10 migliori strumenti SIEM del 2021: fornitori e soluzioni classificati

Datadog Security Monitoring Start 14 giorni di prova GRATUITA

ManageEngine EventLog Analyzer (PROVA GRATUITA)

Sistema operativo: Windows e Linux

L’analizzatore ManageEngine EventLog è uno strumento SIEM perché si concentra sulla gestione dei registri e sulla raccolta di informazioni sulla sicurezza e sulle prestazioni da essi.

Lo strumento è in grado di raccogliere il registro degli eventi di Windows e i messaggi Syslog . Quindi organizzerà questi messaggi in file, ruotandoli su nuovi file ove appropriato e memorizzandoli in directory con nomi significativi per un facile accesso. L’EventLog Analyzer protegge quindi quei file da manomissioni.

Il sistema ManageEngine è però più di un server di log. Ha funzioni analitiche che ti informeranno di accessi non autorizzati alle risorse aziendali. Lo strumento valuterà anche le prestazioni di applicazioni e servizi chiave, come server Web, database, server DHCP e code di stampa.

I moduli di controllo e report di EventLog Analyzer sono molto utili per dimostrare la protezione dei dati conformità agli standard. Il motore di reporting include formati per la conformità a PCI DSS, FISMA, GLBA, SOX, HIPAA e ISO 27001.

Caratteristiche principali:

  • Raccoglie i registri degli eventi di Windows e i messaggi Syslog
  • Rilevamento delle intrusioni in tempo reale
  • Analisi dei log
  • Meccanismo di avviso

ManageEngine ha prodotto tre edizioni di EventLog Analyzer, tra cui una versione gratuita, che raccoglie i registri da un massimo di cinque fonti. ManageEngine offre una prova gratuita di 30 giorni della Premium Edition.

È disponibile anche una versione basata sulla rete, chiamata Distributed Edition. Entrambe le versioni sono disponibili su base di prova gratuita di 30 giorni.

ManageEngine EventLog Analyzer Scarica la prova GRATUITA di 30 giorni

Splunk Enterprise Security

Sistema operativo: Windows e Linux

Splunk è una delle soluzioni di gestione SIEM più popolari al mondo . Ciò che lo distingue dalla concorrenza è che ha incorporato l’analisi nel cuore del suo SIEM. I dati di rete e macchina possono essere monitorati in tempo reale mentre il sistema cerca potenziali vulnerabilità e può persino indicare comportamenti anomali. La funzione Notables di Enterprise Security visualizza avvisi che possono essere perfezionati dall’utente.

In termini di risposta alle minacce alla sicurezza, l’interfaccia utente è incredibilmente semplice. Quando si esegue una revisione dell’incidente, l’utente può iniziare con una panoramica di base prima di fare clic per ottenere annotazioni approfondite sull’evento passato. Allo stesso modo, Asset Investigator fa un ottimo lavoro nel segnalare azioni dannose e prevenire danni futuri.

Caratteristiche principali:

  • Monitoraggio della rete in tempo reale
  • Asset Investigator
  • Analisi storica

È necessario contattare il fornitore per un preventivo in modo che sia chiaro che si tratta di una piattaforma scalabile progettata pensando alle organizzazioni più grandi.

OSSEC

Sistema operativo: Windows, Linux, Unix e Mac

OSSEC è il principale sistema di prevenzione delle intrusioni basato su host (HIDS). OSSEC non è solo un ottimo HIDS, ma è gratuito. I metodi HIDS sono intercambiabili con i servizi forniti dai sistemi SIM, quindi OSSEC rientra anche nella definizione di uno strumento SIEM.

Il software si concentra sulle informazioni disponibili nei file di registro per cercare prove di intrusione. Oltre a leggere i file di registro, il software controlla i checksum dei file per rilevare eventuali manomissioni. Gli hacker sanno che i file di registro possono rivelare la loro presenza in un sistema e tenere traccia delle loro attività, quindi molti malware avanzati di intrusione altereranno i file di registro per rimuovere tali prove.

