SIEM,其現(xiàn)代工具已經(jīng)存在了大約十二年,是一種安全管理方法,它將SIM(安全信息管理)和SEM(安全事件管理)功能結(jié)合到一個(gè)安全管理系統(tǒng)中。SIM收集,分析和報(bào)告日志數(shù)據(jù); SEM實(shí)時(shí)分析日志和事件數(shù)據(jù),以提供威脅監(jiān)控,事件關(guān)聯(lián)和事件響應(yīng)。由于其全天候?qū)崟r(shí)性,SIEM現(xiàn)在已成為大型企業(yè)所需的技術(shù)。
SIM和SEM功能均可按應(yīng)用程序分析應(yīng)用程序和網(wǎng)絡(luò)硬件生成的安全警報(bào)。可以將這兩種功能結(jié)合起來(lái)的安全提供商處于新業(yè)務(wù)的內(nèi)部通道中。
企業(yè)SIEM的主要功能包括從多個(gè)來(lái)源獲取數(shù)據(jù),解釋數(shù)據(jù),整合威脅情報(bào)源,警報(bào)關(guān)聯(lián),分析,分析,自動(dòng)化和潛在威脅的總結(jié)。
IBM QRadar與Splunk:業(yè)務(wù)中最好的兩個(gè)
IBM QRadar和Splunk,后者在十年的大部分時(shí)間里一直是市場(chǎng)領(lǐng)導(dǎo)者,是現(xiàn)有兩種最好的安全信息和事件管理(SIEM)解決方案。但是,每種產(chǎn)品都為潛在買(mǎi)家提供了明顯的好處。兩者都提供強(qiáng)大的核心SIEM產(chǎn)品,但它們?cè)谑褂弥悄芎团c第三方和其他安全工具集成方面存在差異。
通常,IBM QRadar旨在與其他IBM產(chǎn)品(如Watson AI)進(jìn)行最佳協(xié)作,而作為獨(dú)立軟件制造商的Splunk可以更輕松地與系統(tǒng)內(nèi)的其他組件進(jìn)行交互。
以下是每個(gè)解決方案的一些關(guān)鍵特性和分析。以下是SIEM工具業(yè)務(wù)中兩個(gè)最佳的利弊面對(duì)面匯編:IBM QRadar和Splunk。
IBM QRadar
QRadar帶來(lái)的內(nèi)容: IBM的SIEM工具集QRadar專(zhuān)為大型組織而設(shè)計(jì),包含一個(gè)用于構(gòu)建企業(yè)級(jí)威脅檢測(cè)和響應(yīng)系統(tǒng)的可靠平臺(tái)。它還包含用于更簡(jiǎn)單用例的大量藍(lán)圖和模板。QRadar擁有龐大的部署基礎(chǔ)和廣泛的服務(wù)提供商,可以幫助組織采購(gòu),運(yùn)行,調(diào)整和監(jiān)控他們的部署。
IBM QRadar安全智能平臺(tái)圍繞IBM QRadar SIEM構(gòu)建,并包含多個(gè)組件。IBM QRadar Vulnerability Manager使用VM數(shù)據(jù)對(duì)事件數(shù)據(jù)進(jìn)行上下文化。IBM QRadar Network Insights提供基于QFlow的應(yīng)用程序?qū)W(wǎng)絡(luò)流的可見(jiàn)性。
IBM QRadar用戶行為分析是一個(gè)免費(fèi)的UBA模塊,可解決一些內(nèi)部威脅用例。IBM QRadar Incident Forensics提供法醫(yī)調(diào)查支持。Watson的IBM QRadar Advisor為已識(shí)別的威脅提供自動(dòng)化根本原因研究。
考慮QRadar的主要原因:
更容易將投資案例提交給首席財(cái)務(wù)官,IBM擁有強(qiáng)大的力量和莊嚴(yán)的品質(zhì)。
QRadar提供了一個(gè)多功能和廣泛的SIEM平臺(tái),可以為廣泛的用例選擇開(kāi)箱即用(模板化)的內(nèi)容。管理員在處理安裝時(shí)不必從頭開(kāi)始。
QRadar擁有與其他IBM安全產(chǎn)品組合解決方案(例如帶有Watson的IBM QRadar Advisor,IBM Resilient或免費(fèi)UBA模塊)以及由第三方(社區(qū),安全和IT供應(yīng)商)開(kāi)發(fā)的內(nèi)容的增值集成的堅(jiān)實(shí)生態(tài)系統(tǒng),可通過(guò)IBM QRadar的市場(chǎng)訪問(wèn)。
Watson AI本身就是一個(gè)很大的賣(mài)點(diǎn)。
IBM QRadar用戶行為分析是一個(gè)免費(fèi)的UBA模塊,可解決一些內(nèi)部威脅用例。IBM QRadar Incident Forensics提供法醫(yī)調(diào)查支持。Watson的IBM QRadar Advisor為已識(shí)別的威脅提供自動(dòng)化根本原因研究。該供應(yīng)商還提供IBM Security App Exchange,其中IBM QRadar客戶可以下載由IBM或第三方開(kāi)發(fā)的內(nèi)容,以擴(kuò)展IBM QRadar的覆蓋范圍或價(jià)值主張。
包括對(duì)網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控的強(qiáng)大支持,以及大量應(yīng)用程序流簽名來(lái)解析流數(shù)據(jù)。
如何部署QRadar:
IBM QRadar SIEM可作為硬件虛擬設(shè)備和軟件包提供,具體取決于客戶的事件速度(范圍內(nèi)數(shù)據(jù)源的EPS數(shù)量)。它也可以作為IBM托管的SaaS SIEM從云中獲取。
QRadar的定價(jià)如何運(yùn)作:
IBM QRadar安全情報(bào)平臺(tái)中其他組件的定價(jià)取決于其各自的指標(biāo)(例如,IBM QRadar Network Insights的流數(shù)或IBM QRadar Vulnerability Manager范圍內(nèi)的資產(chǎn)數(shù))。QRadar Network Insights僅適用于數(shù)據(jù)中心的硬件設(shè)備格式。
接受建議:
IBM QRadar與其他IBM組件最佳地協(xié)同工作。
用戶體驗(yàn)可能落后于一些較新的競(jìng)爭(zhēng)對(duì)手,IBM QRadar中的選項(xiàng)卡和模塊之間的外觀和感覺(jué)不一致。據(jù)說(shuō)IBM正在努力改進(jìn)這一點(diǎn)。
平臺(tái)中的風(fēng)險(xiǎn)評(píng)分在違規(guī)情況下顯示為數(shù)量級(jí),并且可能需要安全流程中的成熟度來(lái)實(shí)現(xiàn)此操作。提供風(fēng)險(xiǎn)評(píng)分,無(wú)需定制。
分析師指出,IBM在整合和部署以及服務(wù)/支持方面的得分低于其他SIEM領(lǐng)導(dǎo)者,包括Splunk。SIEM的參考客戶為IBM提供低于平均水平的服務(wù)和支持。IBM已經(jīng)表示,它最近增加了服務(wù)和支持的人員配備水平。
Splunk安全產(chǎn)品組合
Splunk帶來(lái)了什么:Splunk不僅在所有IT業(yè)務(wù)中擁有更多彩色名稱之一,其SIEM系統(tǒng)得到高度評(píng)價(jià)和歡迎。尋求可以跨SIEM和其他IT用例共享架構(gòu)和供應(yīng)商管理的SIEM解決方案的組織以及那些尋求可擴(kuò)展解決方案的組織,從基本日志管理到高級(jí)分析和響應(yīng),應(yīng)該考慮使用Splunk。
其安全運(yùn)營(yíng)套件包括Splunk Enterprise和三個(gè)解決方案:Splunk Enterprise Security(ES),Splunk用戶行為分析(UBA)和Splunk Phantom。Splunk Enterprise為IT操作和一些安全用例中的各種用途提供事件和數(shù)據(jù)收集,搜索和可視化。高級(jí)ES解決方案提供大多數(shù)特定于安全監(jiān)視的功能,包括特定于安全性的查詢,可視化和儀表板,以及一些案例管理,工作流和事件響應(yīng)功能。
Splunk的安全產(chǎn)品組合連續(xù)六年被Gartner Research評(píng)為領(lǐng)先技術(shù) - 這不是一項(xiàng)微不足道的成就。該平臺(tái)可幫助客戶優(yōu)化其安全神經(jīng)中心,并解決各種安全監(jiān)控和威脅檢測(cè)用例??蛻魧plunk Enterprise Security和Splunk用戶行為分析一起用作分析驅(qū)動(dòng)的SIEM,以構(gòu)建其安全運(yùn)營(yíng)中心,以檢測(cè),調(diào)查和響應(yīng)威脅。Splunk Phantom是領(lǐng)先的安全編排,自動(dòng)化和響應(yīng)(SOAR)解決方案,可幫助客戶調(diào)查并加速他們對(duì)事件的響應(yīng)。
尋求SIEM解決方案的組織可以跨SIEM和其他IT用例共享架構(gòu)和供應(yīng)商管理,以及尋求具有從基本日志管理到高級(jí)分析和響應(yīng)的全方位選項(xiàng)的可擴(kuò)展解決方案,應(yīng)該考慮Splunk。
考慮Splunk的主要原因:
Splunk的Security Operations Suite集中運(yùn)行,具有直觀的用戶界面。該平臺(tái)由Splunk Enterprise和三個(gè)解決方案組成:Splunk Enterprise Security(ES),Splunk用戶行為分析(UBA)和Splunk Phantom。Splunk Enterprise為IT操作和一些安全用例中的各種用途提供事件和數(shù)據(jù)收集,搜索和可視化。
高級(jí)ES解決方案提供大多數(shù)特定于安全監(jiān)視的功能,包括特定于安全性的查詢,可視化和儀表板,以及一些案例管理,工作流和事件響應(yīng)功能。UBA增加了機(jī)器學(xué)習(xí)(ML)驅(qū)動(dòng)的高級(jí)分析。Phantom提供SOAR功能。Splunkbase提供了其他安全用例應(yīng)用程序。
Splunk在過(guò)去12個(gè)月中最重要的增強(qiáng)功能是通過(guò)Splunk ES中的Investigation Workbench UI,ES和UBA的快速內(nèi)容更新以及速度改進(jìn)支持指導(dǎo)性調(diào)查。
Splunk的產(chǎn)品為組織提供了多個(gè)安全監(jiān)控入口點(diǎn),其路徑可以從基本事件收集開(kāi)始,簡(jiǎn)單的使用案例與Splunk Enterprise一起使用,通過(guò)ES實(shí)現(xiàn)更豐富的SIEM功能,使用UBA實(shí)現(xiàn)更高級(jí)的分析,使用Phantom實(shí)現(xiàn)SOAR功能。
該供應(yīng)商在Splunk應(yīng)用程序市場(chǎng)中擁有強(qiáng)大的技術(shù)集成生態(tài)系統(tǒng),盡管與Splunk競(jìng)爭(zhēng)的其他技術(shù)的用戶(例如,在用戶分析空間中)應(yīng)該驗(yàn)證集成的深度。
PII保護(hù)功能強(qiáng)大; 支持模糊處理和PII屏蔽到字段級(jí)別,可以根據(jù)用戶身份,位置和其他特征應(yīng)用。
如何部署Splunk:
Splunk提供多種部署選項(xiàng):內(nèi)部部署軟件,IaaS中的軟件以及混合模型。Splunk Cloud是一個(gè)使用AWS基礎(chǔ)架構(gòu)的Splunk托管和操作SaaS解決方案。Splunk Enterprise和Splunk Cloud組件包括支持n層體系結(jié)構(gòu)的通用轉(zhuǎn)發(fā)器,索引器和搜索頭。
Splunk的定價(jià)如何運(yùn)作:
Splunk根據(jù)提取到平臺(tái)的數(shù)據(jù)量獲得許可,并提供DNS和NetFlow數(shù)據(jù)的定價(jià)折扣。ES還獲得了每天千兆字節(jié)的許可,而UBA則通過(guò)組織中的用戶帳戶數(shù)量獲得許可,并且所有這些都可以作為永久或期限許可提供,具有各種企業(yè)級(jí)定價(jià)和校正的選項(xiàng)?;糜暗膬r(jià)格取決于用戶采取行動(dòng)的事件數(shù)量。
接受建議:
另一個(gè)例子是“你通常得到你付出的代價(jià)”,Splunk通常比競(jìng)爭(zhēng)對(duì)手貴??蛻艉蜐撛谫I(mǎi)家傾向于表達(dá)對(duì)定價(jià)模型和總成本的擔(dān)憂。Phantom的加入和“神經(jīng)中樞”概念的引入(單獨(dú)的SIEM,UBA和SOAR產(chǎn)品)導(dǎo)致三種定價(jià)模型具有不同的測(cè)量方法。
Splunk UBA此時(shí)是內(nèi)部部署或客戶云計(jì)算解決方案,可能會(huì)與希望保留SaaS模型的Splunk Cloud客戶產(chǎn)生摩擦。
Splunk沒(méi)有本地代理支持FIM或EDR,盡管有許多第三方解決方案的集成。
Splunk對(duì)OT / IoT的支持在很大程度上取決于第三方應(yīng)用程序的功能,而不是Splunk對(duì)OT協(xié)議的支持。