10 bästa SIEM-verktyg från 2021: Leverantörer och lösningar rankade

Datadog Security Monitoring Start 14-dagars GRATIS provperiod

ManageEngine EventLog Analyzer (FREE TRIAL)

Operativsystem: Windows och Linux

ManageEngine EventLog Analyzer är ett SIEM-verktyg eftersom det fokuserar på att hantera loggar och skaffa säkerhets- och prestationsinformation från dem.

Verktyget kan samla Windows händelselogg och Syslog-meddelanden . Det kommer sedan att ordna dessa meddelanden i filer, rotera till nya filer där så är lämpligt och lagra dessa filer i meningsfullt namngivna kataloger för enkel åtkomst. EventLog Analyzer skyddar sedan dessa filer från manipulering.

ManageEngine-systemet är dock mer än en loggserver. Den har analytiska funktioner som informerar dig om obehörig tillgång till företagets resurser. Verktyget kommer också att bedöma prestanda för viktiga applikationer och tjänster, såsom webbservrar, databaser, DHCP-servrar och utskriftsköer.

Revisions- och rapporteringsmodulerna i EventLog Analyzer är mycket användbara för att visa dataskydd efterlevnad av standarder. Rapporteringsmotorn innehåller format för överensstämmelse med PCI DSS, FISMA, GLBA, SOX, HIPAA och ISO 27001.

Viktiga funktioner:

  • Samlar Windows-händelseloggar och Syslog-meddelanden
  • Detektering av liveintrång
  • Logganalys
  • Varningsmekanism

ManageEngine har producerat tre utgåvor av EventLog Analyzer, inklusive en gratis version som samlar loggar från upp till fem källor. ManageEngine erbjuder en 30-dagars gratis testversion av Premium Edition.

En nätverksbaserad version, kallad Distribuerad version, finns också. Båda versionerna är tillgängliga på en 30-dagars gratis testbasis.

ManageEngine EventLog Analyzer Ladda ner 30-dagars GRATIS testversion

Splunk Enterprise Security

Operativsystem: Windows och Linux

Splunk är en av de mest populära SIEM-hanteringslösningarna i världen . Det som skiljer den från konkurrensen är att den har införlivat analyser i hjärtat av sitt SIEM. Nätverks- och maskindata kan övervakas i realtid eftersom systemet letar efter potentiella sårbarheter och kan till och med peka på onormalt beteende. Enterprise Security’s Notables-funktion visar varningar som kan förfinas av användaren.

När det gäller att svara på säkerhetshot är användargränssnittet otroligt enkelt. När en incidentgranskning genomförs kan användaren börja med en grundläggande översikt innan han klickar igenom till djupgående anteckningar om det tidigare evenemanget. På samma sätt gör Asset Investigator ett bra jobb med att flagga skadliga åtgärder och förhindra framtida skador.

Viktiga funktioner:

  • Nätverksövervakning i realtid
  • Tillgångsutredare
  • Historisk analys

Du måste kontakta säljaren för en offert så det är tydligt att det här är en skalbar plattform utformad med större organisationer i åtanke.

OSSEC

Operativsystem: Windows, Linux, Unix och Mac

OSSEC är det ledande värdbaserade systemet för förebyggande av intrång (HIDS). OSSEC är inte bara ett mycket bra HIDS utan det är gratis att använda. HIDS-metoder är utbytbara mot de tjänster som utförs av SIM-system, så OSSEC passar också in i definitionen av ett SIEM-verktyg.

Programvaran fokuserar på den information som finns i loggfiler för att leta efter bevis på intrång. Förutom att läsa igenom loggfiler övervakar programvaran filkontrollsummen för att upptäcka manipulering. Hackare vet att loggfiler kan avslöja sin närvaro i ett system och spåra deras aktiviteter, så många avancerade skadliga program kommer att ändra loggfiler för att ta bort beviset.

Som en gratis mjukvara finns det ingen anledning att inte installera OSSEC på många platser i nätverket. Verktyget granskar endast loggfilerna som är bosatta i dess värd. Programvarans programmerare vet att olika operativsystem har olika loggningssystem. Så OSSEC kommer att undersöka händelseloggar och registeråtkomstförsök på Windows- och Syslog-poster och root-åtkomstförsök på Linux-, Unix- och Mac OS-enheter. Högre funktioner i programvaran gör det möjligt att kommunicera över ett nätverk och konsolidera de loggposter som identifierats på en plats till en central SIM-loggbutik.

Även om OSSEC är gratis att använda, ägs det av en kommersiell verksamhet – Trend Micro. Systemets frontändare kan laddas ner som ett separat program och det är inte perfekt. De flesta OSSEC-användare matar sina data till Graylog eller Kibana som en frontend och som en analysmotor.

