13 melhores ferramentas SIEM para 2022: fornecedores e soluções classificados
SIEM significa Gerenciamento de Informações e Eventos de Segurança. As ferramentas SIEM fornecem análise em tempo real de alertas de segurança gerados por aplicativos e hardware de rede.
Existem mais de 50 soluções SIEM no mercado e este guia o ajudará a identificar a solução certa para sua organização.
Aqui está nossa lista das melhores ferramentas SIEM:
- Datadog Security Monitoring ESCOLHA DO EDITORUm sistema de monitoramento e gerenciamento de rede nativo da nuvem que inclui monitoramento de segurança e gerenciamento de logs em tempo real. Vem com mais de 500 integrações de fornecedores prontas para uso. Comece com um teste gratuito de 14 dias.
- Gerenciador de eventos de segurança SolarWinds (TESTE GRATUITO)Uma das ferramentas SIEM mais competitivas do mercado, com uma ampla gama de recursos de gerenciamento de logs.
- LogPoint (DEMONSTRAÇÃO DE ACESSO) Esta solução SIEM local é capaz de orquestrar outras ferramentas de segurança na rede para coletar dados de atividades e implementar soluções de ameaças. Disponível como um dispositivo físico ou um pacote de software para Linux.
- Graylog (PLANO GRATUITO)Este pacote de gerenciamento de log inclui uma extensão de serviço SIEM que está disponível em versões gratuitas e pagas e tem uma opção de nuvem.
- Analisador ManageEngine EventLog (TESTE GRATUITO) Uma ferramenta SIEM que gerencia, protege e extrai arquivos de log. Este sistema é instalado no Windows, Windows Server e Linux.
- ManageEngine Log360 (TESTE GRATUITO) Este pacote SIEM coleta logs de sistemas locais e em nuvem e também usa um feed de inteligência de ameaças. Funciona no Windows Server.
- Fusão Exabeam Esta plataforma em nuvem oferece uma solução de segurança que pode ser considerada um SIEM de última geração ou um XDR de próxima geração.
- Segurança Corporativa SplunkEsta ferramenta para Windows e Linux é líder mundial porque combina análise de rede com gerenciamento de logs juntamente com uma excelente ferramenta de análise.
- OSSEC O sistema de segurança HIDS de código aberto, de uso gratuito e que atua como um serviço de gerenciamento de informações de segurança.
- Plataforma SIEM LogRhythm NextGenA tecnologia de ponta baseada em IA sustenta esse tráfego e ferramenta de análise de log para Windows e Linux.
- Gerenciamento unificado de segurança AlienVault da AT&T CybersecuritySIEM de grande valor que roda em Mac OS e também em Windows.
- RSA NetWitnessExtremamente abrangente e adaptado para grandes organizações, mas um pouco demais para pequenas e médias empresas. Funciona no Windows.
- IBM QRadarFerramenta SIEM líder de mercado que roda em ambientes Windows.
- Gerenciador de segurança empresarial da McAfeeFerramenta SIEM popular que é executada nos registros do Active Directory para confirmar a segurança do sistema. Funciona em Mac OS e também em Windows.
O que é gerenciamento de eventos e informações de segurança (SIEM)?
SIEM é um termo abrangente para pacotes de software de segurança que vão desde sistemas de gerenciamento de log até gerenciamento de log/eventos de segurança, gerenciamento de informações de segurança e correlação de eventos de segurança. Na maioria das vezes, esses recursos são combinados para uma visão de 360 graus.
Embora um sistema SIEM não seja infalível, é um dos principais indicadores de que uma organização possui uma política de segurança cibernética claramente definida. Nove em cada dez vezes, os ataques cibernéticos não têm nenhuma indicação clara no nível superficial. Para detectar ameaças, é mais eficaz usar os arquivos de log. Os recursos superiores de gerenciamento de logs dos SIEMs tornaram-nos um centro central de transparência da rede.
A maioria dos programas de segurança opera em microescala, abordando ameaças menores, mas ignorando o panorama geral das ameaças cibernéticas. Um Sistema de detecção de intrusão (IDS) sozinho raramente pode fazer mais do que monitorar pacotes e endereços IP. Da mesma forma, seus logs de serviço mostram apenas sessões de usuário e alterações de configuração. O SIEM reúne esses sistemas e outros semelhantes para fornecer uma visão geral completa de qualquer incidente de segurança por meio do monitoramento em tempo real e da análise de logs de eventos.
O que é gerenciamento de informações de segurança (SIM)?
SsegurançaEUinformaçãoMgerenciamento (Sim) é a coleta, monitoramento e análise de dados relacionados à segurança de registros de computador. Também referido como gerenciamento de registros .
O que é gerenciamento de eventos de segurança (SEM)?
SsegurançaEventilaçãoMgerenciamento (QUAL) é a prática de gerenciamento de eventos de rede, incluindo análise de ameaças em tempo real, visualização e resposta a incidentes.
SIEM vs SIM vs SEM – qual é a diferença?
SIEM, SIM e SEM são frequentemente usados de forma intercambiável, mas existem algumas diferenças importantes.
