自如回应“租客喝了7个月中水”:已修复,将沟通补偿方案 台风“海神”逐步北上 后期或将影响东北 快手8.0版本上线!品牌与产品全面升级 支持1080P视频上传和播放 200余名防疫人员为服贸会做现场保障 参会人员配发中药预防饮 【地评线】京彩好评:更新技术出口目录是应时应势之举 2020年服贸会9月4日开幕:参展企业数量超往年 个人可提前两天预约参观 最新数据持续向好引海外点赞中国经济复苏 全国消费扶贫月:农产品流通过程中的税收优惠政策了解一下 徐州三十一中女教师殴打辱骂多名学生 已被停职 塑料书皮真“有毒”吗?哪种最安全?听专家怎么说 正当防卫认定新规来了,5张图带你看明白! 阿达来提·艾再孜:民法典将护佑“全面小康”行稳致远 【桂声漫画】防疫学业两手抓——大学,我来了! 我国成为3月份以来全球主要服务贸易国中唯一出口增长国家 中央财政对受灾困难群体予以倾斜和优先保障 防汛救灾工作有力有序 王毅:维护南海稳定,携手化解挑战 【地评线】京彩好评:更新技术出口目录是应时应势之举 中国改革低保等现行社会救助制度 打造多层次分类救助体系 疫情之下“审判执行不停摆” 中国最高法要求确保完成全年审判执行任务 商务部:愿与日本深化防疫和经济社会发展合作 中方再驳蓬佩奥涉华无端指责:蓬佩奥之流的险恶用心早已被世人识破 2020年服贸会9月4日开幕 设置7类活动 东北抗联遗址“云展播” 感受传承历史培育家国情怀 木里矿区非法开采为镜鉴 青海层层出手宣示生态保护决心 昨天,今天!胜利,唯有胜利! 中国创新发展目标明确 在人工智能和先进制造业等方面有规划 世界旅游合作与发展大会将在京开幕 促旅游业再繁荣 美国国务院限制中国在美外交活动 外交部回应 商务部回应印度禁用中国118款APP:严重关切 坚决反对 北京开展有限空间专项执法检查 持续至9月11日 中央财政对受灾困难群体予以倾斜和优先保障 防汛救灾工作有力有序 云南省原副省长赵廷光逝世 享年89岁 应急管理部消防救援局前方指挥部完成各项任务正式撤离四川 男童泳池排便被索赔1.5万元 家长回应:不接受赔偿数额 商务部:调整发布《中国禁止出口限制出口技术目录》不针对具体企业 宇宙全尺度暗晕什么模样?8个“放大镜”接力模拟出清晰图像 250万贫困人口遭受洪涝灾害 官方紧急施措防范因灾返贫致贫 西银高铁陕西段联调联试正式启动 应急管理部自然灾害工程救援成都基地挂牌成立 跨境服务贸易负面清单何时推出?商务部:年底前将出台 内蒙古推荐50项国家重点研发计划项目获国家立项支持 “日军细菌战罪证”上线,让历史说话! 中方回应美方限制中国在美外交活动:于法无据、于理不合、于情不通 疫情阴霾渐散 外媒感受“中国式”热闹 实验室设计、人员培训……中国抗疫医疗专家组在几内亚分享这些经验 中科院科研人员在新型半导体激光器研发上取得进展 王毅将出席金砖国家外长视频会晤 三部门:防卫过当应兼具两个条件,缺一不可 5G手机首次击穿千元关口 上游芯片厂商芯片迭代速度加快 二战以来首次!CBO:美国政府债务明年将超过经济规模
您的位置:首页 >财经 >

它将SIM和SEM功能结合到一个安全管理系统中

2019-09-11 12:02:15来源:

SIEM,其现代工具已经存在了大约十二年,是一种安全管理方法,它将SIM(安全信息管理)和SEM(安全事件管理)功能结合到一个安全管理系统中。SIM收集,分析和报告日志数据; SEM实时分析日志和事件数据,以提供威胁监控,事件关联和事件响应。由于其全天候实时性,SIEM现在已成为大型企业所需的技术。

SIM和SEM功能均可按应用程序分析应用程序和网络硬件生成的安全警报。可以将这两种功能结合起来的安全提供商处于新业务的内部通道中。

企业SIEM的主要功能包括从多个来源获取数据,解释数据,整合威胁情报源,警报关联,分析,分析,自动化和潜在威胁的总结。

IBM QRadar与Splunk:业务中最好的两个

IBM QRadar和Splunk,后者在十年的大部分时间里一直是市场领导者,是现有两种最好的安全信息和事件管理(SIEM)解决方案。但是,每种产品都为潜在买家提供了明显的好处。两者都提供强大的核心SIEM产品,但它们在使用智能和与第三方和其他安全工具集成方面存在差异。

通常,IBM QRadar旨在与其他IBM产品(如Watson AI)进行最佳协作,而作为独立软件制造商的Splunk可以更轻松地与系统内的其他组件进行交互。

以下是每个解决方案的一些关键特性和分析。以下是SIEM工具业务中两个最佳的利弊面对面汇编:IBM QRadar和Splunk。

IBM QRadar

QRadar带来的内容: IBM的SIEM工具集QRadar专为大型组织而设计,包含一个用于构建企业级威胁检测和响应系统的可靠平台。它还包含用于更简单用例的大量蓝图和模板。QRadar拥有庞大的部署基础和广泛的服务提供商,可以帮助组织采购,运行,调整和监控他们的部署。

IBM QRadar安全智能平台围绕IBM QRadar SIEM构建,并包含多个组件。IBM QRadar Vulnerability Manager使用VM数据对事件数据进行上下文化。IBM QRadar Network Insights提供基于QFlow的应用程序对网络流的可见性。

IBM QRadar用户行为分析是一个免费的UBA模块,可解决一些内部威胁用例。IBM QRadar Incident Forensics提供法医调查支持。Watson的IBM QRadar Advisor为已识别的威胁提供自动化根本原因研究。

考虑QRadar的主要原因:

更容易将投资案例提交给首席财务官,IBM拥有强大的力量和庄严的品质。

QRadar提供了一个多功能和广泛的SIEM平台,可以为广泛的用例选择开箱即用(模板化)的内容。管理员在处理安装时不必从头开始。

QRadar拥有与其他IBM安全产品组合解决方案(例如带有Watson的IBM QRadar Advisor,IBM Resilient或免费UBA模块)以及由第三方(社区,安全和IT供应商)开发的内容的增值集成的坚实生态系统,可通过IBM QRadar的市场访问。

Watson AI本身就是一个很大的卖点。

IBM QRadar用户行为分析是一个免费的UBA模块,可解决一些内部威胁用例。IBM QRadar Incident Forensics提供法医调查支持。Watson的IBM QRadar Advisor为已识别的威胁提供自动化根本原因研究。该供应商还提供IBM Security App Exchange,其中IBM QRadar客户可以下载由IBM或第三方开发的内容,以扩展IBM QRadar的覆盖范围或价值主张。

包括对网络数据监控的强大支持,以及大量应用程序流签名来解析流数据。

如何部署QRadar:

IBM QRadar SIEM可作为硬件虚拟设备和软件包提供,具体取决于客户的事件速度(范围内数据源的EPS数量)。它也可以作为IBM托管的SaaS SIEM从云中获取。

QRadar的定价如何运作:

IBM QRadar安全情报平台中其他组件的定价取决于其各自的指标(例如,IBM QRadar Network Insights的流数或IBM QRadar Vulnerability Manager范围内的资产数)。QRadar Network Insights仅适用于数据中心的硬件设备格式。

接受建议:

IBM QRadar与其他IBM组件最佳地协同工作。

用户体验可能落后于一些较新的竞争对手,IBM QRadar中的选项卡和模块之间的外观和感觉不一致。据说IBM正在努力改进这一点。

平台中的风险评分在违规情况下显示为数量级,并且可能需要安全流程中的成熟度来实现此操作。提供风险评分,无需定制。

分析师指出,IBM在整合和部署以及服务/支持方面的得分低于其他SIEM领导者,包括Splunk。SIEM的参考客户为IBM提供低于平均水平的服务和支持。IBM已经表示,它最近增加了服务和支持的人员配备水平。

