SIEM,其现代工具已经存在了大约十二年,是一种安全管理方法,它将SIM(安全信息管理)和SEM(安全事件管理)功能结合到一个安全管理系统中。SIM收集,分析和报告日志数据; SEM实时分析日志和事件数据,以提供威胁监控,事件关联和事件响应。由于其全天候实时性,SIEM现在已成为大型企业所需的技术。
SIM和SEM功能均可按应用程序分析应用程序和网络硬件生成的安全警报。可以将这两种功能结合起来的安全提供商处于新业务的内部通道中。
企业SIEM的主要功能包括从多个来源获取数据,解释数据,整合威胁情报源,警报关联,分析,分析,自动化和潜在威胁的总结。
IBM QRadar与Splunk:业务中最好的两个
IBM QRadar和Splunk,后者在十年的大部分时间里一直是市场领导者,是现有两种最好的安全信息和事件管理(SIEM)解决方案。但是,每种产品都为潜在买家提供了明显的好处。两者都提供强大的核心SIEM产品,但它们在使用智能和与第三方和其他安全工具集成方面存在差异。
通常,IBM QRadar旨在与其他IBM产品(如Watson AI)进行最佳协作,而作为独立软件制造商的Splunk可以更轻松地与系统内的其他组件进行交互。
以下是每个解决方案的一些关键特性和分析。以下是SIEM工具业务中两个最佳的利弊面对面汇编:IBM QRadar和Splunk。
IBM QRadar
QRadar带来的内容: IBM的SIEM工具集QRadar专为大型组织而设计,包含一个用于构建企业级威胁检测和响应系统的可靠平台。它还包含用于更简单用例的大量蓝图和模板。QRadar拥有庞大的部署基础和广泛的服务提供商,可以帮助组织采购,运行,调整和监控他们的部署。
IBM QRadar安全智能平台围绕IBM QRadar SIEM构建,并包含多个组件。IBM QRadar Vulnerability Manager使用VM数据对事件数据进行上下文化。IBM QRadar Network Insights提供基于QFlow的应用程序对网络流的可见性。
IBM QRadar用户行为分析是一个免费的UBA模块,可解决一些内部威胁用例。IBM QRadar Incident Forensics提供法医调查支持。Watson的IBM QRadar Advisor为已识别的威胁提供自动化根本原因研究。
考虑QRadar的主要原因:
更容易将投资案例提交给首席财务官,IBM拥有强大的力量和庄严的品质。
QRadar提供了一个多功能和广泛的SIEM平台,可以为广泛的用例选择开箱即用(模板化)的内容。管理员在处理安装时不必从头开始。
QRadar拥有与其他IBM安全产品组合解决方案(例如带有Watson的IBM QRadar Advisor,IBM Resilient或免费UBA模块)以及由第三方(社区,安全和IT供应商)开发的内容的增值集成的坚实生态系统,可通过IBM QRadar的市场访问。
Watson AI本身就是一个很大的卖点。
IBM QRadar用户行为分析是一个免费的UBA模块,可解决一些内部威胁用例。IBM QRadar Incident Forensics提供法医调查支持。Watson的IBM QRadar Advisor为已识别的威胁提供自动化根本原因研究。该供应商还提供IBM Security App Exchange,其中IBM QRadar客户可以下载由IBM或第三方开发的内容,以扩展IBM QRadar的覆盖范围或价值主张。
包括对网络数据监控的强大支持,以及大量应用程序流签名来解析流数据。
如何部署QRadar:
IBM QRadar SIEM可作为硬件虚拟设备和软件包提供,具体取决于客户的事件速度(范围内数据源的EPS数量)。它也可以作为IBM托管的SaaS SIEM从云中获取。
QRadar的定价如何运作:
IBM QRadar安全情报平台中其他组件的定价取决于其各自的指标(例如,IBM QRadar Network Insights的流数或IBM QRadar Vulnerability Manager范围内的资产数)。QRadar Network Insights仅适用于数据中心的硬件设备格式。
接受建议:
IBM QRadar与其他IBM组件最佳地协同工作。
用户体验可能落后于一些较新的竞争对手,IBM QRadar中的选项卡和模块之间的外观和感觉不一致。据说IBM正在努力改进这一点。
平台中的风险评分在违规情况下显示为数量级,并且可能需要安全流程中的成熟度来实现此操作。提供风险评分,无需定制。
分析师指出,IBM在整合和部署以及服务/支持方面的得分低于其他SIEM领导者,包括Splunk。SIEM的参考客户为IBM提供低于平均水平的服务和支持。IBM已经表示,它最近增加了服务和支持的人员配备水平。