Viktiga funktioner:

  • Loggfilhantering
  • Stödpaketalternativ
  • Gratis att använda

OSSEC: s beteende dikteras av ”policyer”, som är aktivitetssignaturer att leta efter i loggfilerna.Dessa policyer är tillgängliga gratis från användargruppens forum. Företag som föredrar att bara använda programvara som stöds fullt ut kan prenumerera på ett supportpaket från Trend Micro.

LogRhythm NextGen SIEM Platform

Operativsystem: Windows och Linux

LogRhythm har länge etablerat sig som pionjärer inom SIEM-lösningssektorn. Från beteendeanalys till loggkorrelation och artificiell intelligens för maskininlärning har denna plattform allt. Systemet är kompatibelt med ett stort antal enheter och loggtyper. När det gäller att konfigurera dina inställningar hanteras de flesta aktiviteter via Deployment Manager. Du kan till exempel använda Windows Host Wizard för att söka igenom Windows-loggar.

Detta gör det mycket lättare att begränsa vad som händer i ditt nätverk. Först har användargränssnittet en inlärningskurva, men den omfattande bruksanvisningen hjälper. Prisen är att instruktionsboken faktiskt tillhandahåller hyperlänkar till olika funktioner för att hjälpa dig på din resa.

Nyckelfunktioner:

  • AI-baserad
  • Hantering av loggfil
  • Guidad analys

Priset för denna plattform gör det till ett bra val för medelstora organisationer som vill genomföra nya säkerhetsåtgärder .

AT & T Cybersecurity AlienVault Unified Security Management

Operativsystem: Windows och Mac

Som en av de mer konkurrenskraftiga SIEM-lösningarna på denna lista, AlienVault (nu en del av AT & T Cybersecurity) är ett mycket attraktivt erbjudande. Kärnan är detta en traditionell SIEM-produkt med inbyggd intrångsdetektering, beteendemätning och bedömning av sårbarhet. AlienVault har den inbyggda analysen som du kan förvänta dig av skalbar plattform.

En av de mer unika aspekterna av AlienVault-plattformen är Open Threat Exchange (OTX). OTX är en webbportal som gör det möjligt för användare att ladda upp ”indikatorer för kompromiss” (IOC) för att hjälpa andra användare att flagga hot. Detta är en bra resurs när det gäller allmän kunskap och hot.

Viktiga funktioner:

  • Detektion av intrång
  • Beteendeövervakning

Det låga priset på detta SIEM-system gör det idealiskt för små och medelstora företag som vill uppskala sina säkerhetsinfrastruktur. AT & T Cybersecurity erbjuder en gratis testperiod.

RSA NetWitness Platform

Operativsystem: Red Hat Enterprise Linux

RSA NetWitness-plattformen är ett av de mer avancerade SIEM-alternativen som finns på marknaden. för en komplett nätverksanalyslösning, leta inte längre än RSA Netwitness. För större organisationer är detta ett av de mest omfattande verktygen som finns på marknaden. Men om du letar efter en produkt som är enkel att använda, kanske du vill titta någon annanstans.

Unfo Lyckligtvis kan den ursprungliga installationen vara ganska tidskrävande jämfört med andra produkter i den här listan. Med detta sagt kommer omfattande användardokumentation att hjälpa dig genom installationsprocessen. Installationsguiderna hjälper inte till med allt men ger dig tillräckligt med information för att sätta ihop bitarna.

Viktiga funktioner:

  • Nätverksaktivitetsövervakning
  • Livediagram
  • Analytiska verktyg

IBM QRadar SIEM

Operativsystem: Red Hat Enterprise Linux

Under de senaste åren har IBM: s svar på SIEM etablerat sig som en av de bästa produkterna på marknaden. Plattformen erbjuder en uppsättning funktioner för logghantering, analys, datainsamling och upptäckt av intrång för att hålla dina kritiska system igång. All logghantering går genom ett verktyg: QRadar Log Manager. När det gäller analys är QRadar en nästan komplett lösning.

Systemet har riskmodelleringsanalys som kan simulera potentiella attacker. Detta kan användas för att övervaka en mängd fysiska och virtuella miljöer i ditt nätverk. IBM QRadar är ett av de mest kompletta erbjudandena i den här listan och är ett utmärkt val om du letar efter en mångsidig SIEM-lösning.

Viktiga funktioner:

  • Logghantering
  • Detektion av intrång
  • Analytiska funktioner

Detta branschstandard SIEM-system har olika funktioner har gjort det till branschstandard för många större organisationer. IBM erbjuder en gratis testversion.

McAfee Enterprise Security Manager

Operativsystem: Windows och Mac

McAfee Enterprise Security Manager betraktas som en av de bästa SIEM-plattformarna när det gäller analys. Användaren kan samla in olika loggar över ett stort antal enheter via Active Directory-systemet. När det gäller normalisering sammanställer McAfees korrelationsmotor olika datakällor med lätthet.Detta gör det mycket lättare att upptäcka när en säkerhetshändelse inträffar.