Splunk安全产品组合

Splunk带来了什么:Splunk不仅在所有IT业务中拥有更多彩色名称之一,其SIEM系统得到高度评价和欢迎。寻求可以跨SIEM和其他IT用例共享架构和供应商管理的SIEM解决方案的组织以及那些寻求可扩展解决方案的组织,从基本日志管理到高级分析和响应,应该考虑使用Splunk。

其安全运营套件包括Splunk Enterprise和三个解决方案:Splunk Enterprise Security(ES),Splunk用户行为分析(UBA)和Splunk Phantom。Splunk Enterprise为IT操作和一些安全用例中的各种用途提供事件和数据收集,搜索和可视化。高级ES解决方案提供大多数特定于安全监视的功能,包括特定于安全性的查询,可视化和仪表板,以及一些案例管理,工作流和事件响应功能。

Splunk的安全产品组合连续六年被Gartner Research评为领先技术 - 这不是一项微不足道的成就。该平台可帮助客户优化其安全神经中心,并解决各种安全监控和威胁检测用例。客户将Splunk Enterprise Security和Splunk用户行为分析一起用作分析驱动的SIEM,以构建其安全运营中心,以检测,调查和响应威胁。Splunk Phantom是领先的安全编排,自动化和响应(SOAR)解决方案,可帮助客户调查并加速他们对事件的响应。

寻求SIEM解决方案的组织可以跨SIEM和其他IT用例共享架构和供应商管理,以及寻求具有从基本日志管理到高级分析和响应的全方位选项的可扩展解决方案,应该考虑Splunk。

考虑Splunk的主要原因:

Splunk的Security Operations Suite集中运行,具有直观的用户界面。该平台由Splunk Enterprise和三个解决方案组成:Splunk Enterprise Security(ES),Splunk用户行为分析(UBA)和Splunk Phantom。Splunk Enterprise为IT操作和一些安全用例中的各种用途提供事件和数据收集,搜索和可视化。

高级ES解决方案提供大多数特定于安全监视的功能,包括特定于安全性的查询,可视化和仪表板,以及一些案例管理,工作流和事件响应功能。UBA增加了机器学习(ML)驱动的高级分析。Phantom提供SOAR功能。Splunkbase提供了其他安全用例应用程序。

Splunk在过去12个月中最重要的增强功能是通过Splunk ES中的Investigation Workbench UI,ES和UBA的快速内容更新以及速度改进支持指导性调查。

Splunk的产品为组织提供了多个安全监控入口点,其路径可以从基本事件收集开始,简单的使用案例与Splunk Enterprise一起使用,通过ES实现更丰富的SIEM功能,使用UBA实现更高级的分析,使用Phantom实现SOAR功能。

该供应商在Splunk应用程序市场中拥有强大的技术集成生态系统,尽管与Splunk竞争的其他技术的用户(例如,在用户分析空间中)应该验证集成的深度。

PII保护功能强大; 支持模糊处理和PII屏蔽到字段级别,可以根据用户身份,位置和其他特征应用。

如何部署Splunk:

Splunk提供多种部署选项:内部部署软件,IaaS中的软件以及混合模型。Splunk Cloud是一个使用AWS基础架构的Splunk托管和操作SaaS解决方案。Splunk Enterprise和Splunk Cloud组件包括支持n层体系结构的通用转发器,索引器和搜索头。

Splunk的定价如何运作:

Splunk根据提取到平台的数据量获得许可,并提供DNS和NetFlow数据的定价折扣。ES还获得了每天千兆字节的许可,而UBA则通过组织中的用户帐户数量获得许可,并且所有这些都可以作为永久或期限许可提供,具有各种企业级定价和校正的选项。幻影的价格取决于用户采取行动的事件数量。

接受建议:

另一个例子是“你通常得到你付出的代价”,Splunk通常比竞争对手贵。客户和潜在买家倾向于表达对定价模型和总成本的担忧。Phantom的加入和“神经中枢”概念的引入(单独的SIEM,UBA和SOAR产品)导致三种定价模型具有不同的测量方法。

Splunk UBA此时是内部部署或客户云计算解决方案,可能会与希望保留SaaS模型的Splunk Cloud客户产生摩擦。

Splunk没有本地代理支持FIM或EDR,尽管有许多第三方解决方案的集成。

Splunk对OT / IoT的支持在很大程度上取决于第三方应用程序的功能,而不是Splunk对OT协议的支持。

猜您喜欢