top 11 best siem tools 2021
Списък и сравнение на най-добрите безплатни инструменти с отворен код SIEM Инструменти, софтуер и решения с характеристики, цена и сравнение:
Какво е SIEM?
SIEM ( С сигурност Аз нформация и Е вятър М anagement) осигурява анализ в реално време на сигнали за сигурност от приложения и мрежов хардуер. Включва системи като управление на журнали, управление на журнали за сигурност, корелация на събитията за сигурност, управление на информация за сигурността и др.
SIEM е комбинация от управление на събития за сигурност (SEM) и управление на информацията за защита (SIM).
Управлението на събитията за сигурност може да извършва наблюдение на заплахите, корелация на събитията и реакция на инциденти, като анализира данните от дневника и събитията в реално време. Управлението на информацията за защита извършва събиране, анализ и отчитане на данните в дневника.
Rapid7 проведе проучване за откриване и реагиране на инциденти и повече от 50% от хората отговориха, че използват SIEM.
(изображение източник )
Как работи SIEM?
Софтуерът SIEM събира данните от дневника за сигурност, генерирани от различни източници като хост системи и защитни устройства като защитни стени и антивирусни програми. Втората стъпка е да се обработи този дневник, за да се преобразува в стандартен формат.
Следващата стъпка е да се извърши анализ за идентифициране и категоризиране на инциденти и събития. Следователно предупрежденията се генерират, ако бъде открит проблем със сигурността. Инструментът може също така да предоставя отчети, свързани с инциденти и събития, свързани със сигурността.
Според изследването, извършено от AlienVault , повечето от бизнесите са загрижени за заплахите за сигурността в облака, 55% от бизнеса са загрижени за фишинга и 45% за рансъмуера.
Изображението по-долу ще ви покаже подробности за изследването, извършено от AlienVault:
Какво ще научите:
Най-популярните SIEM инструменти през 2021 г.
По-долу са изброени най-добрите инструменти за информация за защита и управление на събития, които се предлагат на пазара.
Сравнение на най-добрия софтуер SIEM
Ето сравнение на най-добрите SIEM решения:
| SIEM | Най-доброто за | OS платформа | Разгръщане | Безплатен пробен период | Цена |
|---|---|---|---|---|---|
SolarWinds  | Малък, среден и голям бизнес. | Windows, Linux, Mac, Solaris. | On-premise & Cloud | 30 дни | Започва от $ 4665. |
Куче за данни  | Малък, среден и голям бизнес. | Windows, Mac, Linux, Debian, Ubuntu, CentOS, RedHat. | On-premise и SaaS. | На разположение | Цената за наблюдение на сигурността започва от 0,20 долара за GB анализирани дневници на месец. |
Splunk  | Малък, среден и голям бизнес. | Windows, Linux, Mac, Solaris. | На място и SaaS | Splunk Enterprise: 60 дни Splunk Cloud: 15 дни Splunk Light: 30 дни Splunk Free: Безплатна проба за основна корпоративна платформа. | SplunkПолучите оферта. |
McAfee ESM  | Малък, среден и голям бизнес. | Windows и Mac. | Локално, облачно или хибридно | На разположение | McAfee ESMПолучите оферта. |
ArcSight  | Малък, среден и голям бизнес. | Windows. | Уреди, софтуер, облак (AWS и Azure) | На разположение | ArcSightВъз основа на погълнатите данни и събитията за сигурност, свързани в секунда. |
Нека разгледаме всеки от софтуера SIEM в детайли !!
# 1) SolarWinds SIEM Сигурност и наблюдение
Най-доброто за Малък, среден и голям бизнес.
Цена: SolarWinds предлагат напълно функционална безплатна пробна версия за 30 дни. Цената започва от $ 4665. Това ще ви струва еднократна такса.
SolarWinds предоставя решение за откриване на заплахи за локалната мрежа чрез Log and Event Manager. Той разполага с функции за наблюдение на USB устройства и автоматизирано отстраняване на заплахи. Log and Event Manager има някои нови функции като филтриране на журнали, управление на възли, препращане на журнали, конзола за събития и увеличен лимит за съхранение.
Характеристика:
- Той може да извършва разширено търсене и съдебен анализ.
- С откриването на подозрителна дейност по време на събитие ще има по-бързо идентифициране на заплахите.
- Има готовност за спазване на нормативните изисквания. За това поддържа HIPAA, PCI, DSS, SOX, DISA, STIG и др.
- Той поддържа непрекъсната сигурност.
Присъда: SolarWinds поддържа Windows, Linux, Mac и Solaris. Според прегледите, SolarWinds няма пълен пакет за сигурност, но предоставя добри функции и възможности за откриване на заплахи. Това може да бъде добро решение за МСП.
=> Безплатно сваляне# 2) Datadog
Куче за данни Мониторингът на сигурността ви помага да защитите вашия технологичен стек чрез откриване на заплахи в реално време. Настройте ключови интеграции за сигурност за минути; прилагайте OOTB Правила за откриване без език за заявки и съпоставяйте сигналите за сигурност, за да разследвате подозрителна дейност.
Datadog Security Monitoring обединява разработчиците, операциите и екипите за сигурност в една платформа. Едно табло показва съдържание на devops, бизнес показатели и съдържание за сигурност. Откривайте заплахите в реално време и разследвайте сигнали за сигурност във вашите показатели на инфраструктурата, разпределени следи и регистрационни файлове.
Основни функции:
- С повече от 400+ интеграции, подкрепени от доставчик, Datadog Security Monitoring ви позволява да събирате метрики, дневници и следи от целия си стек, както и от вашите инструменти за сигурност.
- Правилата за откриване на Datadog ви дават мощен начин за откриване на заплахи за сигурността и подозрително поведение във всички погълнати дневници в реално време.
- Можете да започнете да откривате заплахи за минути със стандартни правила за широко разпространени техники за атака.
- Редактирайте и персонализирайте всяко правило с нашия прост редактор на правила, за да отговорите на специфичните нужди на вашата организация - не е необходим език за заявки.
- Разбийте силозите между разработчиците, екипите за сигурност и експлоатация с Datadog Security Monitoring.
# 3) Splunk Enterprise SIEM
Най-доброто за Малък, среден и голям бизнес.
Цена: Наличен е безплатен пробен период за продукта, но пробният период се различава според продукта. Той предоставя безплатна проба за основната корпоративна платформа. Можете да получите оферта от тях. Според рецензиите корпоративният лиценз ще струва $ 6000 за 500MB на ден за вечен лиценз. Терминът лиценз също се предлага за $ 2000 на година.
Splunk осигурява подобрени операции за сигурност като персонализиращи се табла за управление, инструмент за проучване на активи, статистически анализ и преглед на инциденти, класификация и разследване. Той има функции за управление на сигнали, оценки на риска и др. Той предоставя услуги за сигурност на публичния сектор, финансовите услуги и здравеопазването.
Характеристика:
- Той може да работи с всякакви машинни данни, дори ако е от облака или локално.
- Автоматизирани действия и работни потоци за бърза и точна реакция.
- Той има възможността за последователност на събития.
- Бързо откриване на злонамерени заплахи.
Присъда: За да ви предостави полезни и предсказуеми прозрения, Splunk използва AI и машинно обучение. Таблата и визуализациите могат да се персонализират. Според отзивите на клиентите това е скъп инструмент и затова е най-подходящ за предприятията.
Уебсайт: Splunk
# 4) McAfee ESM
Цена: Предлага се и безплатен пробен период. Можете да получите оферта за подробностите за цените. Според онлайн отзивите, цената е $ 39995 за VM и $ 47994 за сравними хардуерни цени.
McAfee ESM ще ви осигури видимост в реално време за дейностите в системата, мрежите, базите данни и приложенията.
Той предоставя различни продукти, свързани със сигурността, като McAfee Investigator, Advanced Correlation Engine, Application Data Monitor, Enterprise Log Manager, Event Receiver, Глобална информация за заплахи за Enterprise Security Manager и Enterprise Log Search. Ще получите активни данни от McAfee ESM.
Характеристика:
- Приоритетни сигнали.
- С усъвършенствана аналитика и богат контекст ще бъде по-лесно да се откриват и приоритизират заплахите.
- Динамично представяне на данни. Това ще бъдат действащи данни за разследване, съдържане, отстраняване и адаптиране за импортиране на сигнали и модели.
- Данните ще бъдат наблюдавани и анализирани от широка хетерогенна инфраструктура за сигурност.
- Той има отворени интерфейси за двупосочна интеграция.
Присъда: McAfee е един от популярните инструменти на SIEM. Той потвърждава сигурността на системата, като преминава през вашите активни записи в директория. Той поддържа Windows и Mac OS.
Уебсайт: McAfee ESM
# 5) Micro Focus ArcSight
Най-доброто за Малък, среден и голям бизнес.
Цена: Micro Focus предлага безплатна пробна версия за ArcSight. Това ще ви струва според количеството погълнати данни и събитията за сигурност, свързани в секунда.
как да се справяте с трудни ситуации на работното място
ArcSight Enterprise Security Manager има функции на разпределена корелация и изглед на клъстера.
Той е добър при поглъщане на източници, тъй като поддържа повече от 500 типа устройства за анализ на данните. Той е достъпен чрез уреда, софтуера, AWS и Microsoft Azure.
Характеристика:
- Той осигурява разпределена корелация чрез комбиниране на SIEM механизъм за корелация с разпределена клъстерна технология.
- Може да се интегрира с различни платформи за машинно обучение и интелигентност.
- Използва агенти или съединители. Той поддържа повече от 300 конектора.
Присъда: Micro Focus ArcSight е мащабируемо решение, което отговаря на взискателните изисквания за сигурност. Той е добър при блокиране на заплахи и за производителност (100000 EPS).
Уебсайт: Micro Focus ArcSight
# 6) LogRithm
Най-доброто за средни организации.
Цена: Можете да получите оферта за високоефективен уред, софтуерно решение и програма за лицензиране на предприятия. Според онлайн отзивите, цената започва от $ 28000.
LogRhythm предоставя решение от следващо поколение SIEM за проблеми като фрагментирани работни потоци, умора от аларма, сегментирано откриване на заплахи, липса на автоматизация, липса на показатели за разбиране на зрелостта и липса на централизирана видимост. Той има гъвкави опции за съхранение на данни.
Характеристика:
- Той ще обработва неструктурирани данни и ще ви осигури последователен, нормализиран изглед.
- Той поддържа Windows и Linux OS.
- Това е технология, базирана на AI.
- Той поддържа широка гама от устройства и видове регистрационни файлове.
Присъда: Тази платформа има всички функции и функционалности, от поведенчески анализ до корелация на регистрите и AI. Според отзивите на клиентите, той има крива на обучение, но ръководството с инструкции с хипервръзки към функции ще ви помогне да научите инструмента.
Уебсайт: LogRithm
# 7) AlienVault USM
Най-доброто за всякакви големи предприятия.
Цена: AlienVault предлага три ценови плана, т.е. Essentials ($ 1075 на месец), Standard ($ 1695 на месец) и Premium ($ 2595 на месец). Планът Essentials ще работи най-добре за малки ИТ екипи, Стандартният план е за екипите за ИТ сигурност, а планът Premium е за онези екипи за ИТ сигурност, които искат да отговорят на специфичните изисквания за одит на PCI DSS.
AlienVault е единствената платформа с множество възможности за сигурност. Той има функции за откриване и инвентаризация на активи, оценка на уязвимост, откриване на проникване, корелация на събития SIEM, доклади за съответствие, управление на регистрационни файлове, предупреждения по имейл и др.
Използва леки сензори и крайни агенти. Може да се използва от MSSP за приспособяване на техните предложения за услуги за сигурност.
Характеристика:
- Той има функция за автоматично откриване на активи, така че да може да се използва в динамична облачна среда.
- Крайните точки ще се наблюдават непрекъснато за заплахи и проблеми с конфигурацията.
- Идентифициране на уязвимости и проблеми с конфигурацията на AWS.
- Той ще се разгърне по-бързо, ще работи по-умно и ще автоматизира лова на заплахи.
Присъда: AlienVault USM (Unified Security Management) е платформата за откриване на заплахи, реагиране на инциденти и управление на съответствието. Той може да бъде внедрен локално, в облака или в хибридна среда. Той ще се разгърне по-бързо, ще работи по-умно и ще автоматизира лова на заплахи.
Уебсайт: AlienVault USM
# 8) RSA NetWitness
Най-доброто за среден и голям бизнес.
Цена: Можете да получите оферта за подробностите за цените. Според онлайн отзивите, началната цена ще бъде $ 857 на месец за срочен лиценз. Тези тарифи са за типичното предприятие.
Тази платформа използва различни източници на данни като дневници на RSA NetWitness, RSA NetWitness Network, RSA NetWitness Endpoint, RSA NetWitness UEBA и Orchestrator.
За окончателен отговор той предоставя възможности за оркестрация и автоматизация на анализаторите. За това той се свързва с инцидентите с течение на времето и ще идентифицира обхвата на атака. Това ще помогне на анализаторите да премахнат заплахите, преди това да повлияе на бизнеса.
Характеристика:
- Използвайки интелигентността на заплахата и бизнес контекста, той извършва обогатяване на данни в реално време.
- Това обогатяване на данни в реално време ще помогне на анализаторите по време на разследването, като направи данните за сигурност по-полезни.
- Той може автоматично да извлича метаданни, свързани с заплахата, като използва специализирани алгоритми.
- Той осигурява цялостно управление на инциденти.
- Той осигурява гъвкавост при внедряване, тъй като може да бъде разположен като единичен уред или множество, частично или изцяло виртуализиран, както локално, така и в облака.
Присъда: Тази платформа ще ви осигури предимства от несравнима видимост, окончателен отговор и усъвършенствано откриване на заплаха. За обширни метаданни той работи с различни източници за извличане на съответните заплахи метаданни в повече от 200 полета с метаданни.
Уебсайт: RSA NetWitness
# 9) EventTracker
Най-доброто за малък, среден и голям бизнес.
EventTracker е платформата с множество възможности като SIEM & Управление на регистри, Откриване и реагиране на заплахи, Оценка на уязвимост, Анализ на поведението на потребителите и субектите, Оркестрация и автоматизация на сигурността и съответствие.
Той има персонализируеми плочки на таблото за управление и автоматизирани работни потоци. Той осигурява мащабируеми изгледи за малки екрани и SOC дисплеи.
Характеристика:
- Той ще генерира базирани на правила сигнали в реално време.
- Той извършва обработка и корелация в реално време, което ще бъде полезно за анализ и корелация на поведението.
- Включени са 1500 предварително дефинирани отчета за сигурност и съответствие.
- Той осигурява едно стъкло за SOC, оптимизиран отзивчив дисплей и по-бързо еластично търсене.
- Тя ще ви позволи да конфигурирате предварително сигналите за множество условия за сигурност и експлоатация.
Присъда: Решението може да се използва в множество индустрии като финанси и банки, юридически, висше образование, търговия на дребно, здравеопазване и др. Може да бъде внедрено в облака или на място.
Уебсайт: EventTracker
# 10) Securonix
Най-доброто за малък, среден и голям бизнес.
Цена: Получите оферта.
Securonix е платформата от следващо поколение SIEM за събиране на данни в мащаб, откриване на напреднали заплахи и бързо отстраняване на заплахите. Това е мащабируема платформа, базирана на Hadoop. Той ще бъде доставен в облака като услуга. Това ще ви позволи да експортирате визуализираните данни в стандартни формати на данни.
Характеристика:
- Интелигентна реакция на инциденти.
- Той има възможности за анализ на поведението на потребителите и обектите, лов на заплахи, оркестрация на сигурността, автоматизация и реакция.
- За интелигентното и автоматизирано реагиране на инциденти той използва Securonix Response Bot.
- Това е двигател за препоръки и се основава на изкуствен интелект.
Присъда: Securonix е мащабируема платформа, базирана на машинно обучение. Сложни заплахи ще бъдат открити с помощта на анализ на поведението и машинно обучение.
Уебсайт: Securonix
# 11) Rapid7
Най-доброто за малък, среден и голям бизнес.
Цена: Получите оферта.
Insight IDR е облачно SIEM решение на Rapid7. За събиране и търсене на данни той разполага с облачна платформа Insight.
