McAfee SIEM anmeldelse og alternativer
McAfee er kendt som producent af antivirussoftware. Virksomheden var dog nødt til at udvikle sig og introducere nye it-beskyttelsessystemer for at blive på markedet. McAfee SIEM-løsningen er ikke et enkelt produkt. Hovedelementet i McAfee SIEM-familien kaldes McAfee Enterprise Security Manager .
Den fulde liste over McAfee SIEM-komponenter er:
- McAfee Enterprise Security Manager
- McAfee Event Receiver
- McAfee Advanced Correlation Engine
- McAfee Enterprise Log Manager
- McAfee Enterprise Logsøgning
- McAfee Application Data Monitor
- McAfee Direct Attached Storage
- McAfee Global Threat Intelligence
Disse forskellige moduler kanaliserer inputdata fra flere kilder til Enterprise Security Manager.
Hvad gør SIEM?
SIEM står for Sikkerhedsinformation og Event Management . Det er en kombination af to trusselsdetektionsstrategier. Værtsbaserede Intrusion Detection Systems (HIDS'er) ser gennem logfiler for tegn på unormal aktivitet. Sikkerhedsinformationsstyring (SIM) er en HIDS. Netværksbaserede Intrusion Detection Systems (NIDS'er) overvåger netværkstrafik for at lede efter indtrængen. Security Event Management (SEM) er en NIDS-strategi. SIEM er kombinationen af SIM og SEM.
Fordelen ved SEM er, at den fungerer på live data. Netværksmonitorer fungerer dog kun på ét punkt på netværket og overvåger al forbipasserende trafik. Hvis indholdet af hver rejsepakke er krypteret, er alt, hvad SEM-systemet skal arbejde på, pakkehoveddataene. SEM er ikke i stand til at sammenligne begivenheder forskellige steder på netværket og på separate enheder.
SIM er i stand til at se aktivitetsmønstre på tværs af enheder. SIM-metoder giver dog bedre resultater med flere kildedata. Da inputoplysningerne for SIM skrives til logfiler, kommer de bedste SIM-resultater med tiden. Et stort problem ved SIM er, at det opdager indtrængen i retrospekt - det er ikke øjeblikkeligt.
SIEM kombinerer styrkerne ved SIM og SEM . Selv SIEM, med sine forskellige teknikker, er ikke i stand til at blokere indtrængen. Dette er den anden forsvarslinje og er beregnet til at skylle ondsindede aktiviteter ud, der har formået at glide forbi kant- og grænseforsvar.
Om McAfee
McAfee blev oprettet i 1987 som McAfee Associates . Virksomheden blev Intel Security Group i 2014 og derefter McAfee, LLC i 2017. McAfee var den første producent af kommerciel antivirussoftware og fik tidlige succeser, hvilket gjorde virksomheden til et attraktivt overtagelsesmål. Den excentriske grundlægger, John McAfee, trak sig ud af virksomheden i 1994 og solgte alle sine aktier. Efter en række overtagelser blev virksomheden købt af Intel i 2014. McAfee blev derefter spundet tilbage til et uafhængigt selskab i 2017, hvor Intel stadig beholdt en stor aktiepost.
Efterhånden som hackeraktiviteterne bliver mere sofistikerede, blev den traditionelle antivirusmodel ude af stand til fuldt ud at beskytte et it-system. Begrebet 'indtrængen' i et it-system indebærer, at en hacker får adgang til et netværk og etablerer en langsigtet beskæftigelse, som kaldes en ' Advanced Persistent Threat (APT) .'
McAfee har investeret i maskinlæringssoftware, der bruger AI-teknikker til at identificere unormal aktivitet uden at skulle henvise til en database med aktivitetssignaturer.
McAfee Enterprise Security Manager
Det McAfee Enterprise Security Manager (ESM) er hovedmodulet i McAfee SIEM, inkluderer hovedkonsollen til systemet og binder sammen alle de datafeeds, som logindsamlere og trafikmonitorer leverer.
Hovedvisningen af konsollen fokuserer på begivenheder, men enhedsvisninger er også tilgængelige. ESM-konsollen giver adgang til søge- og analysefaciliteter.
McAfee SIEM-moduler
Mens Enterprise Security Manager er kernen i SIEM-systemet, udføres meget af databehandlingsarbejdet uden for denne enhed.
McAfee Event Receiver
Det McAfee Event Receiver er et opdelt system til logindsamling. En agent bor på hver overvåget enhed. Det er i stand til at gemme indsamlede data lokalt, hvis netværket ikke er tilgængeligt. Det centrale indsamlingssystem kommunikerer med alle agenter for at modtage data fra dem.
Den centrale controller fungerer som en logserver. Den omformaterer modtagne data til et standardlayout, så alle poster kan gemmes sammen. Relaterede begivenheder er markeret, så de kan grupperes ved analytiske søgninger i fremtiden. Dette kaldes en log-korrelation.
