Infrastruktur TI perusahaan modern terdiri dari banyak sistem dan komponen. Dan melacaknya satu per satu bisa sangat sulit - semakin besar perusahaan, semakin berat tugas-tugas ini. Tetapi ada alat yang mengumpulkan laporan di satu tempat tentang pengoperasian seluruh infrastruktur perusahaan - sistem SIEM (Informasi keamanan dan manajemen acara). Baca tentang yang terbaik dari produk ini menurut pakar Gartner dalam ulasan kami, dan pelajari tentang fitur utama di tabel perbandingan kami .
Singkatnya, teknologi SIEM memberi administrator gambaran umum tentang apa yang terjadi di jaringan. Sistem tersebut menyediakan analisis peristiwa keamanan secara real-time, serta aktivitas perangkat dan pengguna, yang memungkinkan Anda menanggapinya sebelum terjadi kerusakan yang signifikan.
Program SIEM mengumpulkan informasi dari server, pengontrol domain, firewall, dan banyak perangkat jaringan lainnya dan menyediakannya dalam bentuk laporan yang mudah digunakan. Data ini tidak selalu terkait dengan keamanan. Dengan bantuan mereka, misalnya, Anda dapat memahami bagaimana infrastruktur jaringan berfungsi dan mengembangkan rencana untuk pengoptimalannya. Namun yang utama tentu saja adalah pendeteksian potensi celah, serta lokalisasi dan eliminasi ancaman yang ada. Data ini disediakan melalui pengumpulan dan agregasi data log perangkat jaringan.
Setelah mengumpulkan informasi (prosedur ini terjadi secara otomatis pada interval tertentu), peristiwa diidentifikasi dan diklasifikasikan. Kemudian (sekali lagi, sesuai dengan pengaturan yang ditentukan) peringatan dikirim bahwa tindakan tertentu dari peralatan, program atau pengguna mungkin berpotensi menimbulkan masalah keamanan.
Kesempatan apa yang terbuka?
SIEM membantu memecahkan berbagai masalah. Diantaranya: deteksi serangan yang ditargetkan secara tepat waktu dan pelanggaran keamanan informasi yang tidak disengaja oleh pengguna, menilai keamanan sistem dan sumber daya kritis, melakukan investigasi insiden, dan banyak lagi.
Pada saat yang sama, platform SIEM memiliki sejumlah keterbatasan. Mereka, misalnya, tidak tahu cara mengklasifikasikan data, sering tidak berfungsi dengan baik dengan email, memiliki titik buta terkait acara mereka sendiri. Dan, tentu saja, mereka tidak dapat sepenuhnya mencakup masalah keamanan informasi di perusahaan. Tetapi pada saat yang sama, mereka adalah bagian penting dari sistem pertahanan perusahaan, meskipun tidak kritis. Apalagi, perkembangan platform SIEM tidak berhenti. Misalnya, beberapa produk modern memiliki fungsi analitis, yaitu tidak hanya mengeluarkan laporan dan menunjukkan potensi masalah, tetapi juga mengetahui cara menganalisis peristiwa itu sendiri dan membuat keputusan tentang menginformasikan tentang peristiwa tertentu.
Bagaimanapun, ketika memilih produk tertentu, Anda harus fokus pada banyak parameter, di antaranya kami akan memilih pengumpulan, pemrosesan dan penyimpanan informasi yang terpusat, pemberitahuan insiden dan analisis data (korelasi), serta lebar cakupan jaringan perusahaan. Dan, tentu saja, jika memungkinkan, ada baiknya menjalankan versi percobaan / demo sebelum membeli dan melihat bagaimana itu sesuai dengan perusahaan.
IBM QRadar Security Intelligence
Platform SIEM dari raksasa teknologi IBM adalah salah satu yang paling maju di pasar: bahkan di kuadran pemimpin Gartner, ia berdiri di atas persaingan, dan telah ada selama 10 tahun berturut-turut. Produk ini terdiri dari beberapa sistem terintegrasi yang bersama-sama memberikan cakupan maksimum dari peristiwa yang terjadi di jaringan, dan banyak fungsi yang langsung berfungsi. Alat tersebut mampu mengumpulkan data dari berbagai sumber, seperti sistem operasi, perangkat keamanan, database, aplikasi dan banyak lainnya.
QRadar Security Intelligence dapat mengurutkan peristiwa berdasarkan prioritas dan menyoroti peristiwa yang menimbulkan ancaman keamanan terbesar. Ini karena fungsi menganalisis perilaku anomali objek (pengguna, peralatan, layanan, dan proses di jaringan perusahaan). Ini termasuk menentukan tindakan yang terkait dengan mengakses alamat IP yang mencurigakan atau permintaan dari mereka. Laporan terperinci disediakan untuk semua aktivitas yang mencurigakan, yang, misalnya, memungkinkan untuk mendeteksi aktivitas mencurigakan di luar jam kerja. Pendekatan ini, dikombinasikan dengan fitur pemantauan pengguna dan visibilitas jaringan tingkat aplikasi, dapat membantu memerangi ancaman orang dalam. Selain itu, dalam serangan dunia maya konvensional, informasi datang dengan sangat cepat dan memungkinkannya untuk dicegah sebelumnyabagaimana mereka akan mencapai tujuan mereka dan menyebabkan kerusakan yang signifikan.
Salah satu fitur utama IBM QRadar Security Intelligence adalah deteksi dan prioritas berbasis risiko menggunakan analisis dan korelasi tingkat lanjut antara aset, pengguna, aktivitas jaringan, kerentanan yang ada, intelijen ancaman, dan banyak lagi. IBM Qradar dapat merangkai peristiwa bersama untuk membuat ada proses terpisah untuk setiap insiden.
Karena fakta bahwa informasi dikumpulkan dan ditampilkan di layar di satu tempat, administrator dapat melihat semua aktivitas mencurigakan terkait yang terdeteksi oleh sistem. Dan peristiwa terkait baru ditambahkan ke satu rantai, sehingga analis tidak perlu beralih di antara beberapa peringatan. Dan untuk penyelidikan lebih dalam, alat khusus IBM QRadar Incident Forensics dapat memulihkan semua paket jaringan yang terkait dengan insiden tersebut dan membuat ulang tindakan penyerang selangkah demi selangkah.
Keamanan Perusahaan Splunk
Salah satu platform terkemuka di industri, dibedakan oleh berbagai sumber informasi yang digunakannya. Splunk Enterprise Security dapat mengumpulkan log peristiwa dari komponen jaringan tradisional (server, perangkat keamanan, gateway, database, dll.), Perangkat seluler (smartphone, laptop, tablet), layanan web, dan sumber terdistribusi. Informasi yang terkumpul: data tentang tindakan pengguna, log, hasil diagnostik, dll. Hal ini memungkinkan pencarian dan analisis yang nyaman dalam mode otomatis dan manual. Solusinya memiliki berbagai pemberitahuan yang dapat disesuaikan yang, berdasarkan informasi yang dikumpulkan, memperingatkan ancaman yang ada dan secara proaktif melaporkan potensi masalah.
Produk terdiri dari beberapa modul yang bertanggung jawab untuk melakukan investigasi, diagram logis dari sumber daya yang dilindungi, dan integrasi dengan banyak layanan eksternal. Pendekatan ini memungkinkan dilakukannya analisis terperinci pada berbagai parameter dan membangun hubungan antara peristiwa yang, pada pandangan pertama, tidak berkorelasi satu sama lain dengan cara apa pun. Splunk Enterprise Security memungkinkan Anda menghubungkan data berdasarkan waktu, lokasi, kueri yang dihasilkan, koneksi ke berbagai sistem, dan banyak lagi.
Alat ini juga dapat bekerja dengan kumpulan data yang besar dan merupakan platform Data Besar yang lengkap. Sejumlah besar data dapat diproses baik dalam waktu nyata maupun dalam mode penelusuran historis, dan, seperti disebutkan di atas, sejumlah besar sumber data didukung. Splunk Enterprise Security dapat mengindeks ratusan TB data per hari, sehingga dapat diterapkan bahkan ke jaringan perusahaan yang sangat besar. Alat khusus MapReduce memungkinkan Anda dengan cepat menskalakan sistem secara horizontal dan mendistribusikan beban secara merata, sehingga kinerja sistem selalu berada pada tingkat yang dapat diterima. Pada saat yang sama, konfigurasi untuk pengelompokan dan pemulihan bencana tersedia untuk pengguna.
Manajer Keamanan Perusahaan McAfee
Solusi dari McAfee dikirimkan sebagai perangkat fisik dan virtual serta perangkat lunak. Ini terdiri dari beberapa modul yang dapat digunakan bersama atau terpisah. Enterprise Security Manager menyediakan pemantauan berkelanjutan atas infrastruktur TI perusahaan, mengumpulkan informasi tentang ancaman dan risiko, memungkinkan Anda memprioritaskan ancaman dan melakukan penyelidikan dengan cepat. Untuk semua informasi yang masuk, solusi menghitung tingkat aktivitas dasar dan menghasilkan pemberitahuan sebelumnya yang akan dikirim ke administrator jika ruang lingkup aktivitas ini dilanggar. Alat tersebut juga mengetahui cara bekerja dengan konteks, yang secara signifikan memperluas kemampuan analisis dan deteksi ancaman, serta mengurangi jumlah sinyal palsu.
McAfee ESM terintegrasi dengan baik dengan produk pihak ketiga tanpa menggunakan API, membuatnya kompatibel dengan banyak solusi keamanan populer lainnya. Ia juga memiliki dukungan untuk platform McAfee Global Threat Intelligence, yang memperluas fungsionalitas SIEM tradisional. Berkat itu, ESM menerima informasi yang terus diperbarui tentang ancaman dari seluruh dunia. Dalam praktiknya, ini memungkinkan, misalnya, untuk mendeteksi peristiwa yang terkait dengan alamat IP yang mencurigakan.
Untuk meningkatkan kinerja sistem, pengembang menawarkan pelanggannya seperangkat alat McAfee Connect. Alat ini berisi konfigurasi siap pakai untuk membantu Anda menangani kasus penggunaan SIEM yang kompleks. Misalnya, Alat Analisis Perilaku Pengguna memungkinkan Anda menemukan ancaman tersembunyi dengan lebih baik dan lebih cepat, membuat operasi keamanan lebih akurat, dan secara dramatis mempersingkat waktu penyelidikan insiden. Dan paket untuk Windows memungkinkan Anda memantau layanan OS ini untuk menilai penggunaan yang tepat dan mendeteksi ancaman. Ada lebih dari 50 paket yang tersedia secara total untuk berbagai skenario, produk, dan kepatuhan standar.
Platform Keamanan Terpadu AlienVault
Perusahaan AlienVault baru-baru ini bergabung dengan AT & T Business di bawah merek AT & T Security, tetapi produk andalannya saat ini dijual dengan nama lama. Alat ini, seperti kebanyakan platform lain dalam ulasan, memiliki lebih banyak fungsi daripada SIEM tradisional. Jadi, di AlienVault USM ada berbagai modul yang bertanggung jawab untuk kontrol aset, penangkapan paket penuh, dll. Platform ini juga dapat menguji jaringan untuk mengetahui kerentanan, dan ini bisa berupa pemeriksaan satu kali dan pemantauan berkelanjutan. Dalam kasus terakhir, pemberitahuan tentang adanya kerentanan baru diterima hampir bersamaan dengan tampilannya.
Fitur platform lainnya termasuk penilaian kerentanan infrastruktur, yang menunjukkan seberapa aman jaringan dan bagaimana dikonfigurasi untuk memenuhi standar keamanan. Platform ini juga mengetahui cara mendeteksi serangan pada jaringan dan memberi tahu mereka secara tepat waktu. Dalam kasus ini, administrator menerima informasi mendetail tentang dari mana intrusi tersebut berasal, bagian jaringan mana yang diserang dan metode apa yang digunakan penyerang, serta apa yang harus dilakukan untuk mengusirnya terlebih dahulu. Selain itu, sistem dapat mendeteksi dan melaporkan serangan orang dalam dari dalam jaringan.
Dengan solusi eksklusif AlienApps, USM dapat mengintegrasikan dan secara efektif melengkapi solusi keamanan dari banyak vendor pihak ketiga. Alat ini juga meningkatkan kustomisasi keamanan AlienVault USM dan kemampuan otomatisasi respons ancaman. Dengan demikian, hampir semua informasi tentang status keamanan jaringan perusahaan tersedia langsung melalui antarmuka platform. Alat ini juga menyediakan kemampuan untuk mengotomatiskan dan mengatur tindakan respons saat ancaman terdeteksi, sehingga lebih mudah dan cepat untuk mendeteksi dan merespons insiden. Misalnya, jika tautan ditemukan ke situs phishing, administrator dapat mengirim data ke layanan perlindungan DNS pihak ketiga untuk secara otomatis memblokir alamat itu - sehinggaitu akan menjadi tidak tersedia untuk dikunjungi dari komputer dalam organisasi.
Micro Focus ArcSight Enterprise Security Manager
Platform SIEM dari Micro Focus yang dikembangkan oleh HPE hingga tahun 2017 merupakan alat yang komprehensif untuk menemukan, menganalisis dan mengelola alur kerja secara real time. Alat ini memberikan banyak peluang untuk mengumpulkan informasi tentang keadaan jaringan dan proses yang terjadi di dalamnya, serta seperangkat besar aturan keamanan yang sudah jadi. Banyak fitur di ArcSight Enterprise Security Manager otomatis, seperti deteksi dan prioritas ancaman. Untuk investigasi, alat ini dapat berintegrasi dengan solusi berpemilik lainnya - ArcSight Investigate. Itu dapat mendeteksi ancaman yang tidak diketahui dan melakukan pencarian cerdas yang cepat, serta memvisualisasikan data.
Platform ini mampu memproses informasi dari berbagai jenis perangkat, menurut pengembangnya, ada lebih dari 500. Mekanismenya mendukung semua format acara umum. Informasi yang dikumpulkan dari sumber online diubah menjadi format universal untuk digunakan di platform. Pendekatan ini memungkinkan Anda mengidentifikasi dengan cepat situasi yang memerlukan penyelidikan atau tindakan segera dan membantu administrator fokus pada ancaman berisiko tinggi yang paling mendesak.
Untuk perusahaan dengan jaringan kantor dan divisi yang luas, ArcSight ESM memungkinkan penggunaan model operasi SecOps, di mana tim keamanan jarak jauh bersatu dan dapat bertukar pelaporan, proses, alat, dan informasi secara real time. Jadi, untuk semua departemen dan kantor, mereka dapat menerapkan serangkaian pengaturan, kebijakan, dan aturan yang terpusat, menggunakan matriks peran dan hak akses terpadu. Pendekatan ini memungkinkan Anda merespons ancaman dengan cepat di mana pun ancaman itu muncul di perusahaan.
Platform RSA NetWitness
Platform dari RSA (salah satu divisi Dell) adalah sekumpulan modul yang memberikan visibilitas ancaman berdasarkan data dari berbagai sumber jaringan: titik akhir, NetFlow, perangkat keamanan, informasi dari paket yang ditransmisikan, dll. Untuk ini, kombinasi dari beberapa perangkat fisik dan / atau virtual yang memproses informasi secara real time dan mengeluarkan peringatan berdasarkan itu, serta menyimpan data untuk kemungkinan penyelidikan di masa mendatang. Selain itu, pengembang menawarkan arsitektur untuk perusahaan kecil dan jaringan terdistribusi besar.
Platform NetWitness dapat mengidentifikasi ancaman orang dalam dan bekerja dengan informasi kontekstual tentang infrastruktur tertentu, yang memungkinkan Anda memprioritaskan peringatan dan mengoptimalkan pekerjaan sesuai dengan spesifikasi organisasi. Platform ini juga dapat membandingkan informasi tentang insiden individu, yang memungkinkan Anda untuk menentukan skala penuh serangan pada jaringan dan mengkonfigurasinya sedemikian rupa untuk meminimalkan risiko serupa di masa depan.
Pengembang menaruh banyak perhatian untuk bekerja dengan titik akhir. Jadi, di RSA NetWitness Platform ada modul terpisah untuk ini, yang memberikan visibilitas mereka baik di tingkat pengguna maupun di tingkat kernel. Alat tersebut dapat mendeteksi aktivitas yang tidak wajar, memblokir proses yang mencurigakan, dan menilai kerentanan perangkat tertentu. Dan data yang dikumpulkan diperhitungkan dalam pengoperasian seluruh sistem dan juga memengaruhi penilaian keseluruhan keamanan jaringan.
Platform Keamanan FireEye Helix
Platform berbasis cloud FireEye memungkinkan organisasi untuk mengontrol insiden apa pun, mulai dari melaporkannya hingga memperbaiki situasi. Ini menggabungkan banyak alat berpemilik dan dapat berintegrasi dengan alat pihak ketiga. Helix Security Platform menggunakan analitik perilaku pengguna yang ekstensif untuk mengenali ancaman orang dalam dan serangan non-malware.
Untuk melawan ancaman, alat ini tidak hanya menggunakan pemberitahuan dari administrator, tetapi juga menerapkan kumpulan aturan yang telah ditentukan sebelumnya, yang jumlahnya sekitar 400. Ini meminimalkan jumlah positif palsu dan membebaskan administrator dari pemindaian konstan atas pesan ancaman. Selain itu, sistem menawarkan kemampuan untuk menyelidiki dan mencari ancaman, analisis perilaku, dukungan untuk berbagai sumber daya untuk memperoleh informasi dan manajemen yang nyaman dari seluruh kompleks keamanan.
Alat ini berfungsi dengan baik dalam mendeteksi ancaman tingkat lanjut. Platform Keamanan Helix memiliki kemampuan untuk mengintegrasikan lebih dari 300 alat keamanan dari FireEye dan vendor pihak ketiga. Dengan menganalisis konteks peristiwa lain, alat ini menyediakan deteksi tingkat tinggi untuk serangan terselubung dan terselubung.
Rapid7 wawasanIDR
Perusahaan Rapid7 menawarkan platform cloud-SIEM kepada pelanggan, diasah oleh analisis perilaku. Sistem melakukan analisis mendalam terhadap log dan log, dan juga menyiapkan jebakan khusus untuk mendeteksi gangguan ilegal ke jaringan. Alat InsightIDR terus memantau aktivitas pengguna dan menghubungkannya dengan peristiwa jaringan. Ini tidak hanya membantu mengidentifikasi orang dalam, tetapi juga mencegah pelanggaran keamanan yang disengaja.
Rapid7 insightIDR terus memantau titik akhir. Hal ini memungkinkan untuk melihat proses yang tidak biasa, perilaku pengguna yang tidak biasa, tugas aneh, dll. Jika tindakan tersebut terdeteksi, sistem memungkinkan Anda untuk memeriksa apakah tindakan tersebut diulangi di komputer lain atau tetap menjadi masalah lokal. Dan ketika masalah muncul dan insiden diselidiki, alat visual digunakan yang dengan mudah membuat sistematisasi data yang terkumpul dari waktu ke waktu dan sangat menyederhanakan penyelidikan.
Untuk mengatasi ancaman dengan lebih baik, pakar pengembang dapat secara mandiri menilai tingkat perlindungan lingkungan perusahaan, dari peralatan hingga proses dan kebijakan saat ini. Hal ini memungkinkan Anda membangun skema perlindungan jaringan yang optimal dari awal menggunakan Rapid7 insightIDR atau meningkatkan skema yang ada.
Fortinet FortiSIEM
Solusi Fortinet yang komprehensif dan dapat diskalakan adalah bagian dari platform Fortinet Security Fabric. Solusi tersebut disampaikan dalam bentuk perangkat fisik, tetapi juga dapat digunakan berdasarkan infrastruktur cloud atau sebagai perangkat virtual. Alat ini menyediakan berbagai sumber informasi - mendukung lebih dari 400 perangkat dari produsen lain. Ini termasuk titik akhir, perangkat IoT, aplikasi, alat keamanan, dan lainnya.
Platform ini dapat mengumpulkan dan memproses informasi dari titik akhir, termasuk integritas file, perubahan registri dan program yang diinstal serta kejadian mencurigakan lainnya. FortiSIEM memiliki alat analisis mendalam yang mencakup pencarian peristiwa waktu nyata dan masa lalu, pencarian atribut dan kata kunci, daftar pantauan yang berubah secara dinamis yang digunakan untuk mendeteksi pelanggaran kritis, dan banyak lagi.
Alat ini memberikan administrator dasbor yang berfungsi penuh dan dapat disesuaikan yang secara dramatis meningkatkan kegunaan sistem. Mereka memiliki kemampuan untuk memutar tayangan slide untuk mendemonstrasikan kinerja sistem, menghasilkan berbagai laporan dan analitik, dan menggunakan kode warna untuk menyorot peristiwa penting.
Alih-alih kata penutup
Ada banyak sekali solusi SIEM di pasaran, yang sebagian besar cukup berfungsi. Seringkali kemampuan mereka melampaui definisi SIEM standar dan menawarkan klien berbagai alat manajemen jaringan. Selain itu, banyak yang langsung bekerja di luar kotak, membutuhkan intervensi minimal selama instalasi dan konfigurasi awal. Tetapi ada juga kekurangannya: mereka dapat berbeda dalam lusinan parameter kecil, yang tidak mungkin untuk dibicarakan dalam satu ulasan. Oleh karena itu, dalam setiap kasus spesifik, Anda perlu memilih solusi tidak hanya berdasarkan kebutuhan utama perusahaan, tetapi juga mempertimbangkan detail kecil dan pertumbuhan organisasi di masa depan.
Kami telah menarik perhatian Anda ke poin-poin utama, dan pengujian versi uji coba produk akan membantu Anda memahami seluk beluk dan nuansanya dengan cermat. Untungnya, hampir semua vendor memberikan kesempatan seperti itu.
Penulis: Dmitry Onishchenko