10 beste SIEM-Tools von 2021: Anbieter und Lösungen bewertet

Start der Datadog-Sicherheitsüberwachung 14-tägige KOSTENLOSE Testversion

ManageEngine EventLog Analyzer (KOSTENLOSE Testversion)

Betriebssystem: Windows und Linux

Der ManageEngine EventLog Analyzer ist ein SIEM-Tool, da er sich auf die Verwaltung von Protokollen und das Abrufen von Sicherheits- und Leistungsinformationen konzentriert.

Das Tool kann Windows-Ereignisprotokoll- und Syslog-Nachrichten erfassen . Diese Nachrichten werden dann in Dateien organisiert, gegebenenfalls in neue Dateien umgewandelt und diese Dateien für den einfachen Zugriff in Verzeichnissen mit aussagekräftigen Namen gespeichert. Der EventLog Analyzer schützt diese Dateien dann vor Manipulationen.

Das ManageEngine-System ist jedoch mehr als ein Protokollserver. Es verfügt über Analysefunktionen, die Sie über den unbefugten Zugriff auf Unternehmensressourcen informieren. Das Tool bewertet auch die Leistung wichtiger Anwendungen und Dienste wie Webserver, Datenbanken, DHCP-Server und Druckwarteschlangen.

Die Überwachungs- und Berichtsmodule des EventLog Analyzer sind sehr nützlich, um den Datenschutz zu demonstrieren Einhaltung von Standards. Die Berichts-Engine enthält Formate für die Konformität mit PCI DSS, FISMA, GLBA, SOX, HIPAA und ISO 27001.

Hauptfunktionen:

  • Sammelt Windows-Ereignisprotokolle und Syslog-Nachrichten
  • Live-Intrusion-Erkennung
  • Protokollanalyse
  • Warnmechanismus

ManageEngine hat drei Editionen des EventLog Analyzer erstellt, darunter: Eine kostenlose Version, die Protokolle aus bis zu fünf Quellen sammelt. ManageEngine bietet eine kostenlose 30-Tage-Testversion der Premium Edition.

Eine netzwerkbasierte Version namens Distributed Edition ist ebenfalls verfügbar. Beide Versionen sind für eine kostenlose 30-Tage-Testversion verfügbar.

ManageEngine EventLog Analyzer 30-Tage-KOSTENLOSE Testversion herunterladen

Splunk Enterprise Security

Betriebssystem: Windows und Linux

Splunk ist eine der beliebtesten SIEM-Verwaltungslösungen der Welt . Was es von der Konkurrenz unterscheidet, ist, dass es Analytics in das Herz seines SIEM integriert hat. Netzwerk- und Maschinendaten können in Echtzeit überwacht werden, wenn das System nach potenziellen Schwachstellen sucht und sogar auf abnormales Verhalten hinweist. Die Notables-Funktion von Enterprise Security zeigt Warnungen an, die vom Benutzer verfeinert werden können.

In Bezug auf die Reaktion auf Sicherheitsbedrohungen ist die Benutzeroberfläche unglaublich einfach. Bei der Durchführung einer Vorfallüberprüfung kann der Benutzer mit einer grundlegenden Übersicht beginnen, bevor er zu detaillierten Anmerkungen zum vergangenen Ereignis durchklickt. Ebenso kann der Asset Investigator böswillige Aktionen gut kennzeichnen und zukünftige Schäden verhindern.

Hauptmerkmale:

  • Netzwerküberwachung in Echtzeit
  • Asset Investigator
  • Historische Analyse

Sie müssen sich an den Anbieter wenden, um ein Angebot zu erhalten, damit klar ist, dass dies eine skalierbare Plattform ist, die für größere Organisationen entwickelt wurde. P. >

OSSEC

Betriebssystem: Windows, Linux, Unix und Mac

OSSEC ist das führende hostbasierte Intrusion Prevention System (HIDS). OSSEC ist nicht nur ein sehr gutes HIDS, es kann auch kostenlos verwendet werden. HIDS-Methoden sind mit den von SIM-Systemen erbrachten Diensten austauschbar, sodass OSSEC auch in die Definition eines SIEM-Tools passt.

Die Software konzentriert sich auf die in Protokolldateien verfügbaren Informationen, um nach Hinweisen auf ein Eindringen zu suchen. Die Software liest nicht nur Protokolldateien durch, sondern überwacht auch die Dateiprüfsummen, um Manipulationen zu erkennen. Hacker wissen, dass Protokolldateien ihre Präsenz in einem System offenbaren und ihre Aktivitäten verfolgen können. Daher ändern viele fortgeschrittene Intrusion Malware Protokolldateien, um diese Beweise zu entfernen.

Als kostenlose Software gibt es keine Grund, OSSEC nicht an vielen Stellen im Netzwerk zu installieren. Das Tool überprüft nur die auf seinem Host befindlichen Protokolldateien. Die Programmierer der Software wissen, dass verschiedene Betriebssysteme unterschiedliche Protokollierungssysteme haben. Daher wird OSSEC Ereignisprotokolle und Registrierungszugriffsversuche auf Windows- und Syslog-Datensätzen sowie Root-Zugriffsversuche auf Linux-, Unix- und Mac OS-Geräten untersuchen. Höhere Funktionen in der Software ermöglichen die Kommunikation über ein Netzwerk und die Konsolidierung der an einem Ort identifizierten Protokolldatensätze in einem zentralen SIM-Protokollspeicher.

Obwohl OSSEC kostenlos verwendet werden kann, gehört es einem kommerziellen Betrieb. Trend Micro. Das Frontend für das System kann als separates Programm heruntergeladen werden und ist nicht perfekt. Die meisten OSSEC-Benutzer geben ihre Daten als Front-End und als Analyse-Engine an Graylog oder Kibana weiter.

Hauptmerkmale:

  • Protokolldateiverwaltung
  • Support Package Option
  • Kostenlos zu verwenden

Das Verhalten von OSSEC wird durch „Richtlinien“ bestimmt, bei denen es sich um Aktivitätssignaturen handelt, nach denen in den Protokolldateien gesucht werden muss.Diese Richtlinien sind kostenlos im Benutzer-Community-Forum erhältlich. Unternehmen, die nur vollständig unterstützte Software verwenden möchten, können ein Support Package von Trend Micro abonnieren.

LogRhythm NextGen SIEM-Plattform

Betriebssystem: Windows und Linux

LogRhythm hat sich seit langem als Pionier im Bereich SIEM-Lösungen etabliert. Von der Verhaltensanalyse über die Protokollkorrelation bis hin zur künstlichen Intelligenz für maschinelles Lernen bietet diese Plattform alles. Das System ist mit einer Vielzahl von Geräten und Protokolltypen kompatibel. In Bezug auf die Konfiguration Ihrer Einstellungen werden die meisten Aktivitäten über den Deployment Manager verwaltet. Sie können beispielsweise den Windows-Host-Assistenten verwenden, um Windows-Protokolle zu durchsuchen.

Dies erleichtert die Eingrenzung der Vorgänge in Ihrem Netzwerk erheblich. Die Benutzeroberfläche hat zunächst eine Lernkurve, aber die umfangreiche Bedienungsanleitung hilft. Das i-Tüpfelchen ist, dass die Bedienungsanleitung tatsächlich Hyperlinks zu verschiedenen Funktionen enthält, um Sie auf Ihrer Reise zu unterstützen.

Hauptmerkmale:

  • AI-basiert
  • Protokolldateiverwaltung
  • Geführte Analyse

Der Preis dieser Plattform macht sie zu einer guten Wahl für mittelständische Unternehmen, die neue Sicherheitsmaßnahmen implementieren möchten

AT & T Cybersecurity AlienVault Unified Security Management

Betriebssystem: Windows und Mac

Als eine der preisgünstigeren SIEM-Lösungen auf dieser Liste ist AlienVault (jetzt Teil von AT & T Cybersecurity) ist ein sehr attraktives Angebot. Im Kern handelt es sich um ein traditionelles SIEM-Produkt mit integrierter Intrusion Detection, Verhaltensüberwachung und Schwachstellenbewertung. AlienVault verfügt über die Onboard-Analyse, die Sie von einer skalierbaren Plattform erwarten würden.

Einer der einzigartigeren Aspekte der AlienVault-Plattform ist Open Threat Exchange (OTX). Das OTX ist ein Webportal, über das Benutzer „Kompromissindikatoren“ (IOC) hochladen können, um anderen Benutzern das Markieren von Bedrohungen zu erleichtern. Dies ist eine hervorragende Ressource in Bezug auf Allgemeinwissen und Bedrohungen.

Hauptmerkmale:

  • Intrusion Detection
  • Verhaltensüberwachung

Der niedrige Preis dieses SIEM-Systems macht es ideal für kleine und mittelständische Unternehmen, die ihr Unternehmen verbessern möchten Sicherheitsinfrastruktur. AT & T Cybersecurity bietet eine kostenlose Testversion an.