Visão geral | Coleta e análise de dados relacionados à segurança de registros de computador. | Análise de ameaças, visualização e resposta a incidentes em tempo real. | SIEM, como o nome sugere, combina recursos SIM e SEM. |
Características | Fácil de implantar, fortes recursos de gerenciamento de log. | Mais complexo de implantar, superior no monitoramento em tempo real. | Mais complexo de implantar, funcionalidade completa. |
Ferramentas de exemplo | OSSIM | Sentinela NetIQ | Gerenciador de registros e eventos SolarWinds |
Capacidades SIEM
Os recursos básicos do SIEM são os seguintes:
- Coleta de registros
- Normalização – Coletando logs e normalizando-os em um formato padrão)
- Notificações e Alertas – Notificar o usuário quando ameaças à segurança são identificadas
- Detecção de incidentes de segurança
- Fluxo de trabalho de resposta a ameaças – Fluxo de trabalho para lidar com eventos de segurança passados
O SIEM registra dados de toda a rede interna de ferramentas dos usuários e identifica possíveis problemas e ataques. O sistema opera sob um modelo estatístico para analisar entradas de log. SIEM distribui agentes de coleta e recupera dados da rede, dispositivos, servidores e firewalls.
Todas essas informações são então passadas para um console de gerenciamento onde podem ser analisadas para enfrentar ameaças emergentes. Não é incomum que sistemas SIEM avançados usem respostas automatizadas, análise de comportamento de entidades e orquestração de segurança. Isto garante que as vulnerabilidades entre as ferramentas de segurança cibernética possam ser monitorizadas e resolvidas pela tecnologia SIEM.
Assim que as informações necessárias chegam ao console de gerenciamento, elas são visualizadas por um analista de dados que pode fornecer feedback sobre o processo geral. Isso é importante porque o feedback ajuda a educar o sistema SIEM em termos de aprendizado de máquina e a aumentar sua familiaridade com o ambiente circundante.
Depois que o sistema de software SIEM identifica uma ameaça, ele se comunica com outros sistemas de segurança no dispositivo para interromper a atividade indesejada. A natureza colaborativa dos sistemas SIEM os torna uma solução popular em escala empresarial. No entanto, o aumento de ameaças cibernéticas generalizadas fez com que muitas pequenas e médias empresas também considerassem os méritos de um sistema SIEM.
Esta mudança foi relativamente recente devido aos custos substanciais da adoção do SIEM. Você não deve apenas pagar uma quantia considerável pelo próprio sistema; você precisa alocar um ou dois membros da equipe para supervisioná-lo. Como resultado, as organizações menores têm estado menos entusiasmadas com a adoção do SIEM. Mas isso começou a mudar à medida que as PME podem terceirizar para prestadores de serviços gerenciados.
Por que o SIEM é importante?
O SIEM se tornou um componente central de segurança das organizações modernas. O principal motivo é que cada usuário ou rastreador deixa um rastro virtual nos dados de registro de uma rede. Os sistemas SIEM são projetados para usar esses dados de log para gerar insights sobre ataques e eventos passados. Um sistema SIEM não apenas identifica que um ataque aconteceu, mas também permite ver como e por que isso aconteceu.
À medida que as organizações se atualizam e fazem upgrade para infraestruturas de TI cada vez mais complexas, o SIEM tornou-se ainda mais crítico nos últimos anos. Ao contrário da crença popular, firewalls e pacotes antivírus não são suficientes para proteger uma rede na sua totalidade. Os ataques de dia zero ainda podem penetrar nas defesas de um sistema, mesmo com essas medidas de segurança em vigor.
O SIEM resolve esse problema detectando atividades de ataque e avaliando-as em relação ao comportamento anterior na rede. Um sistema SIEM tem a capacidade de distinguir entre uso legítimo e ataque malicioso. Isso ajuda a aumentar a proteção contra incidentes de um sistema e a evitar danos aos sistemas e à propriedade virtual.
O uso do SIEM também ajuda as empresas a cumprir uma variedade de regulamentações de gerenciamento cibernético do setor. O gerenciamento de logs é o método padrão do setor para auditar atividades em uma rede de TI. Os sistemas SIEM fornecem a melhor maneira de atender a esse requisito regulatório e fornecer transparência sobre os registros, a fim de gerar insights e melhorias claras.
Os recursos essenciais das ferramentas SIEM
Nem todos os sistemas SIEM são construídos da mesma forma. Como resultado, não existe uma solução única para todos. Uma solução SIEM adequada para uma empresa pode ser incompleta para outra. Nesta seção, detalhamos os principais recursos necessários para um sistema SIEM.
Gerenciamento de dados de registro
Conforme mencionado acima, o gerenciamento de dados de log é um componente central de qualquer sistema SIEM de escala empresarial. Um sistema SIEM precisa reunir informações de log de diversas fontes de dados diferentes, cada uma com sua própria maneira de categorizar e registrar dados. Ao procurar um sistema SIEM, você deseja um que tenha a capacidade de normalizar dados de maneira eficaz (talvez seja necessário um programa de terceiros se o seu sistema SIEM não estiver gerenciando bem dados de log díspares).
Depois que os dados são normalizados, eles são quantificados e comparados com dados registrados anteriormente. O sistema SIEM pode então reconhecer padrões de comportamento malicioso e gerar notificações para alertar o usuário para agir. Esses dados podem então ser pesquisados por um analista que pode definir novos critérios para alertas futuros. Isto ajuda a desenvolver as defesas do sistema contra novas ameaças.
Relatórios de Conformidade
Em termos de conveniência e requisitos regulatórios, é muito importante ter um SIEM com amplos recursos de relatórios de conformidade. Em geral, a maioria dos sistemas SIEM possui algum tipo de sistema integrado de geração de relatórios que o ajudará a atender aos seus requisitos de conformidade.
A fonte dos requisitos dos padrões aos quais você precisa estar em conformidade terá uma grande influência no sistema SIEM que você instalar. Se seus padrões de segurança são ditados por contratos de clientes, você não tem muita margem de manobra sobre qual sistema SIEM escolher – se ele não suportar o padrão exigido, então não será aquele com o qual você está acostumado. Você pode ser solicitado a demonstrar conformidade com PCI-DSS , FISMA , FERPA, HIPAA , SOX , ISO, NCUA, GLBA, NERC CIP, GPG13, DISA STIG ou um dos muitos outros padrões da indústria.
Inteligência de ameaças
Se ocorrer uma violação ou ataque, você pode gerar um relatório que detalha detalhadamente como isso aconteceu. Você pode então usar esses dados para refinar processos internos e fazer ajustes em sua infraestrutura de rede para garantir que isso não aconteça novamente. Isso usa a tecnologia SIEM para manter sua infraestrutura de rede evoluindo para enfrentar novas ameaças.
Condições de alerta de ajuste fino
Ter a capacidade de definir critérios para alertas de segurança futuros é essencial para manter um sistema SIEM eficaz por meio de inteligência contra ameaças. Refinar alertas é a principal forma de manter seu sistema SIEM atualizado contra novas ameaças. Ataques cibernéticos inovadores surgem todos os dias, portanto, usar um sistema projetado para adicionar novos alertas de segurança evita que você fique para trás.
Você também deseja ter certeza de encontrar uma plataforma de software SIEM que possa limitar o número de alertas de segurança que você recebe. Se você for inundado com alertas, sua equipe não conseguirá resolver as questões de segurança em tempo hábil. Sem alertas de ajuste fino, você estará sujeito a uma análise de vários eventos, desde firewalls até registros de intrusão.
Painel
Um sistema SIEM extenso não é bom se você tiver um painel de controle ruim por trás dele. Ter um painel com uma interface de usuário simples torna muito mais fácil identificar ameaças. Na prática, você procura um dashboard com visualização. Imediatamente, isso permite que seu analista identifique se alguma anomalia está ocorrendo no display. Idealmente, você deseja um sistema SIEM que possa ser configurado para mostrar dados de eventos específicos.
As melhores ferramentas SIEM
Antes de escolher uma ferramenta SIEM, é importante avaliar seus objetivos. Por exemplo, se você procura uma ferramenta SIEM para atender aos requisitos regulatórios, a geração de relatórios será uma de suas principais prioridades.
Por outro lado, se você quiser usar um sistema SIEM para se manter protegido contra ataques emergentes, precisará de um com normalização de alto funcionamento e amplos recursos de notificação definidos pelo usuário. Abaixo damos uma olhada em algumas das melhores ferramentas SIEM do mercado.
Nossa metodologia para selecionar uma ferramenta SIEM
Revisamos o mercado de SIEM e analisamos ferramentas com base nos seguintes critérios:
- Um sistema que reúne mensagens de log e dados de tráfego em tempo real
- Um módulo de gerenciamento de arquivos de log
- Utilitários de análise de dados
- A capacidade de reportar aos padrões de proteção de dados
- Fácil de instalar com uma interface fácil de usar
- Um período experimental para avaliação
- O equilíbrio certo entre funcionalidade e custo-benefício
1. Monitoramento de segurança Datadog (TESTE GRATUITO)
Sistema operacional:Baseado em nuvem
Cão de dadosé um pacote de monitoramento de sistema baseado em nuvem isso inclui monitoramento de segurança. Os recursos de segurança do sistema estão contidos em um módulo especializado. Este é um sistema SIEM completo porque monitora eventos ao vivo, mas os coleta como entradas de arquivos de log, portanto opera tanto em informações de registro e assim por diante dados de monitoramento . O serviço coleta informações locais por meio de um agente, que carrega cada registro no servidor Datadog. O módulo de monitoramento de segurança analisa todas as notificações recebidas e as arquiva.
Características principais:
- Detecção de eventos de segurança em tempo real
- Mais de 500 integrações de fornecedores
- Observe métricas, rastreamentos, logs e muito mais em um painel
- Regras de detecção pré-configuradas sólidas e prontas para uso
Acionador de eventos de segurança alertas no console do serviço. O console também dá acesso a todos os registros de eventos. As mensagens registradas são indexadas e retidas por 15 meses. Eles podem ser acessados para análise através do console do Datadog, ou extraídos para serem importados para outra ferramenta de análise.
Os recursos de processamento externo reduzem as demandas de processamento em sua infraestrutura. Também torna muito fácil monitorar redes remotas . O serviço de análise possui um conjunto predefinido de regras que detectarão automaticamente vetores de ataque conhecidos.
O conjunto de regras de detecção fica atualizado automaticamente pela Datadog quando novas estratégias de ataque são descobertas. Isso significa que os administradores do sistema não precisam se preocupar em manter o software de segurança atualizado porque esse processo acontece automaticamente no servidor em nuvem. Também é muito fácil para um administrador de sistemas criar regras personalizadas de detecção e mitigação .
Prós:
- Detecção de ameaças em tempo real
- Visibilidade total de segurança com mais de 500 integrações
- Comece a detectar ameaças imediatamente com regras padrão mapeadas para a estrutura MITRE ATT&CK
- Datadog obteve pontuação 4,6/5 na pesquisa Gartner com clientes de TI
- Teste gratuito de 14 dias
Contras:
- A riqueza de funcionalidades pode ser um pouco esmagadora inicialmente
Datadog está disponível em um teste gratuito de 14 dias .
ESCOLHA DOS EDITORES
Datadog é nossa melhor escolha.Oferece um menu de módulos especializados e todos eles podem ser implantados individualmente ou em conjunto. Você obtém maior funcionalidade combinando módulos, todos capazes de compartilhar dados sobre o sistema monitorado.
Obtenha um teste gratuito de 14 dias:datadoghq.com/product/security-monitoring/
VOCÊ:Nativo da nuvem
2. SolarWinds Security Event Manager (TESTE GRATUITO)
Sistema operacional:janelas
Em termos de ferramentas SIEM básicas,Gerenciador de eventos de segurança SolarWinds(QUAL) é uma das ofertas mais competitivas do mercado. O SEM incorpora todos os recursos básicos que você espera de um sistema SIEM, com amplos recursos de gerenciamento de log e relatórios. A resposta detalhada a incidentes em tempo real da SolarWinds a torna uma ótima ferramenta para quem deseja explorar os logs de eventos do Windows para gerenciar ativamente sua infraestrutura de rede contra ameaças futuras.
Características principais:
- Pesquisas automatizadas de registros em busca de violações
- Detecção de anomalias ao vivo
- Análise histórica
- Alertas do sistema
- Teste gratuito de 30 dias
Uma das melhores coisas sobre o SEM é o design detalhado e intuitivo do painel. A simplicidade das ferramentas de visualização facilita ao usuário a identificação de eventuais anomalias. Como bônus de boas-vindas, a empresa oferece suporte 24 horas por dia, 7 dias por semana, para que você possa contatá-los para obter orientação caso encontre algum erro.
Prós:
- SIEM focado em empresas com uma ampla variedade de integrações
- Filtragem de log simples, sem necessidade de aprender uma linguagem de consulta personalizada
- Dezenas de modelos permitem que os administradores comecem a usar SEM com pouca configuração ou personalização
- A ferramenta de análise histórica ajuda a encontrar comportamentos anômalos e discrepantes na rede
Contras:
- SEM É um produto SIEM avançado desenvolvido para profissionais, requer tempo para aprender totalmente a plataforma
Interface bonita com muita visualização gráfica de dados diante de uma ferramenta SIEM poderosa e abrangente que roda em Windows Server. A resposta a incidentes em tempo real facilita o gerenciamento ativo de sua infraestrutura e o painel detalhado e intuitivo torna este um dos mais fáceis de usar do mercado.
Obtenha uma avaliação gratuita de 30 dias:solarwinds.com/security-event-manager/
VOCÊ:janelas
3. LogPoint (ACESSE DEMO GRATUITA)
LogPointé um sistema SIEM local que usa detecção de anomalia por sua estratégia de caça a ameaças.
O serviço utiliza processos de aprendizado de máquina para registrar a atividade regular de cada usuário e dispositivo. Isso estabelece uma linha de base para identificar comportamentos incomuns, o que aciona o monitoramento de atividades específicas. Essa técnica é chamada análise de comportamento de usuários e entidades (UEBA). O Baseado em IA A técnica de aprendizado de máquina reduz os requisitos de processamento porque limita investigações intensas apenas às contas ou dispositivos que levantaram suspeitas.
Características principais:
- Processamento eficiente
- UEBA para linha de base da atividade
- Detecção de controle de conta
- Feed de inteligência de ameaças
O sistema LogPoint é informado por um banco de dados de estratégias típicas de ataque, que são chamadas Indicadores de compromisso (COI). Esta lista de truques é bastante estática, mas sempre que o LogPoint identifica uma nova estratégia, a empresa atualiza todas as instâncias do sistema SIEM em execução nos sites dos clientes em todo o mundo.
A estratégia de triagem do LogPoint não apenas reduz o uso da CPU, mas também torna o sistema mais rápido. O detecção de ameaças os indicadores são armazenados centralmente, de modo que os indicadores subsequentes identificados serão correlacionados onde quer que ocorram no sistema.
Prós:
- Regras de detecção de ameaças
- Orquestração com outras ferramentas
- Detecção de ameaças internas
- Relatórios do GDPR
Contras:
- Sem período de teste gratuito
O LogPoint é capaz de se comunicar com ferramentas de terceiros para extrair dados de atividades e coleta essas mensagens de log de mais de 25.000 fontes diferentes. A integração com outras ferramentas é chamada orquestração, automação e resposta de segurança (SOAR) e também pode enviar instruções de correção de volta para esses outros sistemas. Há um alto grau de automação no sistema, que inclui a capacidade de gerar tickets para alimentar seu sistema de Service Desk.
Você pode obter o LogPoint como um dispositivo de rede ou como um pacote de software para instalação em Linux . Não há teste gratuito, mas você podesolicite uma demonstraçãoavaliar o pacote
DEMO GRATUITA do LogPoint Access
4. Graylog (PLANO GRATUITO)
Graylogé um sistema de gerenciamento de logs que pode ser adaptado para uso como uma ferramenta SIEM . O pacote inclui um coletor de dados que coleta mensagens de log derivadas de sistemas operacionais. Também é capaz de capturar dados de log de uma lista de aplicativos com os quais o pacote possui integrações. Os dois formatos principais que o Graylog irá capturar são Registro de sistema e Eventos do Windows .
Características principais:
- Coletor de dados
- Integrações de aplicativos
- Syslog e eventos do Windows
- Consolidador
O coletor de dados transmite mensagens de log para um servidor de log, onde elas são consolidadas em um formato comum. O sistema Graylog calcula estatísticas de rendimento de log e mostra cauda viva registros no console à medida que chegam. O servidor de log então arquiva mensagens e gerencia uma estrutura de diretórios significativa. Qualquer um dos logs pode ser chamado de volta ao visualizador de dados para análise.
O sistema Graylog inclui modelos pré-escritos para Funções SIEM . Estes podem ser adaptados e também é possível implementar playbooks para respostas automatizadas na detecção de uma ameaça.
Prós:
- Funções SIEM adaptáveis
- Orquestração com gerenciadores de direitos de acesso e firewalls
- Ferramenta de consulta ad hoc
- Formatos de relatório
Contras:
- Não instala no Windows
Existem quatro versões do Graylog. A edição original chama-se Graylog aberto , que é um pacote gratuito e de código aberto com suporte da comunidade. Esse pacote é instalado no Linux ou em uma VM. As duas versões principais são Graylog Empresa e nuvem Graylog. A diferença entre estes é que Nuvem Graylog é um pacote SaaS e inclui espaço de armazenamento para arquivos de log. O sistema Enterprise é executado em uma VM. Existe também uma versão gratuita do Enterprise, chamada Graylog Pequenas Empresas . Queplano grátisestá limitado ao processamento2 GB de dados por dia. Você pode obter uma demonstração da edição completa do Graylog Cloud.
Download do Graylog para pequenas empresas - GRATUITO até 2 GB/dia
5. Analisador ManageEngine EventLog (TESTE GRATUITO)
Sistema operacional: Janelas e Linux
OAnalisador de log de eventos ManageEngineé uma ferramenta SIEM porque se concentra no gerenciamento de logs e na coleta de informações de segurança e desempenho deles.
A ferramenta é capaz de coletar log de eventos do Windows e mensagens Syslog. Em seguida, ele organizará essas mensagens em arquivos, girando para novos arquivos quando apropriado e armazenar esses arquivos em diretórios com nomes significativos para fácil acesso. O EventLog Analyzer protege esses arquivos contra adulteração.
Características principais:
- Reúne logs de eventos do Windows e mensagens Syslog
- Detecção de intrusão ao vivo
- Análise de registros
- Mecanismo de alerta
O sistema ManageEngine é mais do que um servidor de log. Tem funções analíticas que irá informá-lo sobre acesso não autorizado aos recursos da empresa. A ferramenta também avaliará o desempenho dos principais aplicativos e serviços, como servidores Web, bancos de dados, servidores DHCP e filas de impressão.
Os módulos de auditoria e relatórios do EventLog Analyzer são muito úteis para demonstrar a conformidade com os padrões de proteção de dados. O mecanismo de relatórios inclui formatos para conformidade com PCI-DSS , FISMA , GLBA , SOX , HIPAA , e ISO 27001 .
Prós:
- Multiplataforma, disponível para Linux e Windows
- Suporta auditoria de conformidade para todos os principais padrões, HIPAA, PCI, FISMA, etc.
- Os alertas inteligentes ajudam a reduzir falsos positivos e facilitam a priorização de eventos ou áreas específicas da rede
- Inclui uma versão gratuita para teste
Contras:
- É um produto com muitos recursos, novos usuários que nunca usaram um SIEM precisarão investir tempo com a ferramenta
Há quatro edições do ManageEngine EventLog Analyzer e o primeiro deles é Livre . Essa versão gratuita é limitada a cinco fontes de log e possui um conjunto limitado de funções. O pacote pago mais barato é o Posto de trabalho edição, que pode coletar logs de até 100 nós. Para uma rede maior, você precisaria do Prêmio edição e há um Distribuído edição que coletará logs de vários sites. Todas as versões serão executadas em Servidor Windows e Linux e você pode obter qualquer uma das edições pagas em umTeste gratuito de 30 dias.
ManageEngine EventLog Analyzer Baixe a avaliação GRATUITA de 30 dias
6. ManageEngine Log360 (TESTE GRATUITO)
Log360 do ManageEngine é um pacote local que inclui agentes para diferentes sistemas operacionais e plataformas em nuvem. Os agentes coletam mensagens de log e as enviam para a unidade central do servidor. Os agentes integram-se com mais de 700 aplicativos para que possam extrair informações deles. Eles também processam mensagens de eventos e Syslog do Windows.
O servidor de log consolida as mensagens de log e as exibe em um visualizador de dados no painel à medida que chegam. A ferramenta também apresenta metadados sobre mensagens de log, como a taxa de chegada.
Características principais:
- Coleta de logs de sites e sistemas em nuvem
- Feed de inteligência de ameaças
- Alertas enviados para pacotes de service desk
Este SIEM recebe um feed de inteligência sobre ameaças, o que melhora a velocidade de detecção de ameaças. Se for detectada atividade suspeita, o Log360 emite um alerta. Os alertas podem ser enviados através de sistemas de service desk, como Gerenciar o Engine Service Desk Plus , Sim , e Kayoko . O pacote também inclui um módulo de relatórios de conformidade para PCI DSS, GDPR, FISMA, HIPAA, SOX e GLBA.
Prós:
- Monitoramento de integridade de arquivos
- Mescla eventos do Windows e mensagens Syslog em um formato comum
- Ferramentas manuais de análise de dados
- Detecção automatizada de ameaças
- Gerenciamento de logs e relatórios de conformidade
Contras:
- Não disponível para Linux
O ManageEngine Log360 é executado em Servidor Windows e está disponível para um teste gratuito de 30 dias.
ManageEngine Log360 Baixe a avaliação GRATUITA de 30 dias
7. Fusão Exabeam
Sistema operacional : Baseado em nuvem
Fusão Exabeam é um serviço de assinatura. Como um pacote SaaS, o sistema é hospedado e inclui o poder de processamento de um servidor em nuvem e espaço de armazenamento para dados de log. O sistema necessita de dados de origem para suas rotinas de caça a ameaças e estes são fornecidos por agentes que precisam ser instalados nas redes que serão protegidas pelo Exabeam.
Características principais:
- Linha de base adaptável através da UEBA
- SOAR para detecção e resposta
Os agentes locais coletam mensagens de log e as carregam no servidor Exabeam. Eles também interagem com pacotes de segurança locais, como firewalls e sistemas antivírus, para extrair mais informações sobre eventos. Isso é orquestração, automação e resposta de segurança (SOAR), e a cooperação com ferramentas de terceiros também funciona para encerrar ameaças detectadas.
O console Exabeam também inclui um módulo de análise. Isso permite que os técnicos rastreiem eventos e examinem anomalias limítrofes que podem ser consideradas ameaças ou apenas ações legítimas e pouco frequentes. O sistema de análise apresenta uma linha do tempo de um ataque, mostrando quais cadeias de eventos levam à decisão de tratar essas atividades como uma ameaça.
Prós:
- Um pacote externo seguro que não é vulnerável a ataques
- Atualizações automáticas de inteligência contra ameaças
- Respostas automatizadas para encerrar ataques
Contras:
- Sem teste gratuito
- Sem lista de preços
Exabeam é um produto de segurança impressionante com uma lista de usuários importantes que inclui bancos, empresas de serviços públicos e empresas de tecnologia. Um problema com este sistema é que a Exabeam não publica sua lista de preços e não oferece teste gratuito. No entanto, você pode obtenha uma demonstração para explorar o sistema SIEM.
8. Segurança Empresarial Splunk
Sistema operacional:Janelas e Linux
Splunké uma das soluções de gerenciamento SIEM mais populares do mundo. O que a diferencia da concorrência é que incorporou análises no coração do seu SIEM. Os dados da rede e da máquina podem ser monitorados em tempo real enquanto o sistema procura vulnerabilidades potenciais e pode até apontar comportamento anormal. A função Notáveis do Enterprise Security exibe alertas que podem ser refinados pelo usuário.
Características principais:
- Monitoramento de rede em tempo real
- Investigador de ativos
- Análise histórica
Em termos de resposta a ameaças à segurança, a interface do usuário é incrivelmente simples. Ao conduzir uma revisão de incidente, o usuário pode começar com uma visão geral básica antes de clicar em anotações detalhadas sobre o evento passado. Da mesma forma, o Asset Investigator faz um excelente trabalho ao sinalizar ações maliciosas e prevenir danos futuros.
Prós:
- Pode utilizar análise de comportamento para detectar ameaças que não são descobertas por meio de registros
- Excelente interface de usuário, altamente visual com opções fáceis de personalização
- Fácil priorização de eventos
- Focado na empresa
- Disponível para Linux e Windows
Contras:
- O preço não é transparente, requer cotação do fornecedor
- Mais adequado para grandes empresas
- Usa Search Processing Language (SPL) para consultas, aumentando a curva de aprendizado
Você precisa entrar em contato com o fornecedor para obter um orçamento para que fique claro que esta é uma plataforma escalonável projetada para organizações maiores. Também está disponível uma versão SaaS deste serviço Splunk, chamada Splunk Security Cloud. Isto está disponível para um Teste gratuito de 15 dias . A versão de teste do sistema está limitada ao processamento de 5 GB de dados por dia.
9. OSSEC
Sistema operacional: Windows, Linux, Unix e Mac
OSSEC é o principal sistema de prevenção de intrusões baseado em host (HIDS). O OSSEC não é apenas um HIDS muito bom, mas também é de uso gratuito. Os métodos HIDS são intercambiáveis com os serviços executados pelos sistemas SIM, portanto o OSSEC também se enquadra na definição de ferramenta SIEM.
Características principais:
- Gerenciamento de arquivos de log
- Opção de pacote de suporte
- Grátis para usar
O software concentra-se nas informações disponíveis nos arquivos de log para procurar evidências de intrusão. Além de ler os arquivos de log, o software monitora as somas de verificação dos arquivos para detectar adulterações. Os hackers sabem que os arquivos de log podem revelar sua presença em um sistema e rastrear suas atividades; portanto, muitos malwares de intrusão avançados alteram os arquivos de log para remover essas evidências.
Por ser um software gratuito, não há razão para não instalar o OSSEC em muitos locais da rede. A ferramenta examina apenas os arquivos de log residentes em seu host. Os programadores do software sabem que diferentes sistemas operacionais possuem diferentes sistemas de registro. Portanto, o OSSEC examinará logs de eventos e tentativas de acesso ao registro em registros Windows e Syslog e tentativas de acesso root em dispositivos Linux, Unix e Mac OS. Funções superiores no software permitem que ele se comunique através de uma rede e consolide os registros de log identificados em um local em um armazenamento central de logs do SIM.
Embora o uso do OSSEC seja gratuito, ele pertence a uma operação comercial – Trend Micro. O front-end do sistema pode ser baixado como um programa separado e não é perfeito. A maioria dos usuários do OSSEC envia seus dados para o Graylog ou Kibana como front-end e como mecanismo de análise.
Prós:
- Pode ser usado em uma ampla variedade de sistemas operacionais, Linux, Windows, Unix e Mac
- Pode funcionar como uma combinação de SIEM e HIDS
- A interface é fácil de personalizar e altamente visual
- Os modelos criados pela comunidade permitem que os administradores comecem rapidamente
Contras:
- Requer ferramentas secundárias como Graylog e Kibana para análise posterior
- Versão de código aberto carece de suporte pago
O comportamento do OSSEC é ditado por “políticas”, que são assinaturas de atividades que devem ser procuradas nos arquivos de log. Essas políticas estão disponíveis gratuitamente no fórum da comunidade de usuários. As empresas que preferem usar apenas software totalmente compatível podem assinar um pacote de suporte da Trend Micro.
Veja também: Os melhores HIDS
10. Plataforma SIEM LogRhythm NextGen
Sistema operacional : Windows, dispositivo ou nuvem
LogRitmohá muito se estabeleceram como pioneiros no setor de soluções SIEM. Da análise comportamental à correlação de logs e inteligência artificial para aprendizado de máquina, esta plataforma tem de tudo.
Características principais:
- Baseado em IA
- Gerenciamento de arquivos de log
- Análise guiada
O sistema é compatível com uma grande variedade de dispositivos e tipos de log. Em termos de configuração, a maior parte das atividades é gerenciada por meio do Deployment Manager. Por exemplo, você pode usar o Assistente de Host do Windows para examinar os logs do Windows.
Isso torna muito mais fácil restringir o que está acontecendo na sua rede. A princípio, a interface do usuário apresenta uma curva de aprendizado, mas o extenso manual de instruções ajuda. A cereja do bolo é que o manual de instruções fornece hiperlinks para vários recursos para ajudá-lo em sua jornada.
Prós:
- Usa assistentes simples para configurar a coleta de logs e outras tarefas de segurança, tornando-a uma ferramenta mais amigável para iniciantes
- Interface elegante, altamente personalizável e visualmente atraente
- Aproveita inteligência artificial e aprendizado de máquina para análise de comportamento
Contras:
- Gostaria de ver uma opção de teste
- O suporte multiplataforma seria um recurso bem-vindo
O preço desta plataforma torna-a uma boa escolha para organizações de médio porte que buscam implementar novas medidas de segurança.
11. Gerenciamento unificado de segurança AlienVault da AT&T Cybersecurity
Sistema operacional : Baseado em nuvem
Como uma das soluções SIEM com preços mais competitivos nesta lista,AlienVault(agora parte deCibersegurança da AT&T)é uma oferta muito atraente. Basicamente, este é um produto SIEM tradicional com detecção de intrusão integrada, monitoramento comportamental e avaliação de vulnerabilidade. AlienVault tem as análises integradas que você esperaria de uma plataforma escalonável.
Características principais:
- Detecção de intruso
- Monitoramento de comportamento
Um dos aspectos mais exclusivos da plataforma AlienVault é o Open Threat Exchange (OTX). O OTX é um portal da web que permite aos usuários fazer upload de “indicadores de comprometimento” (IOC) para ajudar outros usuários a sinalizar ameaças. Este é um ótimo recurso em termos de conhecimento geral e ameaças.
Prós:
- Pode verificar arquivos de log, bem como fornecer relatórios de avaliação de vulnerabilidades com base em dispositivos e aplicativos verificados na rede
- O portal desenvolvido pelo usuário permite que os clientes compartilhem seus dados de ameaças para melhorar o sistema
- Usa inteligência artificial para ajudar os administradores na caça às ameaças
Contras:
- Gostaria de ver um período de teste mais longo
- Os registros podem ser mais difíceis de pesquisar e ler
- Gostaria de ver mais opções de integração em outros sistemas de segurança
O baixo preço deste sistema SIEM o torna ideal para pequenas e médias empresas que buscam aprimorar sua infraestrutura de segurança. Oferta de segurança cibernética da AT&T um teste gratuito .
12. IBM QRadar SIEM
Sistema operacional : Linux, dispositivo virtual e baseado em nuvem
Nos últimos anos, a resposta da IBM ao SIEM se estabeleceu como um dos melhores produtos do mercado. A plataforma oferece um conjunto de recursos de gerenciamento de log, análise, coleta de dados e detecção de intrusão para ajudar a manter seus sistemas críticos em funcionamento. Todo o gerenciamento de logs passa por uma ferramenta:Gerenciador de logs do QRadar. Quando se trata de análises, o QRadar é uma solução quase completa.
Características principais:
- Gerenciamento de registros
- Detecção de intruso
- Funções analíticas
O sistema possui análises de modelagem de risco que podem simular ataques potenciais. Isso pode ser usado para monitorar uma variedade de ambientes físicos e virtuais na sua rede. O IBM QRadar é uma das ofertas mais completas desta lista e é uma ótima opção se você procura uma solução SIEM versátil.
Prós:
- Usa inteligência artificial para fornecer avaliações de risco
- Pode avaliar o impacto em uma rede com base em ataques simulados
- Possui uma interface simples, mas eficaz
Contras:
- Carece de integrações com outras plataformas SOAR e SIEM
- Poderia usar melhores ferramentas de análise de fluxo
A funcionalidade diversificada deste sistema SIEM padrão do setor tornou-o o padrão do setor para muitas organizações maiores.
O software para QRadar pode ser instalado em Red Hat Enterprise Linux ou pode ser executado como um dispositivo virtual VMware , Hiper-V , ou KVM virtualizações. O sistema também está disponível como plataforma em nuvem. A IBM criou um programa gratuito Edição da comunidade do QRadar, que também funciona como um versão de teste do sistema.
13. Gerente de segurança empresarial da McAfee
Sistema operacional : Janelas. VMWare ESX/ESXi e nuvem
Gerenciador de segurança empresarial da McAfeeé considerada uma das melhores plataformas SIEM em termos de análise. O usuário pode coletar uma variedade de logs em uma ampla variedade de dispositivos por meio do sistema Active Directory.
Características principais:
- Consolidação de registros
- Monitoramento ao vivo
Em termos de normalização, o mecanismo de correlação da McAfee compila fontes de dados diferentes com facilidade. Isso torna muito mais fácil detectar quando um evento de segurança está ocorrendo.
Em termos de suporte, os usuários têm acesso ao suporte técnico McAfee Enterprise e ao suporte técnico McAfee Business. O usuário pode optar por ter seu site visitado por um gerente de conta de suporte duas vezes por ano, se assim desejar. A plataforma da McAfee é voltada para empresas de médio porte que buscam uma solução completa de gerenciamento de eventos de segurança.
Prós:
- Usa um poderoso mecanismo de correlação para ajudar a encontrar e eliminar ameaças com mais rapidez
- Integra-se bem em ambientes do Active Directory
- Construído com grandes redes em mente
Contras:
- A interface é confusa e muitas vezes opressora
- Deve entrar em contato com o departamento de vendas para obter um orçamento
- Poderia usar mais opções de integração
- Consome bastante recursos
O software do Enterprise Security Manager será instalado em janelas e Windows Server ou você pode executá-lo como um dispositivo virtual VMWare ESX/ESXi virtualizações. A versão VM do sistema está disponível para um teste grátis , que dura até o final do mês seguinte – ou seja, mais de 30 dias. O ESM também está disponível como um pacote SaaS e é chamado Nuvem ESM .
Implementando SIEM
Não importa qual ferramenta SIEM você escolha incorporar ao seu negócio, é importante adotar uma solução SIEM lentamente. Não existe uma maneira rápida de implementar um sistema SIEM. O melhor método para integrar uma plataforma SIEM ao seu ambiente de TI é implementá-la gradualmente. Isso significa adotar qualquer solução peça por peça. Você deve ter como objetivo ter funções de monitoramento em tempo real e análise de log.
Isso lhe dá a capacidade de fazer um balanço do seu ambiente de TI e ajustar o processo de adoção. A implementação gradual de um sistema SIEM ajudará você a detectar se você está vulnerável a ataques maliciosos. O mais importante é ter uma visão clara dos objetivos que pretende cumprir ao usar um sistema SIEM.
Ao longo deste guia, você verá vários provedores de SIEM diferentes oferecendo produtos finais muito diferentes. Se você deseja encontrar o serviço certo para você, reserve um tempo para pesquisar as opções disponíveis e encontrar aquela que se alinha aos seus objetivos organizacionais. Nos estágios iniciais, você desejará se preparar para o pior cenário.
Preparar-se para o pior cenário significa que você está preparado para enfrentar até mesmo os ataques mais severos. Em última análise, é melhor estar superprotegido contra ataques cibernéticos do que subprotegido. Depois de escolher a ferramenta que deseja usar, comprometa-se com a atualização. Um sistema SIEM é tão bom quanto suas atualizações. Se você não conseguir manter seus registros atualizados e refinar suas notificações, não estará preparado quando uma ameaça emergente surgir.
Se sua organização não estiver pronta para enfrentar os desafios de implantação de uma ferramenta SIEM, ou se seu orçamento proibir isso estritamente, você poderá terceirizar suas necessidades de SIEM para um SIEM cogerenciado ou um provedor de SIEM gerenciado. Confira nossa postagem no melhores soluções SIEM gerenciadas .
Os melhores fornecedores de SIEM
- Datadog Security Monitoring ESCOLHA DO EDITOR
- SolarWinds (TESTE GRATUITO)
- LogPoint (DEMONSTRAÇÃO DE ACESSO)
- Graylog (PLANO GRATUITO)
- Analisador ManageEngine EventLog (TESTE GRATUITO)
- ManageEngine Log360 (TESTE GRATUITO)
- Splunk
- OSSEC
- LogRitmo
- Cibersegurança da AT&T
- RSA
- IBM
- McAfee
SIEMFAQ
Qual é o processo SIEM?
O “processo SIEM” refere-se à estratégia de uma empresa em relação à segurança de dados. As ferramentas SIEM são um elemento importante nessa estratégia, mas a forma como as ferramentas são integradas nas práticas de trabalho é ditada pelos requisitos de conformidade dos padrões de segurança de dados.
O que é SIEM como serviço?
O software baseado em nuvem inclui o servidor que executa o software e também o espaço de armazenamento para dados de log e é chamado de “Software como Serviço” (SaaS). SIEM como serviço (SIEMaaS) é uma forma SIEM de SaaS e os planos superiores incluirão o fornecimento de analistas de dados especializados, bem como recursos de TI.
O que é um evento de segurança?
Um evento de segurança é um uso inesperado de um recurso do sistema que indica o uso não autorizado de dados ou infraestrutura. O evento individual pode parecer inofensivo, mas pode contribuir para uma violação de segurança quando combinado com outras ações.
O que é análise de log no SIEM?
A análise de log reestrutura os dados existentes para uso na análise de segurança no SIEM. Os principais dados serão extraídos de arquivos de log regulares provenientes de diferentes sistemas de manutenção de registros, unificando as informações de eventos provenientes de diversas fontes.
Quanto custa o SIEM?
Os sistemas SIEM vêm em muitas configurações e variam desde implementações de código aberto para empresas iniciantes ou médias até pacotes de licenças multiusuário mais adequados para empresas maiores.
Monitoramento de segurança Datadog | A partir de US$ 0,20/GB de registros analisados (~£ 0,14/GB) |
Gerenciador de eventos de segurança SolarWinds | Começa em $ 4.805 (£ 3.646) |
Analisador de log de eventos ManageEngine | |
Splunk | |
OSSEC | Licenciamento gratuito de código aberto |
Plataforma SIEM LogRhythm NextGen | |
Gerenciamento unificado de segurança AlienVault da AT&T Cybersecurity | |
Plataforma RSA NetWitness | |
IBM QRadar SIEM | |
Gerenciador de segurança empresarial da McAfee |