In quanto software gratuito, non ce n’è motivo per non installare OSSEC in molte posizioni della rete. Lo strumento esamina solo i file di registro residenti sul suo host. I programmatori del software sanno che diversi sistemi operativi hanno diversi sistemi di registrazione. Pertanto, OSSEC esaminerà i registri degli eventi ei tentativi di accesso al registro sui record Windows e Syslog e i tentativi di accesso root sui dispositivi Linux, Unix e Mac OS. Funzioni superiori nel software gli consentono di comunicare attraverso una rete e consolidare i record di log identificati in una posizione in un archivio di log SIM centrale.

Sebbene OSSEC sia gratuito, è di proprietà di un’operazione commerciale – Trend Micro. Il front-end del sistema è scaricabile come programma separato e non è perfetto. La maggior parte degli utenti OSSEC invia i propri dati a Graylog o Kibana come front-end e come motore di analisi.

Caratteristiche principali:

  • Gestione dei file di registro
  • Opzione pacchetto di supporto
  • Gratuito

Il comportamento di OSSEC è dettato da “policy”, che sono firme di attività da cercare nei file di registro.Queste politiche sono disponibili gratuitamente dal forum della comunità degli utenti. Le aziende che preferiscono utilizzare solo software completamente supportato possono abbonarsi a un pacchetto di supporto di Trend Micro.

LogRhythm NextGen SIEM Platform

Sistema operativo: Windows e Linux

LogRhythm si è affermato da tempo come pioniere nel settore delle soluzioni SIEM. Dall’analisi comportamentale alla correlazione dei log e all’intelligenza artificiale per l’apprendimento automatico, questa piattaforma ha tutto. Il sistema è compatibile con una vasta gamma di dispositivi e tipi di registro. In termini di configurazione delle impostazioni, la maggior parte delle attività viene gestita tramite Deployment Manager. Ad esempio, puoi utilizzare la procedura guidata host di Windows per setacciare i registri di Windows.

Ciò rende molto più semplice limitare ciò che sta accadendo sulla tua rete. All’inizio, l’interfaccia utente ha una curva di apprendimento, ma l’ampio manuale di istruzioni aiuta. La ciliegina sulla torta è che il manuale di istruzioni fornisce effettivamente collegamenti ipertestuali a varie funzioni per aiutarti nel tuo viaggio.

Caratteristiche principali:

  • Basato sull’intelligenza artificiale
  • Gestione dei file di registro
  • Analisi guidata

Il prezzo di questa piattaforma la rende una buona scelta per le organizzazioni di medie dimensioni che cercano di implementare nuove misure di sicurezza .

AT & T Cybersecurity AlienVault Unified Security Management

Sistema operativo: Windows e Mac

AlienVault (ora parte di AT & T Cybersecurity, una delle soluzioni SIEM a prezzi più competitivi in questo elenco) è un’offerta molto interessante. Fondamentalmente, questo è un prodotto SIEM tradizionale con rilevamento delle intrusioni, monitoraggio del comportamento e valutazione delle vulnerabilità integrati. AlienVault ha le analisi integrate che ti aspetteresti da una piattaforma scalabile.

Uno degli aspetti più esclusivi della piattaforma di AlienVault è l’Open Threat Exchange (OTX). OTX è un portale web che consente agli utenti di caricare “indicatori di compromissione” (IOC) per aiutare altri utenti a segnalare le minacce. Questa è una grande risorsa in termini di conoscenza generale e minacce.

Caratteristiche principali:

  • Rilevamento delle intrusioni
  • Monitoraggio del comportamento

Il prezzo basso di questo sistema SIEM lo rende ideale per le piccole e medie imprese che cercano di migliorare il proprio infrastruttura di sicurezza. AT & T Cybersecurity offre una prova gratuita.

