9 bedste trusselsefterretningsplatforme (TIP'er)
ENThreat Intelligence Platform (TIP)har til formål at blokere gentagne angribere og identificere almindelige indtrængningsvektorer. Denne nye teknologi er et fremskridt i forhold til traditionelle anti-virus (AV) og firewall-systemer. Et TIP vilbeskytte dit it-udstyr ved at anvende AI-baserede læringsstrategier.
En række erstatningsteknologier er dukket op i de seneste år for at forbedre forretningsbeskyttelsen, som traditionelle malware-systemer giver.
Anti-malware-programmer sammenligner koden for nye programmer, der kører på en computer, med en database med tidligere opdagede malware-signaturer.
Her er vores liste over de ni bedste trusselsintelligensplatforme:
- SolarWinds Security Event Manager REDAKTØRENS VALG Bruger en trusselsdetektionsstrategi for logfilanalyse kombineret med et eksternt leveret live-feed af trusselsalarmer.
- ManageEngine Log360 (GRATIS PRØVE) Leder efter trusler i logfildata fra Windows Server eller Linux og tilføjer trusselsintelligens fra tre kilder.
- CrowdStrike Falcon Intelligence (GRATIS PRØVE)En række beskyttelsesniveauer for trusselsintelligens med automatiserede processer og højere muligheder, der inkluderer menneskelig forskning og intervention.
- Datadog Threat Intelligence (GRATIS PRØVE) Nøglefærdige feeds for trusselsintelligens, der er kurateret af udvalgte trusselsintelligenspartnere som en cloud-SIEM. Datafeeds opdateres løbende om mistænkelig aktivitet, efterhånden som den bliver kendt og tilgængelig.
- UdEn systemmonitor lavet til MSP'er, der inkluderer softwarerevision og loganalyse.
- FireEye Helix sikkerhedsplatform Kombinerer en skybaseret SIEM-trusselsdetektionskonsol, AI-læringsmetoder og et feed for trusselsintelligens.
- N-able Threat Monitor En cloud-baseret tjeneste, der markedsføres til MSP'er. Dette er et SIEM-værktøj, der gør det muligt for MSP'er at tilføje sikkerhedsovervågning til deres liste over tjenester.
- AlienVault Unified Security Management Inkluderer trusselsdetektion, incidensrespons og deling af trusselsintelligens.
- LogRhythm NextGen SIEM'er Inkluderer live overvågning af trafikdata og analyse af logfilposter.
Threat Intelligence-platforme kontra traditionel antivirussoftware
I den traditionelle anti-malware model, et centralt forskningslaboratorium undersøger nye trusler for at udlede mønstre, der identificerer dem. Disse malware-detektionsegenskaber distribueres derefter til alle de installerede AV-programmer, som virksomheden har solgt til kunder. Det lokale anti-malware-system vedligeholder en trusseldatabase, der indeholder denne liste over angrebssignaturer, der er udledt af det centrale laboratorium.
AV-trusselsdatabasemodellen er ikke længere effektiv til at beskytte computere. Dette skyldes, at professionelle teams af hackere nu engagerer sig i malware-produktionslinjer med nye trusler, der dukker op dagligt. Da det tager tid for forskningslaboratorier at bemærke en ny virus og derefter identificere dens karakteristika, er leveringstiden for typiske AV-løsninger nu for lang til at tilbyde effektiv virksomhedsbeskyttelse.
Finder en trussel
En trusselsefterretningsplatform indeholder stadig en trusselsdatabase. Men i stedet for at stole på, at brugere rapporterer mærkelig adfærd til AV-producentens hovedkvarter, sigter nye cybersikkerhedssystemer på at indeholde al forskning og trusselsafhjælpning på hver kundes udstyr. Faktisk bliver hver TIP-installation en sammensat detekterings-, analyse- og opløsningspakke. Det er ikke længere nødvendigt at opdatere trusselsdatabasen fra et centralt laboratorium, fordi hver maskine udfører forskerholdets arbejde.
Denne distribuerede model for AV-dataindsamling er meget mere effektiv til at bekæmpe 'zero-day'-angreb. Udtrykket 'nul-dage' refererer til nye vira, der endnu ikke er blevet identificeret af de store AV-laboratorier i verden, og som der endnu ikke er noget effektivt forsvar imod. Hver maskine fungerer dog ikke alene. Oplysninger om opdagede nye trusler deles blandt brugerne af et specifikt mærke af TIP.
TIP'et bruger detektionsprocedurer lokalt mens den stadig er afhængig af en trusseldatabase, som er bidraget af lokal analyse samt hyppige downloads fra softwareudbyderens laboratorier. Disse downloads er afledt af opdagelser foretaget af det samme TIP, som er installeret på andre websteder af andre kunder.
De bedste Threat Intelligence-platforme, værktøjer og softwareleverandører
Selvom hvert TIP bruger et lignende sæt strategier til at opdage ondsindede hændelser, ikke alle TIP er lige effektive . Nogle sikkerhedsleverandører fokuserer på én bestemt type enhed og ét specifikt operativsystem. De kan også levere beskyttelsessystemer til andre typer enheder og operativsystemer, men uden samme grad af succes, som de opnåede med deres kerneprodukt.
Det er ikke let at få øje på et godt TIP, og de påstande, prale og obskure branche-jargon, der bruges på deres producenters salgsfremmende websteder, gør det at søge efter det rigtige TIP til en meget trættende øvelse.
Vores metode til at vælge en trusselsintelligensplatform
Vi gennemgik markedet for trusselsefterretningsdetektionssystemer og analyserede værktøjer baseret på følgende kriterier:
- Machine Learning til en basislinje for normal aktivitet
- Detektion af unormal aktivitet
- Trusselsintelligens-feeds, der tilpasser detektionsrutiner
- Advarer om mistænkelig aktivitet for at tiltrække teknikere
- Erfaringsdeling og oversigter over trusselsmeddelelser for hele branchen
- En demo eller en gratis prøveperiode for en risikofri vurderingsmulighed
- God værdi for pengene fra et omfattende trusselsintelligens-feed til en rimelig pris
Heldigvis har vi gjort benarbejdet for dig. Med disse udvælgelseskriterier i tankerne har vi identificeret netværkssikkerhedstjenester med feeds for trusselsintelligens, som vi gerne anbefaler.
1. SolarWinds Security Event Manager (GRATIS PRØVE)
Security Event Manager (SEM) fra SolarWinds mejetærskere hændelsessporing på dit netværk med en feed efterretning af trusler leveres fra en ekstern kilde. Dette værktøj vil ikke kun opdage trusler, men det vil automatisk udløse svar for at beskytte dit system.
Nøglefunktioner
- EN DIG
- Automatiserede afhjælpningshandlinger
- Skaber lokalt lager af trusselsintelligens
- Kører på Windows Server
- Overholdelsesrapportering
I hjertet af denne sikkerhedsløsning finder du et loganalyseværktøj . Dette overvåger netværksaktivitet, leder efter usædvanlige begivenheder, og det sporer også ændringer til væsentlige filer. Det andet element i dette TIP fra SolarWinds er en efterretningsramme for cybertrusler .
Security Event Manager arbejder ud fra en database med kendte mistænkelige hændelser og sniffer netværket på udkig efter sådanne hændelser. Nogle mistænkelige aktiviteter kan kun opdages ved at kombinere data fra separate kilder på dit system. Denne analyse kan kun udføres gennem hændelsesloganalyse, og er derfor ikke en realtidsopgave.
Selvom SEM begynder med en klar database med trusselssignaturer, vil værktøjet justere og udvide lageret af trusselsprofiler, mens det er i drift. Denne læreproces skærer ned på den irriterende forekomst af ' falske positiver ', hvilket kan få nogle trusselsbeskyttelsestjenester til at lukke lovlig aktivitet.
Loganalysatoren i SEM samler løbende logposter fra inkompatible kilder og omformaterer dem til et neuralt fælles layout. Dette gør det muligt for analysatoren at lede efter aktivitetsmønstre på tværs af hele dit system uanset konfiguration, udstyrstype eller operativsystem.