Splunk安全产品组合
Splunk带来了什么:Splunk不仅在所有IT业务中拥有更多彩色名称之一,其SIEM系统得到高度评价和欢迎。寻求可以跨SIEM和其他IT用例共享架构和供应商管理的SIEM解决方案的组织以及那些寻求可扩展解决方案的组织,从基本日志管理到高级分析和响应,应该考虑使用Splunk。
其安全运营套件包括Splunk Enterprise和三个解决方案:Splunk Enterprise Security(ES),Splunk用户行为分析(UBA)和Splunk Phantom。Splunk Enterprise为IT操作和一些安全用例中的各种用途提供事件和数据收集,搜索和可视化。高级ES解决方案提供大多数特定于安全监视的功能,包括特定于安全性的查询,可视化和仪表板,以及一些案例管理,工作流和事件响应功能。
Splunk的安全产品组合连续六年被Gartner Research评为领先技术 - 这不是一项微不足道的成就。该平台可帮助客户优化其安全神经中心,并解决各种安全监控和威胁检测用例。客户将Splunk Enterprise Security和Splunk用户行为分析一起用作分析驱动的SIEM,以构建其安全运营中心,以检测,调查和响应威胁。Splunk Phantom是领先的安全编排,自动化和响应(SOAR)解决方案,可帮助客户调查并加速他们对事件的响应。
寻求SIEM解决方案的组织可以跨SIEM和其他IT用例共享架构和供应商管理,以及寻求具有从基本日志管理到高级分析和响应的全方位选项的可扩展解决方案,应该考虑Splunk。
考虑Splunk的主要原因:
Splunk的Security Operations Suite集中运行,具有直观的用户界面。该平台由Splunk Enterprise和三个解决方案组成:Splunk Enterprise Security(ES),Splunk用户行为分析(UBA)和Splunk Phantom。Splunk Enterprise为IT操作和一些安全用例中的各种用途提供事件和数据收集,搜索和可视化。
高级ES解决方案提供大多数特定于安全监视的功能,包括特定于安全性的查询,可视化和仪表板,以及一些案例管理,工作流和事件响应功能。UBA增加了机器学习(ML)驱动的高级分析。Phantom提供SOAR功能。Splunkbase提供了其他安全用例应用程序。
Splunk在过去12个月中最重要的增强功能是通过Splunk ES中的Investigation Workbench UI,ES和UBA的快速内容更新以及速度改进支持指导性调查。
Splunk的产品为组织提供了多个安全监控入口点,其路径可以从基本事件收集开始,简单的使用案例与Splunk Enterprise一起使用,通过ES实现更丰富的SIEM功能,使用UBA实现更高级的分析,使用Phantom实现SOAR功能。
该供应商在Splunk应用程序市场中拥有强大的技术集成生态系统,尽管与Splunk竞争的其他技术的用户(例如,在用户分析空间中)应该验证集成的深度。
PII保护功能强大; 支持模糊处理和PII屏蔽到字段级别,可以根据用户身份,位置和其他特征应用。
如何部署Splunk:
Splunk提供多种部署选项:内部部署软件,IaaS中的软件以及混合模型。Splunk Cloud是一个使用AWS基础架构的Splunk托管和操作SaaS解决方案。Splunk Enterprise和Splunk Cloud组件包括支持n层体系结构的通用转发器,索引器和搜索头。
Splunk的定价如何运作:
Splunk根据提取到平台的数据量获得许可,并提供DNS和NetFlow数据的定价折扣。ES还获得了每天千兆字节的许可,而UBA则通过组织中的用户帐户数量获得许可,并且所有这些都可以作为永久或期限许可提供,具有各种企业级定价和校正的选项。幻影的价格取决于用户采取行动的事件数量。
接受建议:
另一个例子是“你通常得到你付出的代价”,Splunk通常比竞争对手贵。客户和潜在买家倾向于表达对定价模型和总成本的担忧。Phantom的加入和“神经中枢”概念的引入(单独的SIEM,UBA和SOAR产品)导致三种定价模型具有不同的测量方法。
Splunk UBA此时是内部部署或客户云计算解决方案,可能会与希望保留SaaS模型的Splunk Cloud客户产生摩擦。
Splunk没有本地代理支持FIM或EDR,尽管有许多第三方解决方案的集成。
Splunk对OT / IoT的支持在很大程度上取决于第三方应用程序的功能,而不是Splunk对OT协议的支持。