RSA NetWitness Platform

Sistema operativo: Red Hat Enterprise Linux

RSA NetWitness Platform è una delle opzioni SIEM più intermedie disponibili sul mercato. Se stai cercando per una soluzione completa di analisi di rete, non cercare oltre RSA Netwitness. Per le organizzazioni più grandi, questo è uno degli strumenti più completi disponibili sul mercato. Tuttavia, se stai cercando un prodotto facile da usare, potresti volerlo guarda altrove.

Unfo Tuttavia, la configurazione iniziale può richiedere molto tempo se confrontata con altri prodotti in questo elenco. Detto questo, la documentazione utente completa ti aiuterà durante il processo di installazione. Le guide all’installazione non aiutano con tutto ma forniscono informazioni sufficienti per mettere insieme i pezzi.

Caratteristiche principali:

  • Monitoraggio dell’attività di rete
  • Grafici live
  • Strumenti analitici

IBM QRadar SIEM

Sistema operativo: Red Hat Enterprise Linux

Negli ultimi anni circa, la risposta di IBM a SIEM si è affermata come uno dei migliori prodotti sul mercato. La piattaforma offre una suite di funzionalità di gestione dei registri, analisi, raccolta dati e rilevamento delle intrusioni per mantenere i sistemi critici attivi e funzionanti. Tutta la gestione dei registri passa attraverso uno strumento: QRadar Log Manager. Quando si tratta di analisi, QRadar è una soluzione quasi completa.

Il sistema dispone di analisi di modellazione del rischio in grado di simulare potenziali attacchi. Questo può essere utilizzato per monitorare una varietà di ambienti fisici e virtuali sulla rete. IBM QRadar è una delle offerte più complete in questo elenco ed è un’ottima scelta se stai cercando una soluzione SIEM versatile.

Caratteristiche principali:

  • Gestione dei log
  • Rilevamento delle intrusioni
  • Funzioni analitiche

Le diverse funzionalità di questo sistema SIEM standard del settore lo hanno reso lo standard del settore per molte organizzazioni più grandi. IBM offre una prova gratuita.

McAfee Enterprise Security Manager

Sistema operativo: Windows e Mac

McAfee Enterprise Security Manager è considerata una delle migliori piattaforme SIEM in termini di analisi. L’utente può raccogliere una varietà di registri su un’ampia gamma di dispositivi tramite il sistema Active Directory. In termini di normalizzazione, il motore di correlazione di McAfee compila con facilità diverse fonti di dati.Ciò semplifica notevolmente il rilevamento quando si verifica un evento di sicurezza.

In termini di supporto, gli utenti hanno accesso sia al supporto tecnico di McAfee Enterprise che al supporto tecnico di McAfee Business. L’utente può scegliere di far visitare il proprio sito da un gestore dell’account di supporto due volte l’anno, se lo desidera. La piattaforma McAfee è rivolta alle aziende di medie e grandi dimensioni alla ricerca di una soluzione completa per la gestione degli eventi di sicurezza.

Caratteristiche principali:

  • Consolidamento dei log
  • Monitoraggio in tempo reale

McAfee offre una prova gratuita e devi contattarli per i prezzi.

Implementazione di SIEM

Indipendentemente dallo strumento SIEM in cui scegli di incorporare la tua azienda, è importante adottare una soluzione SIEM lentamente. Non esiste un modo rapido per implementare un sistema SIEM. Il metodo migliore per integrare una piattaforma SIEM nel tuo ambiente IT è introdurla gradualmente. Ciò significa adottare qualsiasi soluzione pezzo per pezzo. Dovresti mirare ad avere sia il monitoraggio in tempo reale che le funzioni di analisi dei log.

In questo modo avrai la possibilità di fare il punto del tuo ambiente IT e di mettere a punto il processo di adozione. L’implementazione graduale di un sistema SIEM ti aiuterà a rilevare se ti stai lasciando esposto ad attacchi dannosi. La cosa più importante è assicurarti di avere una visione chiara degli obiettivi che stai cercando di raggiungere quando utilizzi un sistema SIEM.