Fordele:
- Enterprise fokuseret SIEM med en bred vifte af integrationer
- Enkel logfiltrering, ingen grund til at lære et brugerdefineret forespørgselssprog
- Dusinvis af skabeloner giver administratorer mulighed for at begynde at bruge SEM med lidt opsætning eller tilpasning
- Historisk analyseværktøj hjælper med at finde unormal adfærd og afvigelser på netværket
Ulemper:
- SEM Er et avanceret SIEM-produkt bygget til professionelle, der kræver tid til fuldt ud at lære platformen
Security Event Managerinstallerer på Windows Server og SolarWinds tilbyder systemet på en30 dages gratis prøveperiode. Denne prøveperiode vil give dig tid til at afprøve de manuelle skærmbilleder til regelindstilling, der gør dig i stand til at forbedre den handlingsrettede trusselsintelligensdatabase til mere præcist at afspejle dit websteds typiske aktiviteter. Du vil også være i stand til at give compliance-rapporteringsmodulet en fuld gennemgang for at sikre, at SEM opfylder alle dine rapporteringsbehov.
REDAKTØRENS VALG
SolarWinds Security Event Managerer vores bedste valg. Perfekt til trusselsdetektion og udløsning af automatiserede svar på disse trusler. Rapportering er i top, og dashboardet er nemt at navigere.
Start 30-dages gratis prøveperiode:solarwinds.com/security-event-manager
DU:Windows 10 og nyere, Windows Server 2012 og nyere, Cloud-baseret: Hypervisor, AWS og MS Azure
2. ManageEngine Log360 (GRATIS PRØVE)
ManageEngine Log360er et meget omfattende TIP, der undersøger alle mulige kilder til logdata for at stramme op på systemsikkerheden.
ManageEngine tilbyder allerede en række logstyrings- og analyseværktøjer. Imidlertid besluttede virksomheden at samle dem i et kombineret modul, der dækker alle mulige filbaserede kilder til systeminformation. IT integrerer også eksterne informationskilder som f.eks STIX/TAXII -baserede feeds på sortlistede IP-adresser.
Nøglefunktioner
- Logstyring og analyse
- Modtagelig over for STIX/TAXII trusselsefterretningsfeeds
- Beskytter Active Directory
- Kører på Windows Server
Samt at kontrollere Hændelseslogs , integrerer værktøjet den information, der er bosiddende i Active Directory . Dette hjælper dette værktøjs detektionsmotor med at kontrollere, hvem der har rettighederne til at få adgang til de ressourcer, der bruges i de aktiviteter, som logmeddelelser registrerer. Værktøjet overvåger ændringer i Active Directory for at sikre, at ubudne gæster ikke er i stand til at give sig selv adgangsrettigheder.
Rækkevidden af dette sikkerhedsværktøj strækker sig ud til internettet, fordi det også samler revisionsrapporter fra AWS , Azure , og Exchange Online .
Du ved, at Exchange, Azure, Event Logs og Active Directory alle er Microsoft-produkter. Log360 er dog ikke begrænset til overvågning af Windows-baserede systemer. Det samler også log-beskeder rejst på Linux og Unix systemer, såsom Syslog-meddelelser. Værktøjet vil undersøge alle IIS- og Apache Web Server-meddelelser, og det dækker meddelelser genereret af Oracle databaser.
Din netværkshardware og perimetersikkerhedssystemer har også vigtige oplysninger at dele, så Log360 lytter efter logmeddelelser, der opstår ved firewalls, routere og switches. Hvis du har andre indtrængningsdetektions- og beskyttelsessystemer installeret, vil Log360 integrere deres resultater i sine trusselsefterretningsoversigter.
Log360 opretter ikke logfiler om logfiler, som du kan ende med at overse. Systemet skaber trusselsefterretningsadvarsler i realtid , så dit team får besked, så snart mistænkelig aktivitet er opdaget. Ud over overvågning auditerer, opsummerer og rapporterer Log360-pakken løbende om sikkerheden i hele dit IT-system.