RSA NetWitness-Plattform

Betriebssystem: Red Hat Enterprise Linux

Die RSA NetWitness-Plattform ist eine der mittelständischeren SIEM-Optionen auf dem Markt Für eine vollständige Netzwerkanalyselösung ist RSA Netwitness genau das Richtige. Für größere Unternehmen ist dies eines der umfangreichsten Tools auf dem Markt. Wenn Sie jedoch nach einem Produkt suchen, das einfach zu verwenden ist, möchten Sie vielleicht woanders suchen.

Unfo Glücklicherweise kann die Ersteinrichtung im Vergleich zu anderen Produkten auf dieser Liste sehr zeitaufwändig sein. Eine umfassende Benutzerdokumentation hilft Ihnen jedoch beim Einrichten. Die Installationshandbücher helfen nicht bei allem, sondern bieten Ihnen genügend Informationen, um die Teile zusammenzusetzen.

Hauptmerkmale:

  • Überwachung der Netzwerkaktivität
  • Live-Diagramme
  • Analysetools

IBM QRadar SIEM

Betriebssystem: Red Hat Enterprise Linux

In den letzten Jahren hat sich die Antwort von IBM auf SIEM als eines der besten Produkte auf dem Markt etabliert. Die Plattform bietet eine Reihe von Funktionen zur Protokollverwaltung, Analyse, Datenerfassung und Erkennung von Eindringlingen, um Ihre kritischen Systeme am Laufen zu halten. Die gesamte Protokollverwaltung erfolgt über ein Tool: QRadar Log Manager. Wenn es um Analysen geht, ist QRadar eine nahezu vollständige Lösung.

Das System verfügt über Risikomodellanalysen, mit denen potenzielle Angriffe simuliert werden können. Dies kann verwendet werden, um eine Vielzahl von physischen und virtuellen Umgebungen in Ihrem Netzwerk zu überwachen. IBM QRadar ist eines der umfassendsten Angebote auf dieser Liste und eine gute Wahl, wenn Sie nach einer vielseitigen SIEM-Lösung suchen.

Hauptmerkmale:

  • Protokollverwaltung
  • Intrusion Detection
  • Analytische Funktionen

Die vielfältigen Funktionen dieses SIEM-Systems nach Industriestandard haben es zum Industriestandard für viele größere Unternehmen gemacht. IBM bietet eine kostenlose Testversion an.

McAfee Enterprise Security Manager

Betriebssystem: Windows und Mac

McAfee Enterprise Security Manager gilt als eine der besten SIEM-Plattformen in Bezug auf Analysen. Der Benutzer kann über das Active Directory-System eine Vielzahl von Protokollen auf einer Vielzahl von Geräten sammeln. In Bezug auf die Normalisierung kompiliert die McAfee-Korrelations-Engine problemlos unterschiedliche Datenquellen.Dies erleichtert das Erkennen eines Sicherheitsereignisses erheblich.

In Bezug auf den Support haben Benutzer Zugriff auf den technischen Support von McAfee Enterprise und den technischen Support von McAfee Business. Der Benutzer kann wählen, ob seine Website zweimal im Jahr von einem Support Account Manager besucht werden soll, wenn er dies wünscht. Die Plattform von McAfee richtet sich an mittelständische Unternehmen, die nach einer vollständigen Lösung für das Management von Sicherheitsereignissen suchen.

Hauptmerkmale:

  • Protokollkonsolidierung
  • Live-Überwachung

McAfee bietet eine kostenlose Testversion an. Sie müssen sich bezüglich der Preise an diese wenden.

Implementieren von SIEM

Unabhängig davon, in welches SIEM-Tool Sie sich integrieren möchten In Ihrem Unternehmen ist es wichtig, eine SIEM-Lösung langsam einzuführen. Es gibt keine schnelle Möglichkeit, ein SIEM-System zu implementieren. Die beste Methode, um eine SIEM-Plattform in Ihre IT-Umgebung zu integrieren, besteht darin, sie schrittweise einzuführen. Dies bedeutet, dass jede Lösung Stück für Stück übernommen wird. Sie sollten sowohl Echtzeitüberwachungs- als auch Protokollanalysefunktionen anstreben.

Auf diese Weise können Sie eine Bestandsaufnahme Ihrer IT-Umgebung durchführen und den Einführungsprozess optimieren. Durch die schrittweise Implementierung eines SIEM-Systems können Sie feststellen, ob Sie sich böswilligen Angriffen aussetzen. Das Wichtigste ist, dass Sie einen klaren Überblick über die Ziele haben, die Sie mit einem SIEM-System erreichen möchten.

In diesem Handbuch finden Sie verschiedene SIEM-Anbieter bietet ganz unterschiedliche Endprodukte. Wenn Sie den für Sie geeigneten Service finden möchten, nehmen Sie sich Zeit, um nach verfügbaren Optionen zu suchen und eine zu finden, die Ihren Unternehmenszielen entspricht. In der Anfangsphase möchten Sie sich auf das Worst-Case-Szenario vorbereiten.

Wenn Sie sich auf das Worst-Case-Szenario vorbereiten, sind Sie für die härtesten Angriffe gerüstet. Letztendlich ist es besser, vor Cyberangriffen übermäßig geschützt zu sein, als untergeschützt zu sein. Wenn Sie ein Tool ausgewählt haben, das Sie verwenden möchten, verpflichten Sie sich zur Aktualisierung. Ein SIEM-System ist nur so gut wie seine Updates. Wenn Sie Ihre Protokolle nicht auf dem neuesten Stand halten und Ihre Benachrichtigungen nicht verfeinern können, sind Sie nicht vorbereitet, wenn eine aufkommende Bedrohung auftritt.

Wenn Ihre Organisation nicht bereit ist, sich den Herausforderungen der Bereitstellung eines SIEM-Tools zu stellen, oder wenn Ihr Budget dies strengstens verbietet, können Sie Ihre SIEM-Anforderungen an ein gemeinsam verwaltetes SIEM oder einen verwalteten SIEM-Anbieter auslagern. Lesen Sie unseren Beitrag zu den am besten verwalteten SIEM-Lösungen.

Die besten SIEM-Anbieter

  1. WAHL DES SolarWinds-EDITORS
  2. Überwachung der Datadog-Sicherheit (KOSTENLOSE TESTVERSION)
  3. ManageEngine (KOSTENLOSE TESTVERSION)
  4. Splunk
  5. OSSEC
  6. LogRhythm
  7. AT & T Cybersecurity
  8. RSA
  9. IBM
  10. McAfee

SIEM-FAQ

Was ist der SIEM-Prozess?

Der „SIEM-Prozess“ bezieht sich auf die Strategie eines Unternehmens in Richtung Datensicherheit. SIEM-Tools sind ein wichtiges Element dieser Strategie, aber die Art und Weise, wie die Tools in die Arbeitspraktiken integriert werden, wird durch die Konformitätsanforderungen für Datensicherheitsstandards bestimmt.

Was ist SIEM as a Service?

Cloud-basierte Software umfasst den Server, auf dem die Software ausgeführt wird, sowie Speicherplatz für Protokolldaten und wird als „Software as a Service“ (SaaS) bezeichnet. SIEM as a Service (SIEMaaS) ist eine SIEM-Form von SaaS. Höhere Pläne umfassen die Bereitstellung von Experten-Datenanalysten sowie der IT-Ressourcen.

Was ist ein Sicherheitsereignis? ?

Ein Sicherheitsereignis ist eine unerwartete Verwendung einer Systemressource, die auf die nicht autorisierte Verwendung von Daten oder Infrastruktur hinweist. Das einzelne Ereignis mag harmlos erscheinen, kann aber in Kombination mit anderen Aktionen zu einer Sicherheitsverletzung führen.

Was ist Protokollanalyse in SIEM?

Umstrukturierungen der Protokollanalyse vorhandene Daten zur Verwendung in der Sicherheitsanalyse in SIEM. Schlüsseldaten werden aus regulären Protokolldateien extrahiert, die aus verschiedenen Aufzeichnungssystemen stammen, und die Ereignisinformationen aus mehreren Quellen vereinheitlicht.

Wie viel kostet SIEM?

SIEM-Systeme gibt es in vielen Konfigurationen und reichen von Open-Source-Implementierungen für Startunternehmen oder mittlere Unternehmen bis hin zu Mehrbenutzer-Lizenzpaketen, die für größere Unternehmen besser geeignet sind.

Produkt

Preise

SolarWinds Security Event Manager

Beginnt bei 4.805 USD (3.646 £)

ManageEngine EventLog Analyzer

Kostenlose Edition: Kostenlos für bis zu 5 Protokollquellen
Premium: 595 USD für 10 bis 10.000 Protokollquellen
Distributed Edition: 2495 USD für unbegrenzte Protokollquellen

Splunk

Angebot anfordern

OSSEC

Kostenlose Open Source-Lizenzierung

LogRhythm NextGen SIEM-Plattform

Kontakt für Preisgestaltung

AT & T Cybersecurity AlienVault Unified Security Management

Angebot anfordern

RSA NetWitne ss-Plattform

Demo anfordern

IBM QRadar SIEM

Kontakt für Preisgestaltung

McAfee Enterprise Security Manager

Kontakt für Preisgestaltung

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.