När det gäller support har användare tillgång till både McAfee Enterprise Technical Support och McAfee Business Technical Support. Användaren kan välja att besöka sin webbplats två gånger om året av en Support Account Manager om de så önskar. McAfees plattform riktar sig till medelstora företag som letar efter en komplett lösning för säkerhetshändelsehantering.

Viktiga funktioner:

  • Loggkonsolidering
  • Liveövervakning

McAfee erbjuder en gratis provperiod och du måste kontakta dem för prissättning.

Implementering av SIEM

Oavsett vilket SIEM-verktyg du väljer att införliva i ditt företag är det viktigt att långsamt anta en SIEM-lösning. Det finns inget snabbt sätt att implementera ett SIEM-system. Den bästa metoden att integrera en SIEM-plattform i din IT-miljö är att ta in den gradvis. Detta innebär att man antar vilken lösning som helst. Du bör sträva efter att ha både realtidsövervaknings- och logganalysfunktioner.

Om du gör det kan du göra en översikt över din IT-miljö och finjustera antagningsprocessen. Genom att gradvis implementera ett SIEM-system kan du upptäcka om du lämnar dig själv öppen för skadliga attacker. Det viktigaste är att se till att du har en tydlig bild av de mål du vill uppnå när du använder ett SIEM-system.

I den här guiden ser du en mängd olika SIEM-leverantörer erbjuder väldigt olika slutprodukter. Om du vill hitta den tjänst som passar dig, ta dig tid att undersöka tillgängliga alternativ och hitta en som passar dina organisatoriska mål. I de inledande faserna vill du förbereda dig för det värsta fallet.

Att förbereda sig för det värsta fallet innebär att du är redo att ta itu med även de hårdaste attackerna. I slutändan är det bättre att vara överskyddad mot cyberattacker än att vara underskyddad. När du har valt ett verktyg du vill använda, åtag dig att uppdatera. Ett SIEM-system är bara lika bra som uppdateringarna. Om du misslyckas med att hålla dina loggar uppdaterade och förfina dina aviseringar kommer du att vara oförberedd när ett framväxande hot inträffar.

Om din organisation inte är redo att ta sig an utmaningarna med att distribuera ett SIEM-verktyg, eller om din budget strängt förbjuder den, kan du lägga ut dina SIEM-behov till en samadministrerad SIEM eller en hanterad SIEM-leverantör. Kolla in vårt inlägg om de bästa hanterade SIEM-lösningarna.

De bästa SIEM-leverantörerna

  1. SolarWinds EDITOR’S CHOICE
  2. Datadog Security Monitoring (FREE TRIAL)
  3. ManageEngine (FREE TRIAL)
  4. Splunk
  5. OSSEC
  6. LogRhythm
  7. AT & T Cybersecurity
  8. RSA
  9. IBM
  10. McAfee

FAQ om SIEM

Vad är SIEM-processen?

”SIEM-processen” avser ett företags strategi mot datasäkerhet. SIEM-verktyg är ett viktigt inslag i den strategin, men det sätt på vilket verktygen integreras i arbetssättet dikteras av kraven för datasäkerhetsstandarder.

Vad är SIEM as a Service?

Molnbaserad programvara inkluderar servern som kör programvaran och även lagringsutrymme för loggdata och kallas ”Software as a Service” (SaaS). SIEM as a Service (SIEMaaS) är en SIEM-form av SaaS och högre planer kommer att innehålla tillhandahållande av expertdata-analytiker samt IT-resurser.

Vad är en säkerhetshändelse ?

En säkerhetshändelse är en oväntad användning av en systemresurs som indikerar obehörig användning av data eller infrastruktur. Den enskilda händelsen kan verka ofarlig men kan bidra till en säkerhetsöverträdelse när den kombineras med andra åtgärder.

Vad är loggparsing i SIEM?

Restruktureringar för loggparsning befintliga data för användning i säkerhetsanalys i SIEM. Nyckeldata extraheras från vanliga loggfiler som kommer från olika registersystem, vilket förenar händelseinformation som härrör från flera källor.

Hur mycket kostar SIEM?

SIEM-system finns i många konfigurationer och sträcker sig från öppen källkodsimplementering för startande eller medelstora företag till fleranvändarlicenspaket som är mer lämpade för större företag.

Produkt

Prissättning

SolarWinds Security Event Manager

Börjar till 4 805 $ (3 646 £)

ManageEngine EventLog Analyzer

Gratisversion: Gratis för upp till 5 loggkällor
Premium: 595 $ för 10 till 10 000 loggkällor
Distribuerad utgåva: 2495 $ för obegränsad loggkälla

Splunk

Begär offert

OSSEC

Gratis öppen källkodslicensiering

LogRhythm NextGen SIEM Platform

Kontakt för prissättning

AT & T Cybersecurity AlienVault Unified Security Management

Offertförfrågan

RSA NetWitne ss Platform

Demo för begäran

IBM QRadar SIEM

Kontakt för prissättning

McAfee Enterprise Security Manager

Kontakt för prissättning

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *