SIEM是一种将SIM(安全信息管理)和SEM(安全事件管理)的功能结合成一个安全管理系统的安全管理方法,其现代工具已经存在了大约十二年。SIM收集、分析和报告日志数据;SEM实时分析日志和事件数据,以提供威胁监控、事件关联和事件响应。由于其全天候的实时性能,SIEM已经成为大型企业所需要的技术。
SIM和SEM功能可以逐应用程序分析应用程序和网络硬件生成的安全警报。能够将这两种功能结合起来的安全提供者是在新服务的内部渠道。
SIEM的主要功能包括从多个来源获取数据、解释数据、集成威胁情报源、关联警报、分析、分析、自动化和总结潜在威胁。
IBM QRadar和Splunk:商业上最好的两家。
IBM QRadar和Splunk是现有的两个最好的安全信息和事件管理(SIEM)解决方案,后者在过去十年的大部分时间里一直是市场领导者。然而,每种产品都给潜在买家带来了明显的好处。两者都提供了强大的核心SIEM产品,但在使用智能以及与第三方和其他安全工具集成方面有所不同。
一般来说,IBM QRadar旨在与其他IBM产品(如Watson AI)进行最佳合作,而Splunk作为独立的软件制造商,可以更轻松地与系统中的其他组件进行交互。
以下是每个解决方案的一些关键特性和分析。以下是对SIEM工具业务的两个最佳优缺点的面对面汇编:IBM QRadar和Splunk。
IBM QRadar
QRadar带来了什么:IBM的SIEM工具集QRadar是专门为大型组织设计的,它包含一个用于构建企业级威胁检测和响应系统的可靠平台。它还包含许多用于更简单用例的蓝图和模板。QRadar拥有庞大的部署基础和广泛的服务提供商,可以帮助组织购买、运营、调整和监控其部署。
IBM QRadar安全智能平台围绕IBM QRadar SIEM构建,包含多个组件。IBM QRadar漏洞管理器使用虚拟机数据来培养事件数据。IBM QRadar网络洞察提供了基于QFlow的应用程序对网络流的可见性。
IBM QRadar用户行为分析是一个免费的UBA模块,可以解决一些内部威胁用例。IBM QRadar事件取证提供取证调查支持。沃森的IBM QRadar Advisor为已识别的威胁提供自动根本原因研究。
考虑QRadar的主要原因:
向首席财务官提交投资案例更容易。IBM有着强大的实力和庄严的品质。
QRadar提供了一个多功能和广泛的SIEM平台,可以为各种用例选择现成的(模板化的)内容。管理员在处理安装时不必从头开始。
QRadar拥有与其他IBM安全产品组合解决方案(如IBM QRadar Advisor与Watson、IBM Resilient或free UBA模块)和第三方(社区、安全和IT供应商)开发的内容进行增值集成的坚实生态系统,可以通过IBM QRadar的市场进行访问。
沃森AI本身就是一大卖点。
IBM QRadar用户行为分析是一个免费的UBA模块,可以解决一些内部威胁用例。IBM QRadar事件取证提供取证调查支持。沃森的IBM QRadar Advisor为已识别的威胁提供自动根本原因研究。该供应商还提供了IBM安全应用交换,IBM QRadar客户可以在其中下载由IBM或第三方开发的内容,以扩大IBM QRadar的覆盖范围或价值主张。
包括对网络数据监控的强大支持和大量解析流数据的应用程序流签名。
如何部署QRadar:
IBM QRadar SIEM可以作为硬件虚拟设备和软件包提供,具体取决于客户的事件速度(范围内的EPS数据源数量)。也可以从云中获得,如IBM托管的SaaS SIEM。
QRadar定价的工作原理:
IBM QRadar安全智能平台中的其他组件根据其各自的指标进行定价(例如,IBM QRadar Network Insights的流数量或IBM QRadar漏洞管理器范围内的资产数量)。QRadar Network Insights仅适用于数据中心的硬件设备格式。
接受这项建议:
IBM QRadar与其他IBM组件配合使用效果最好。
用户体验可能会落后于一些较新的竞争对手,IBM QRadar中的选项卡和模块的观感也不一致。据说IBM正在努力改进这一点。
平台中的风险分值显示了违规情况下的数量级,可能需要安全流程的成熟度来实现这一操作。无需定制即可提供风险评分。
分析师指出,IBM的集成和部署以及服务/支持。
的得分低于其他SIEM领导者,包括Splunk。SIEM的参考客户为IBM提供低于平均水平的服务和支持。IBM已经表示,它最近增加了服务和支持的人员配备水平。Splunk安全产品组合
Splunk带来了什么:Splunk不仅在所有IT业务中拥有更多彩色名称之一,其SIEM系统得到高度评价和欢迎。寻求可以跨SIEM和其他IT用例共享架构和供应商管理的SIEM解决方案的组织以及那些寻求可扩展解决方案的组织,从基本日志管理到高级分析和响应,应该考虑使用Splunk。
其安全运营套件包括Splunk Enterprise和三个解决方案:Splunk Enterprise Security(ES),Splunk用户行为分析(UBA)和Splunk Phantom。Splunk Enterprise为IT操作和一些安全用例中的各种用途提供事件和数据收集,搜索和可视化。高级ES解决方案提供大多数特定于安全监视的功能,包括特定于安全性的查询,可视化和仪表板,以及一些案例管理,工作流和事件响应功能。
Splunk的安全产品组合连续六年被Gartner Research评为领先技术 - 这不是一项微不足道的成就。该平台可帮助客户优化其安全神经中心,并解决各种安全监控和威胁检测用例。客户将Splunk Enterprise Security和Splunk用户行为分析一起用作分析驱动的SIEM,以构建其安全运营中心,以检测,调查和响应威胁。Splunk Phantom是领先的安全编排,自动化和响应(SOAR)解决方案,可帮助客户调查并加速他们对事件的响应。
寻求SIEM解决方案的组织可以跨SIEM和其他IT用例共享架构和供应商管理,以及寻求具有从基本日志管理到高级分析和响应的全方位选项的可扩展解决方案,应该考虑Splunk。
考虑Splunk的主要原因:
Splunk的Security Operations Suite集中运行,具有直观的用户界面。该平台由Splunk Enterprise和三个解决方案组成:Splunk Enterprise Security(ES),Splunk用户行为分析(UBA)和Splunk Phantom。Splunk Enterprise为IT操作和一些安全用例中的各种用途提供事件和数据收集,搜索和可视化。
高级ES解决方案提供大多数特定于安全监视的功能,包括特定于安全性的查询,可视化和仪表板,以及一些案例管理,工作流和事件响应功能。UBA增加了机器学习(ML)驱动的高级分析。Phantom提供SOAR功能。Splunkbase提供了其他安全用例应用程序。
Splunk在过去12个月中最重要的增强功能是通过Splunk ES中的Investigation Workbench UI,ES和UBA的快速内容更新以及速度改进支持指导性调查。
Splunk的产品为组织提供了多个安全监控入口点,其路径可以从基本事件收集开始,简单的使用案例与Splunk Enterprise一起使用,通过ES实现更丰富的SIEM功能,使用UBA实现更高级的分析,使用Phantom实现SOAR功能。
该供应商在Splunk应用程序市场中拥有强大的技术集成生态系统,尽管与Splunk竞争的其他技术的用户(例如,在用户分析空间中)应该验证集成的深度。
PII保护功能强大; 支持模糊处理和PII屏蔽到字段级别,可以根据用户身份,位置和其他特征应用。
如何部署Splunk:
Splunk提供多种部署选项:内部部署软件,IaaS中的软件以及混合模型。Splunk Cloud是一个使用AWS基础架构的Splunk托管和操作SaaS解决方案。Splunk Enterprise和Splunk Cloud组件包括支持n层体系结构的通用转发器,索引器和搜索头。
Splunk的定价如何运作:
Splunk根据提取到平台的数据量获得许可,并提供DNS和NetFlow数据的定价折扣。ES还获得了每天千兆字节的许可,而UBA则通过组织中的用户帐户数量获得许可,并且所有这些都可以作为永久或期限许可提供,具有各种企业级定价和校正的选项。幻影的价格取决于用户采取行动的事件数量。
接受建议:
另一个例子是“你通常得到你付出的代价”,Splunk通常比竞争对手贵。客户和潜在买家倾向于表达对定价模型和总成本的担忧。Phantom的加入和“神经中枢”概念的引入(单独的SIEM,UBA和SOAR产品)导致三种定价模型具有不同的测量方法。
Splunk UBA此时是内部部署或客户云计算解决方案,可能会与希望保留SaaS模型的Splunk Cloud客户产生摩擦。
Splunk没有本地代理支持FIM或EDR,尽管有许多第三方解决方案的集成。
Splunk对OT / IoT的支持在很大程度上取决于第三方应用程序的功能,而不是Splunk对OT协议的支持。