McAfee Advanced Correlation Engine
Det Advanced Correlation Engine (ACE) bygger på begivenhedsmodtagerens arbejde. Den søger gennem tidligere logposter for at se, om nyligt indsendte logmeddelelser vedrører en hændelse, der allerede er i gang og er blevet identificeret af tidligere meddelelser.
ACE markerer nye poster, så de kan bindes sammen med ældre logmeddelelser. Den identificerede meddelelsesgruppe forbinder ikke lignende poster; snarere bruger den et regelsystem, der spotter indikatorer for den samme begivenhed, der manifesterer sig gennem forskellige handlinger forskellige steder.
McAfee Enterprise Log Manager
Det Enterprise Log Manager (ELM) er en logfilhåndtering, og dens formål er at levere de obligatoriske logfilhåndteringsfaciliteter, der kræves af sikkerhedsstandarder. Det opretter logfiler til indgående logmeddelelser både som en datakilde til Security Event Manager og til rapportering af datasikkerhedsstandarder.
Mens standarder kræver, at rå logfiler gemmes og er tilgængelige, er Security Event Manager kun interesseret i visse poster, der fremhæver usædvanlige aktiviteter, så nogle logmeddelelser vil blive duplikeret og gemt i forskellige formater. ELM kan konfigureres til at bruge enten lokale eller eksterne lagerfaciliteter. ELM er et valgfrit modul i SIEM-systemet. Enterprise Security Manager er i stand til at fungere uden tilstedeværelsen af Enterprise Log Manager.
McAfee Enterprise Logsøgning
McAfee Enterprise Log Search (ELS) er baseret på Elasticsearch. Det er en komponent i McAfee SIEM-systemet, men det er også i stand til at fungere som et selvstændigt hjælpeprogram. Denne søgefacilitet kan operere på filerne, der er sammensat af McAfee Advanced Correlation Engine og Enterprise Log Manager, undersøger også hændelser og identificerer mulig indtrængen eller datatyveri. ELS er integreret i konsollen til Enterprise Security Manager og er beregnet til ad hoc-forespørgsler og analyser.
McAfee Application Data Monitor
Det Application Data Monitor (ADM) leverer SEM-delen af SIEM. Dette værktøj fungerer på live-data og overvåger al trafik rundt om netværket. Skærmen er i stand til at se i e-mails og PDF'er og søge efter indlejrede trojanske heste og farlige programmer.
Skærmen opererer på applikationslaget, så den er i stand til at spotte angreb, som hackere opdeler på tværs af pakker i håb om at narre traditionelle netværksmonitorer. Tjenesten fungerer på en SPAN-port, duplikerer datastrømme i stedet for at sidde inline. Dette fjerner faren for at indføre forsinkelse på netværket.
Ud over at lede efter indgående angrebsforsøg søger ADM udgående trafik for datatabshændelser og uautoriseret kommunikation. Alle opdagelser revideres i overensstemmelse med databeskyttelsesstandarder.
McAfee Direct Attached Storage
McAfee Direct Attached Storage betjener Enterprise Security Manager og Enterprise Log Manager, der leverer en RAID-controller, spejlet cache og IO multi-pathing.
McAfee Global Threat Intelligence for ESM
Det Global Threat Intelligence (GTI) feed er en McAfee-kernetjeneste, der understøtter alle dets sikkerhedsprodukter. GTI'en gøres tilgængelig i et format, der passer til Enterprise Security Manager.
McAfee SIEM-konfigurationsmuligheder
McAfee Enterprise Security Manager er tilgængelig i to formater. Den første er en fleksibel cloud-baseret tjeneste, kaldet ESM Cloud. Dette er sandsynligvis den mere tilgængelige mulighed, som de fleste kunder vil vælge.
Der er en gratis prøveperiode til ESM Cloud . Prøven er i form af software, der kan downloades, der kører på en VM på stedet i stedet for at få adgang til den faktiske cloud-tjeneste. Den almindelige lokale version af Enterprise Security Manager er en appliance. Potentielle kunder, der ønsker at vurdere dette system, bør også downloade den virtuelle enhedsversion, der tilbydes som en prøveversion til ESM Cloud.
Dashboard
ESM'ens konsol er tilgået via en standard webbrowser uanset om det bliver implementeret som en cloud-tjeneste eller som en appliance. Tjenestens skærme optager browservinduets fulde bredde og reserverer ikke plads til en menu. Menuen glider ind fra venstre on-demand ved et tryk på en knap i titellinjen på hver skærm.
Systemets hovedskærm viser en liste over seneste begivenheder. Andre muligheder, der kan tilgås fra hovedmenuen, inkluderer en logfilstifinder og Elasticsearch værktøj, der fungerer på logfiler.
Uden menuen på plads er det muligt at se venstre panel på hovedskærmen, som viser alle overvågede enheder. Et lille flag på en af posterne på denne liste indikerer, at en hændelse er blevet opdaget på det pågældende sted, eller at der skal foretages handling for at kontrollere indstillingerne eller ressourcerne for den pågældende enhed.