Заплахи като злонамерен софтуер, фишинг и откраднати идентификационни данни могат да бъдат открити. Той има функциите на анализ на поведението на потребителите и нападателите, централизирано управление на регистрационните файлове, технология за измама, мониторинг на целостта на файловете и др. Той ще сканира крайните точки за откриване в реално време.
Характеристика:
- Той осигурява анализ на поведението на нападателите.
- Той има централизирано управление на регистрационните файлове.
- За анализ на поведението на потребителите той непрекъснато извежда здравословна активност на потребителите.
- За откриване и видимост на крайната точка използва Insight Agent.
- Автоматично създаване на съответни билети за всякакъв вид предупреждение, което се създава или управлява от InsightIDR.
Присъда: Rapid7 осигурява базиран на облак дневник и управление на събития. Тя няма да изисква текуща поддръжка. Това ще ви помогне да вземете интелигентни и бързи решения, като обедините търсенето в дневника, поведението на потребителите и данните за крайните точки.
Уебсайт: Бързо7
# 12) IBM Security QRadar
Най-добро за: Среден и голям бизнес.
Цена: Вземете оферта от IBM Security QRadar. Според отзивите, достъпни онлайн, цената започва от $ 800 на месец. За виртуалния уред от 100 EPS цената е 10 700 $. Има безплатна пробна версия за 14 дни.
IBM Security QRadar е водеща на пазара SIEM платформа, която осигурява мониторинг на сигурността на цялата ви ИТ инфраструктура чрез събиране на данни от журнали, корелация на събития и откриване на заплахи.
QRadar ви позволява да давате приоритет на сигналите за сигурност, като използвате бази данни за разузнаване на заплахи и уязвимости и вградено решение за управление на риска и поддържа интеграция с антивируси, IDS / IPS и системи за контрол на достъпа.
QRadar е разширяемо ядро на SOC, което може да бъде обогатено с допълнителна функционалност чрез включване на различни полезни приложения, достъпни на портала на IBM Security App Exchange.
Характеристика:
- Усъвършенстван механизъм за корелация на правила и технология за поведенческо профилиране.
- Гъвкава и силно мащабируема платформа с огромна функционалност и готови настройки за различни случаи на употреба.
- Солидна екосистема от интеграции от IBM, доставчици на трети страни и общност.
Присъда: IBMQRadaroff предлага многобройни функции за събиране на данни, активност в дневниците, мрежова активност и активи. Той осигурява поддръжка на браузъри IE, Firefox и Chrome. Според отзивите на клиентите, той се фокусира върху критични инциденти.
Заключение
Видяхме най-добрите инструменти на SIEM, заедно с тяхното сравнение и рецензии.
Повечето от услугите следват модел на ценообразуване и предлагат безплатен пробен период. SolarWinds и Splunk са най-добрите решения за SIEM. McAfee ESM е един от популярните SIEM софтуери и има функции като приоритетни сигнали и динамично представяне на данни.
ArcSight ESM е добър за поглъщане на източници и е достъпен чрез уреда, софтуера, AWS и Microsoft Azure. IBM Security QRadar поддържа платформата Linux и ще се фокусира върху критични инциденти. LogRhythm е технология, базирана на AI и може да обработва неструктурирани данни.
AlienVault има множество възможности за сигурност и ще осигури автоматично откриване на активи. RSA NetWitness ще ви осигури цялостно управление на инциденти. EventTracker е платформа с множество възможности и има функции като персонализируеми плочки на таблото за управление и автоматизирани работни потоци.
Securonix е следващото поколение SIEM платформа, базирана на Hadoop.
Надявам се, че тази статия ще ви помогне с избора на подходящия инструмент SIEM за вашия бизнес.
= >> Свържете се с нас да предложите списък тук.Препоръчително четене
- Тестване на мрежовата сигурност и най-добрите инструменти за мрежова сигурност
- Възможност за работа на свободна практика на непълно работно време за експерти по селен
- Документация за приемане на тестове със сценарии в реално време
- 10 най-добър софтуер за часовник за свободно време за проследяване на времето на служителите
- Функции за дата и час в C ++ с примери
- TimeShiftX, издаден за опростяване на тестването на изместване на времето
- Какво е IP Security (IPSec), TACACS и AAA протоколи за сигурност
- Ръководство за тестване на сигурността на уеб приложения