerer logbeskeder til upload.
- MistNet – Et netværksbaseret system til registrering af indtrængen.
Forkanten af LogRhythms service ligger i dens SaaS platform . Du kan dog også få systemet til at køre på dit websted. Dette er tilgængeligt som et apparat forudinstalleret med LogRhythm-softwaren eller som en softwarepakke, der indlæses på Windows Server . Du kan anmode en live demo af cloud-tjenesten.
5. Rapid7 Insight Platform
Hurtige 7'ere Insight Platform er en cloud-baseret SIEM. Der er mange udtryk anvendt på denne tjeneste, hvilket fremhæver forvirringen over kategorisering af cyberforsvarstjenester. Virksomheden kalder sin service for en IDR, som står for Intrusion Detection og Response . Det er også en form for XDR, som står for Udvidet detektion og respons – en tjeneste, der normalt udviklede sig ud af EDR, som er et fremskridt inden for antivirus og står for Slutpunktsdetektion og -respons . Der er et EDR-element i Insight IDR-pakken.
Men af hensyn til enkelheden vil vi holde os til SIEM-klassifikationen. Faktisk er Insight-platformen det en næste generations SIEM fordi det inkluderer UEBA og en trusselsefterretningsfeed . Insight Platformen indeholder en række moduler, der passer sammen. Du behøver dog kun InsightIDR service, hvis du bare vil have en NextGen SIEM. Den næstmest interessante tjeneste i Insight Platformen, som du også bør overveje, er InsightVM , som er en sårbarhedsmanager.
InsightIDR har alle de fantastiske funktioner, som du forventer af en NextGen SIEM. Som en cloud-tjeneste inkluderer den hurtig processorkraft til logstyring, og den gemmer også logdataene for dig. Logmeddelelserne på dit system bliver uploadet til Rapid 7-serverne hvor en konsolidator sætter dem i et almindeligt format og indekserer dem til hurtige søgninger.
Det trusselsjagt service i InsightIDR er ændret af en UEBA funktion. Dette udelukker falske positiver ved at justere detektion for normal adfærd. Trusselsefterretningsfeedet i værktøjet bidrager til en angriberadfærdsanalyse service. Dette ser alle logmeddelelser igennem for indikationer på kompromittering.
En rigtig fin tilføjet tjeneste i Insight IDR, som tjenestens vigtigste rivaler ikke tilbyder, er dens bedrag teknologi . Tjenesten kan opsætte fælder og honeypots til ubudne gæster, der trækker de forbrydere mod fuldt overvågede falske datalagre, hvilket gør dem umiddelbart nemme at identificere.
InsightIDR er lidt dyr, startende ved $2.157 pr. måned … ja, PR. MÅNED. Den pris betyder, at 30 dages gratis prøveperiode af InsightIDR er en meget værdifuld gratis gave.
6. FireEye Helix
FireEye er en af de førende udbydere af cybersikkerhedsløsninger, og dens SIEM-tjeneste kaldes Helix platform . FireEye Helix-platformen er en næste generations SIEM-tjeneste, og den inkluderer en trusselsefterretningsfeed der konstant tilpasser sine trusselsjagtprocesser som reaktion på udviklende angrebsstrategier. Såvel som UEBA , inkluderer denne service lateral bevægelsesdetektion der sporer ulogisk eller unormal brugerkontoaktivitet.
Ligesom LogPoint tillader Helix en vis grad af manuel indgriben. Der er flere muligheder i dette system til at opsætte dine egne playbooks og specificere præcist, hvordan opdagede forekomster skal håndteres. Det betyder, at du kan indlæse dine egne præferencer i de automatiske svar udført af Helix. Skærmene til instrumentbrættet er også kan tilpasses og det er muligt at lave dine egne rapportformater. Systemet omfatter automatisk skræddersy og rapportformater for overholdelse af standarder .
Helix-tjenesten inkluderer integrationer der giver dig mulighed for at tilslutte tilpasninger til dataudveksling og afhjælpende handlinger, der koordinerer med andre sikkerhedsapplikationer. Du kan tage en selv-guidet tur af Helix platformen.
7. LogSentinel
Hvis du vil vide mere om en nyere, slankere SIEM-udbyder, der har taget et stort spring fremad på NextGen-området, så bør du overveje LogSentinal . Denne service udmærker sig ved log-administration og hurtige søgninger for at bringe sin SIEM-service til forkant på markedet. Denne virksomhed retter sig specifikt mod mellemstore virksomheder.
Det her SaaS system er hot om logfilintegritetsovervågning og det inkluderer UEBA og en feed efterretning af trusler , som markerer det som en NextGen SIEM. Ekstra tjenester i denne plan er phishing-scanninger af e-mails , VPN-logfilbeskyttelse og videokonferencesikkerhed.
LogSentinel-tjenesten er ikke begrænset til at indsamle logfiler fra dit websted. Det inkluderer også en webapplikation og et webstedsovervågningssystem, der registrerer script ændringer og injektionsforsøg.
LogSentinal tilbyder en gratis prøveperiode af sin NextGen SIEM, og du kan bede dem om en guidet demo. Der er også en version af denne cloud-baserede SIEM til brug af administrerede tjenesteudbydere.