Ved at klikke på den markerede enhed vises en boks med knapper, der giver adgang til faciliteter inden for ESM, der kan løse den advarsel, der vises for den pågældende enhed.
Alternativer til McAfee SIEM
McAfee SIEM er et af de bedste SIEM-produkter på markedet. Det integrerer virusdetektion og blokerer forsøg på at downloade malware samt leder efter uautoriseret menneskelig aktivitet. Tjenesten omfatter forebyggelse af datatab og mistænkelig udgående kommunikation. Trusselsintelligens-feedet leveret af McAfees centrale laboratorier er et af de mest respekterede i verden.
Du kan læse mere om SIEM-systemer og de bedste tjenester, der findes på markedet i dag de bedste SIEM-værktøjer stolpe. Men hvis du ikke vil læse en anden artikel om SIEM igennem, kan du se en kort beskrivelse af andre SIEM-systemer, der er værd at prøve.
Her er vores liste over de 10 bedste McAfee SIEM-alternativer:
- SolarWinds Security Event Manager (GRATIS PRØVE) Dette værktøj kombinerer logkilder og live datainput for at opdage uregelmæssigheder. Produktet er en del af en suite af infrastrukturovervågningsværktøjer produceret af SolarWinds. Denne software installeres på Windows Server. Download en 30-dages gratis prøveperiode.
- CrowdStrike Falcon Insight (GRATIS PRØVE)En kombination af et skybaseret SIEM og endepunktsdetektions- og responsmoduler, der er installeret på hver enhed. Dette system modtager et efterretningsfeed for at forbedre trusselsjagten gennem logregistreringer og aktivitetsrapporter, og EDR-enhederne implementerer bruger- og enhedsadfærdsanalyser for at opdage uregelmæssigheder og blokere nul-dages angreb. Start en 15-dages gratis prøveperiode.
- ManageEngine EventLog Analyzer (GRATIS PRØVE) En delvis SIEM, der tilbyder SIM-funktioner, der kan indgå i partnerskab medLog360værktøj til at få et feed med live netværksdata for at skabe en fuld SIEM. Det installeres på Windows og Linux. Start 30-dages gratis prøveperiode.
- Datadog Sikkerhedsovervågning En cloud-baseret tjeneste, der kræver installation af agenter på stedet. Sikkerhedsovervågningslogmanageren og SIEM, der er et modul i en systemovervågningspakke med advarsler.
- Fortinet FortiSIEM Et omfattende cloud-baseret SIEM-system, der kræver, at agenter installeres på stedet. Det inkluderer automatiske svarhandlinger for at lukke ned for opdaget ondsindet aktivitet.
- Rapid7 InsightIDR En cloud-baseret sikkerhedstjeneste, der implementerer agenter på hvert beskyttet slutpunkt. Agenterne sikrer beskyttelseskontinuitet, hvis netværket bliver utilgængeligt. Denne service integrerer en automatisk svarmekanisme.
- OSSEC Et gratis open source værtsbaseret system til registrering af indtrængen. Det dækker kun SIM-delen af SIEM, men kan bruges til at dække live netværksdata ved at sende et live-feed gennem filer. Det installeres på Windows, macOS, Linux og Unix.
- LogRhythm NextGen SIEM-platform Det tager live trafikstatistikker og logmeddelelser som input. Det anvender AI-baseret maskinlæring for at reducere falske positiver. Den har fremragende brugervejledninger. Denne softwarepakke installeres på Windows og Linux.
- AT&T Cybersecurity AlienVault Unified Security Management Et højt anset og omfattende uafhængigt udviklet sikkerhedssystem, der nu er et aktiv for AT&T. Det kører på Windows og macOS.
- Splunk Enterprise Security Det kombinerer netværksovervågning og logstyring for at give et SIEM-værktøj med dataanalyseværktøjer. On-premises software installeres på Windows og Linux.
Ofte stillede spørgsmål om McAfee SIEM
Hvor længe opbevares rålogfiler i McAfee SIEM?
Dataopbevaringsperioden for rå logdata i McAfee SIEM er op til dig. Den tid, ukomprimerede logfiler opbevares, kan være 365 dage, 90 dage eller 30 dage, og det har stor indflydelse på prisen, du betaler for tjenesten.
Hvordan tilføjer du en datakilde i McAfee SIEM?
For at tilføje en datakilde til McAfee SIEM-systemet skal du åbne dashboardet for Enterprise Security Manager (ESM). Du skal konfigurere en hændelsesmodtager og derefter konfigurere den. Adgang til dette opsætningssystem sker via en knap i instrumentbrættet, der ligner en cirkulær pil, der peger ind i midten. Dette er ikonet Hent hændelser og strømme, og når du kommer ind i det system, guides processen med at tilføje en datakilde og downloade en samler.
Hvordan laver du en pakkefangst i McAfee SIEM?
McAfee SIEM har ikke et indbygget værktøj til pakkefangst. I stedet skal du udstede en tcpdump kommando i en terminalsession og diriger outputtet til en fil.