Fordele:
- Fantastiske dashboardvisualiseringer, ideel til NOC'er og MSP'er
- Kan integrere flere trusselsdatasteams i platformen
- Tilbyder robust søgning af logfiler til live og historisk begivenhedsanalyse
- Giver overvågning på tværs af platforme til Windows-, Linux- og Unix-systemer
- Kan overvåge konfigurationsændringer, hvilket forhindrer eskalering af privilegier
Ulemper:
- ManageEngine tilbyder en pakke af avancerede tjenester, og funktioner kan tid til at udforske og afprøve
Du kan installere Log360-software på Windows og Windows Server . ManageEngine tilbuden 30-dages gratis prøveperiodeafProfessionel udgaveDer er enGratis udgaveder er begrænset til at indsamle logdata fra kun fem kilder. Hvis du har andre krav, kan dudiskutere priserfor en pakke, der passer til dine behov.
ManageEngine Log360 Download 30-dages GRATIS prøveversion
3. CrowdStrike Falcon Intelligence (GRATIS PRØVE)
CrowdStrikeoprettet en cybersikkerhedsplatform kaldet Falcon . Dette fokuserer på endpoint-beskyttelse. Et af de produkter, som virksomheden byggede på sin Falcon-platform erCrowdStrike Falcon Intelligence. Dette er en trusselsefterretningstjeneste, der baserer de fleste behandlingskrav på CrowdStrike-serveren i skyen.
Nøglefunktioner
- Trusselsefterretningsplaner
- Tilgængelig som rapport eller som feed
- Inkluderet i en pakke med andre sikkerhedsværktøjer
Falcon platformens innovative arkitektur kræver et lille agentprogram skal installeres på hver beskyttet enhed. Størstedelen af arbejdet udføres i skyen, så din trusselsbeskyttelse vil ikke bremse dine beskyttede endepunkter.
Grundplanen for Falcon Intelligence inkluderer automatiserede processer . Den næste plan kaldes Falcon Intelligence Premium og det inkluderer en daglig handlingsvenlig efterretningsrapport og skræddersyede internet-sweeps, der specifikt leder efter din virksomheds navn, brand eller omtaler af medarbejdere på sociale medier eller indsæt-websteder. For eksempel vil enhver stjålet adgangskode, der er til salg eller offentligt lækket, blive samlet op i denne søgning.
Den højeste plan kaldes Falcon Intelligence Elite . Hver kunde af denne plan får tildelt en intel-analytiker. Denne service er fantastisk til de virksomheder, der ønsker at outsource alt og få en styret trusselsintelligens-løsning i stedet for blot automatiserede værktøjer til beskyttelse.
Alle Falcon Intelligence-planer inkluderer Indikatorer for kompromis (IOCs) rapport. Dette sætter de trusler, der er identificeret på dit system, ind i en global kontekst. IOC viser, hvor den malware eller de angreb, du oplever, stammer fra, og om de samme hackergrupper er kendt for at bruge andre metoder til at angribe virksomhedssystemer. Dette forhold mellem kendte vektorer advarer den abonnerende virksomhed om potentielle trusler, der kommer.
Agenterne, der opererer på hvert endepunkt, scanner al aktivitet på enheden og uploader mistænkelige filer til CrowdStrike-serveren til analyse. Der er intet behov for menneskelig indgriben i denne proces. Systemadministratoren vil dog modtage feedback på opdagede trusler og de handlinger, der er implementeret for at lukke dem.
Fordele:
- Stoler ikke kun på logfiler til trusselsdetektion, bruger processcanning til at finde trusler med det samme
- Fungerer som et HIDS- og endpoint-beskyttelsesværktøj alt i ét
- Kan spore og advare unormal adfærd over tid, forbedres, jo længere den overvåger netværket
- Kan installeres enten on-premise eller direkte i en cloud-baseret arkitektur
- Letvægtsagenter bremser ikke servere eller slutbrugerenheder
Ulemper:
- Ville have gavn af en længere prøveperiode
CrowdStrike tilbyder en 15-dages gratis prøveversion af Falcon Intelligence.
CrowdStrike Falcon Intelligence Start 15-dages GRATIS prøveperiode
4. Datadog Threat Intelligence (GRATIS PRØVE)
Datadog Threat Intelligence tilbydes fra Datadog-skyen SaaS platform der inkluderer en række abonnementstjenester til systemovervågning. Systemet kræver, at agenter er installeret på de overvågede netværk, og det kan også inkludere cloud-ressourcer med aktivering af en integration.
Datahunden agenter kan også fungere som dataindsamlere for andre Datadog-tjenester i kombination. Disse lokale agenter uploader logmeddelelser og andre systemdata til Datadog-serveren, hvor trusselsjagt finder sted.
Nøglefunktioner
- SIEM system
- Centraliserer sikkerheden for flere websteder
- Bruger UEBA
UEBA-systemet i Datadog Threat Intelligence er en bruger- og enhedsadfærdsanalyse system. Dette er en AI-baseret system, der bruger maskinlæring til at etablere en basislinje for normal aktivitet. Afvigelser fra dette mønster identificerer aktiviteter, der kræver yderligere undersøgelse.
Trusselsjægeren leder efter adfærdsmønstre, som kaldes Indikatorer for kompromis (IOC'er). IoC-databasen er afledt af erfaringerne fra alle Datadogs klienter, hvilket skaber en trusselsintelligenspulje.
Datadog bruger en metode kaldet SØV at interagere med pakker leveret af andre udbydere. Dette står for sikkerhedsorkestrering, automatisering og respons . Det betyder, at agenterne kan indsamle driftsdata fra systemer såsom adgangsrettighedsadministratorer, switches og firewalls. I den anden retning kan serveren sende instruktioner til disse vigtige netværksenheder for at lukke indtrængen ned eller dræbe malware.
SOAR- og UEBA-funktionerne i Datadog Threat Intelligence betyder, at du ikke behøver at udfylde hele din nuværende sikkerhedsbeskyttelsesopsætning. Datadog-systemet vil sidde oven på dine eksisterende tjenester og tilføje deres beskyttelsesmuligheder.
Datadog Threat Intelligence inkluderer ekstra tjenester, der ville være af interesse for udviklere og DevOps-afdelinger. Disse omfatter en kodeprofiler og kontinuerlige testsystemer til CI/CD-rørledninger.
Fordele:
- Integreres med andre Datadog-tjenester
- Implementerer SIEM
- Centraliserer overvågningen af mange websteder og cloud-ressourcer
- Web-baseret konsol
Ulemper:
- De beskyttede systemer kræver konstant internettilgængelighed
Datadog Threat Intelligence, som alle Datadog-enheder, er en abonnementstjeneste . Du betaler en sats pr. måned for hver GB logdata, der behandles af tjenesten. Datadog tilbyder alle sine moduler på en 14-dages gratis prøveperiode.
Datadog Threat Intelligence Start 14-dages GRATIS prøveperiode
5. Tag den ud
Ud er en supportplatform bygget til administrerede tjenesteudbydere (MSP'er) . det er leveret fra skyen , så MSP'en behøver ikke at installere nogen software i sine lokaler og behøver endda ikke at køre nogen større it-infrastruktur. Det eneste, den behøver, er en computer med internetforbindelse og en webbrowser. Det overvågede system har dog brug for speciel software installeret på det. Dette er et agentprogram der samler data og kommunikerer med Atera-serverne.
Nøglefunktioner
- Designet til MSP'er
- Kombinerer RMM og PSA
- Overvåg fjernsystemer
Som en fjerntjeneste er Atera i stand til at overvåge enhver klientfacilitet, inklusive cloud-baseret AWS og Azure servere. Tjenesten inkluderer en autodiscovery-proces, som logger alt udstyr, der er tilsluttet netværket. For endepunkter og servere vil overvågningssystemet scanne al software og skabe en opgørelse. Dette er en vigtig informationskilde til softwarelicensstyring, og det er også en vigtig trusselsbeskyttelsestjeneste. Når softwareopgørelsen er blevet kompileret, kan operatøren kontrollere, hvilken uautoriseret software der er installeret på hver enhed og derefter slette den.
Det server monitor kontrollerer processer som en del af dets almindelige opgaver, og dette vil fremhæve ondsindet software, der kører. Operatøren er i stand til at få fjernadgang til serveren og dræbe uønskede processer.
Atera overvåger adgangsrettighedscontrollere på klientens websted, herunder Active Directory . Live Manager-værktøjet i Atera-pakken giver adgang til Windows-begivenhed logger og giver en søgbar kilde til mulige sikkerhedsbrud.
Endnu en trusselbeskyttelsestjeneste, der er indeholdt i Atera-pakken, er dens patch manager . Dette opdaterer automatisk operativsystemer og nøgleapplikationssoftware, når de bliver tilgængelige. Denne vigtige service sikrer, at eventuelle udnyttelsesmidler, der produceres af softwareudbydere, bliver installeret så hurtigt som muligt.
Fordele:
- 30 dages gratis prøveperiode
- Kontinuerlig netværksscanning gør opgørelsen nem og præcis
- Indbygget billetsystem, fantastisk til MSP'er, der ønsker at håndtere trusler på stedet
- Prisen er baseret på antallet af teknikere, ikke understøttede brugere
Ulemper:
- Kunne drage fordel af flere integrationer med andre fjernadgangsværktøjer og Azure AD
Atera opkræves ved abonnement med den fastsatte takst pr tekniker . Købere kan vælge mellem en månedlig betalingsplan eller en årlig sats. Den årlige betalingsperiode fungerer billigere. Du kan få adgang til en gratis prøveversion at sætte Atera igennem sine trin.
6. FireEye Helix Security Platform
FireEye Helix sikkerhedsplatform er et cloud-baseret blandet beskyttelsessystem til netværk og slutpunkter. Værktøjet inkluderer en SIEM-tilgang, der overvåger netværksaktivitet og også administrerer og søger i logfiler. Det feeds for trusselsefterretninger leveret af FireEyes fuldender denne mangesidede løsning ved at levere en opdateret trusselsdatabase til dit overvågningssystem.
Nøglefunktioner
- SaaS-pakke
- Opdater konstant trusselsdatabase
- Udbedringsarbejdsgange
FireEyes er et fremtrædende cybersikkerhedsfirma, og det bruger sin ekspertise til at levere trusselsefterretningstjenester på en abonnement basis. Formatet og dybden af denne intelligens afhænger af den plan, kunden har valgt. FireEyes tilbyder branchedækkende advarsler om nye trusselsvektorer, som gør det muligt for infrastrukturforvaltere at planlægge forsvar. Det tilbyder også en trusselsintelligens-feed, som direkte oversættes til trusselsdetektion og -løsningsregler i Helix Security Platform.
Helix-pakken indeholder også ' spillebøger ,' som er automatiserede arbejdsgange, der iværksætter trusselsafhjælpning, når et problem er blevet opdaget. Disse løsninger omfatter nogle gange rådgivning om sikker praksis og husholdningshandlinger samt automatiserede svar.
Fordele:
- Fantastisk grænseflade, det mørke tema er fantastisk til langsigtet overvågning i NOC'er
- Abonnementsmodel holder din database opdateret med de seneste trusler og dårlige aktører
- Giver indsigt til afhjælpning og forebyggende handlinger baseret på de seneste begivenheder
- Playbooks tilbyder afhjælpningsarbejdsgange for automatisk at løse problemer
Ulemper:
- Konfiguration kan være udfordrende
- Rapportering kan være besværlig og svær at tilpasse
7. N-able Threat Monitor
DetTrusselmonitorer et produkt af N-i stand der leverer software og tjenester til støtte for administrerede tjenesteudbydere. MSP'er tilbyder regelmæssigt netværks- og it-infrastrukturstyringstjenester, og tilføjelsen af sikkerhedsovervågning er derfor en naturlig forlængelse af sådanne MSP'ers almindelige aktiviteter.
Nøglefunktioner
- Et SIEM bygget til MSP'er
- Cloud-baseret
- Logstyring
Dette er en sikkerhedsinformation og event management (SIEM) system. Et SIEM ser både på live-aktivitet på det overvågede system, og det søger også gennem systemlogfiler for at opdage spor af ondsindede aktiviteter. Tjenesten er i stand til at overvåge on-site systemer hos MSP’ens klienter og også evt Azure eller AWS server, som klienten bruger.
Fordelene ved N-able Threat Intelligence-monitoren ligger i dens evne til at indsamle information fra alle punkter på netværket og de enheder, der er tilsluttet det. Dette giver et mere omfattende overblik over angreb end et enkelt indsamlingssted. Trusler identificeres ved adfærdsmønstre og også ved henvisning til den centrale SolarWinds Threat Intelligence-database, som konstant opdateres. Det trusselsefterretningsdatabase er samlet ud fra optegnelser over begivenheder, der finder sted over hele verden. Så det er i stand til straks at spotte, når hackere lancerer globale angreb eller prøver de samme tricks mod mange forskellige ofre.
Alarmniveauerne for tjenesten kan justeres af MSP-operatøren. Dashboardet til systemet inkluderer visualiseringer til begivenheder , såsom urskiver og diagrammer, samt live-lister over kontroller og hændelser. Tjenesten leveres fra skyen og det er det også tilgås via enhver webbrowser . N-able Threat Intelligence er en abonnementstjeneste, så den er fuldstændig skalerbar og velegnet til brug af MSP'er i alle størrelser.
Fordele:
- Designet med MSP'er og forhandlere i tankerne
- Kan scanne og trække logfiler fra cloud- og hybrid cloud-miljøer
- Forskellige alarmniveauer kan konfigureres, fantastisk til store helpdeske
- Tilgængelig fra enhver browser
Ulemper:
- Funktionalitet til Mac er ikke så robust som Windows
- Vil gerne have en mere strømlinet proces til onboarding af nye kunder
8. AlienVault Unified Security Management
AlienVault Unified Security Management (USM) er et produkt af AT&T Cybersikkerhed , som erhvervede AlienVault-mærket i 2018. AlienVault USM udviklede sig fra et open source-projekt kaldet OSSIM , som står for 'open source security information management.' OSSIM er stadig tilgængelig gratis med AlienVault USM, der kører sammen som et kommercielt produkt.
Nøglefunktioner
- Åbn Threat Exchange
- Cloud-baseret SIEM
- Trusselsjagt med AI-processer
OSSIM er faktisk en forkert betegnelse, fordi systemet er en fuld SIEM, inklusive både logbeskedanalyseovervågning med netværkstrafikundersøgelse i realtid. AlienVault USM inkluderer også begge disse elementer. AlienVault har en række ekstra funktioner, der ikke er tilgængelige i OSSIM, såsom logkonsolidering, logfillagringshåndtering og arkivering. AlienVault USM er en cloud-baseret abonnementstjeneste der følger med fuld telefon- og e-mail support , mens OSSIM er tilgængelig til download og er afhængig af fællesskabsfora for support.
En vigtig fordel, der er tilgængelig for brugerne af både gratis og betalte sikkerhedsprodukter, er adgang til Open Threat Exchange (OTX) . Dette er verdens største crowd-forsynede trusselsintelligensplatformstjeneste i verden. Oplysninger, der er tilgængelige på OTX, kan downloades automatisk til AlienVault USM for at levere en opdateret trusselsdatabase. Dette giver de detektionsregler og løsningsarbejdsgange, som SIEM'et har brug for. Adgang til OTX er gratis for alle.
Fordele:
- Tilgængelig til Mac og Windows
- Kan scanne logfiler samt levere sårbarhedsvurderingsrapporter baseret på enhed og applikationer scannet på netværket
- Brugerdrevet portal giver kunderne mulighed for at dele deres trusselsdata for at forbedre systemet
- Bruger kunstig intelligens til at hjælpe administratorer med at jage trusler
Ulemper:
- Logge kan være svære at søge og analysere igennem
- Vil gerne se flere integrationsmuligheder i andre sikkerhedssystemer
9. LogRhythm NextGen SIEM
LogRhythm betegner dens NextGen SIEM som en trussel livscyklusstyring (TLM) ramme . Platformen betjener to LogRhythm-produkter, som er Enterprise- og XM-serien. Begge disse produkter er tilgængelige enten som et apparat eller som software. LogRhythm Enterprise henvender sig til meget store organisationer, som LogRhythm XM betjener små og mellemstore virksomheder.
Nøglefunktioner
- SIEM
- Logstyring
- Overholdelsesrapportering
SIEM står for Sikkerhedsbegivenhedsinformationsstyring . Denne tætte strategi kombinerer to aktiviteter, Security Information Management (SIM) og Security Event Management (SEM). SEM overvåger trafikken i realtid og leder efter angrebsmønstre, der er gemt i en trusseldatabase. SIM refererer også til trusselsdatabasen, men sammenligner hændelser, der er registreret i logfiler, med mønstrene i trusselsdetektionsreglerne.
Softwaren til NextGen SIEM kan installeres på Windows , Linux , eller Unix . Det er også muligt at holde dit trusselshåndteringssystem fuldstændig uafhængigt af din hardware ved at købe systemet som en appliance, der forbinder til dit netværk.
Fordele:
- Bruger enkle guider til at konfigurere logindsamling og andre sikkerhedsopgaver, hvilket gør det til et mere begyndervenligt værktøj
- Slank grænseflade, meget tilpasselig og visuelt tiltalende
- Udnytter kunstig intelligens og maskinlæring til adfærdsanalyse
Ulemper:
- Vil gerne se en prøvemulighed
- Support på tværs af platforme ville være en velkommen funktion
Valg af en leverandør af Threat Intelligence Platform
Cybersikkerhedssektoren er meget levende i øjeblikket. Væksten i indtrængenstrusler, der øger den altid tilstedeværende risiko for malware, har tvunget industrien til fuldstændig at genoverveje sin tilgang til systembeskyttelse. Denne situation har resulteret i, at store AV-producenter har investeret store mængder penge i innovative AI-teknikker og nye strategier til at bekæmpe hackere og cyber-terrorister.
Nye spillere på markedet lægger ekstra pres på etablerede cybersikkerhedsudbyderes omdømme og bevarer skubbe grænserne for cybersikkerhedsteknologi . Trusselsefterretningsplatforme spiller en vigtig rolle i kampen for cybersikkerhed sammen med SIEM'er og systemer til forebyggelse af indtrængen.
Selvom der hele tiden dukker nye TIP op, er vi overbeviste om, at de anbefalede trusselsefterretningsplatforme på vores liste vil forblive i spidsen for flokken. Dette skyldes, at de virksomheder, der leverer dem, har lang erfaring på området, og de har vist, at de er parate til at innovere for at være på forkant med trusler.
Ofte stillede spørgsmål om trusselsefterretningsplatforme
Hvad er forskellen mellem trusselsintelligens og trusselsjagt?
Trusselsjagt er processen med at lede efter indikatorer for kompromis (IOC'er). Trusselsintelligens er en liste over IOC'er, man skal holde øje med. Noget trusselsintelligens er indbygget i de fleste trusselsjagtmoduler – det er de grundlæggende hændelser, man skal holde øje med, som overdrevne og hurtige mislykkede loginforsøg, der indikerer et brute force-angreb. Anden trusselsintelligens er ny information, der identificerer en ny angrebsstrategi, som hackere kun lige er begyndt at bruge. En trusselsintelligens-feed videregiver nyheden om et nul-dages angreb til andre abonnenter, så så snart en bruger i puljen opdager angrebet, ved alle andre kunder om det, og deres trusselsjagtmodul kan lede efter det.
Hvordan beskriver du forskellene mellem trusselsintelligens og SIEM?
SIEM-systemer søger gennem logmeddelelser efter kompromisindikatorer (IOC'er). Trusselsintelligens giver en liste over IOC'er, man skal holde øje med. NextGen SIEM'er inkluderer adgang til et live-trusselsintelligens-feed, der giver up-to-the-minute IOC'er.
Kan trusselsefterretningsplatforme stoppe ondsindede domæner?
En trusselsintelligensplatform inkluderer en formateret liste over potentielle angreb. Dette vil omfatte IP-adresser og domæner, der vides at blive brugt af ondsindede aktører.