In questa guida, vedrai una varietà di diversi fornitori SIEM offrendo prodotti finali molto diversi. Se desideri trovare il servizio che fa per te, dedica del tempo alla ricerca delle opzioni disponibili e trovane uno che sia in linea con i tuoi obiettivi organizzativi. Nelle fasi iniziali, vorrai prepararti per lo scenario peggiore.

Prepararti per lo scenario peggiore significa che sei in grado di affrontare anche gli attacchi più duri. In definitiva, è meglio essere iperprotetti dagli attacchi informatici piuttosto che sottoprotetti. Dopo aver scelto uno strumento che desideri utilizzare, impegnati ad aggiornare. Un sistema SIEM è buono quanto i suoi aggiornamenti. Se non riesci a mantenere aggiornati i tuoi registri e a perfezionare le notifiche, sarai impreparato quando una minaccia emergente colpisce.

Se la tua organizzazione non è pronta ad affrontare le sfide della distribuzione di uno strumento SIEM, oppure, se il tuo budget lo proibisce severamente, puoi esternalizzare le tue esigenze SIEM a un SIEM co-gestito oa un provider SIEM gestito. Consulta il nostro post sulle migliori soluzioni SIEM gestite.

I migliori fornitori SIEM

  1. SolarWinds SCELTA DELL’EDITOR
  2. Datadog Security Monitoring (PROVA GRATUITA)
  3. ManageEngine (PROVA GRATUITA)
  4. Splunk
  5. OSSEC
  6. LogRhythm
  7. AT & T Cybersecurity
  8. RSA
  9. IBM
  10. McAfee

FAQ SIEM

Qual è il processo SIEM?

Il “processo SIEM” si riferisce alla strategia di un’azienda verso sicurezza dei dati. Gli strumenti SIEM sono un elemento importante in quella strategia, ma il modo in cui gli strumenti sono integrati nelle pratiche di lavoro è dettato dai requisiti di conformità agli standard di sicurezza dei dati.

Che cos’è SIEM as a Service?

Il software basato su cloud include il server che esegue il software e anche lo spazio di archiviazione per i dati di registro ed è chiamato “Software as a Service” (SaaS). SIEM as a Service (SIEMaaS) è una forma SIEM di SaaS e i piani superiori includeranno la fornitura di analisti di dati esperti e risorse IT.

Che cos’è un evento di sicurezza ?

Un evento di sicurezza è un utilizzo imprevisto di una risorsa di sistema che indica l’uso non autorizzato di dati o infrastrutture. Il singolo evento potrebbe sembrare innocuo ma potrebbe contribuire a una violazione della sicurezza se combinato con altre azioni.

Che cos’è l’analisi dei log in SIEM?

L’analisi dei log si ristruttura dati esistenti da utilizzare nell’analisi della sicurezza in SIEM. I dati chiave verranno estratti dai normali file di registro provenienti da diversi sistemi di conservazione dei dati, unificando le informazioni sugli eventi che derivano da diverse fonti.

Quanto costa SIEM?

I sistemi SIEM sono disponibili in molte configurazioni e vanno dalle implementazioni open source per le imprese iniziali o medie fino ai pacchetti di licenze multiutente più adatti per le imprese più grandi.

Prodotto

Prezzi

SolarWinds Security Event Manager

A partire da $ 4.805 (£ 3.646)

Analizzatore ManageEngine EventLog

Versione gratuita: gratuita per un massimo di 5 sorgenti di log
Premium: $ 595 da 10 a 10.000 sorgenti di log
Edizione distribuita: $ 2495 per sorgenti di log illimitate

Splunk

Richiedi preventivo

OSSEC

Licenza open source gratuita

Piattaforma LogRhythm NextGen SIEM

Contatto per i prezzi

AT & T Cybersecurity AlienVault Unified Security Gestione

Richiedi preventivo

RSA NetWitne ss Platform

Richiedi demo

IBM QRadar SIEM

Contatta per i prezzi

McAfee Enterprise Security Manager

Contatto per i prezzi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *