مروری بر SIEM ها : Splunk, ArcSight, LogRhytm, Qradar

مدیران فناوری اطلاعات و مدیران امنیت، همگی بر این باور هستند که خصوصیت” تلفیق و یکپارچه سازی اطلاعات، از آدرس های مبدأ مختلف” و همچنین خصوصیت “جستجوی هوشمند” از مهمترین ویژگی SIEM  ها (Security Information and Event Management ) می باشند .بر اساس مقایسات مختلف بین المللی ۴ ابزار زیر لیدر محصولات SIEM  هستند.

  • Splunk
  • HPE ArcSight
  • LogRhythm
  • IBM Security QRadar SIEM

اما کاربران این محصولات چه نظری در خصوص هر یک از این محصولات دارند؟ در ادامه خصوصیات مختلف این برندها از دید کاربران آن ارائه شده است.

Splunk

ویژگی های ارزشمند

بسیار عالی برای حس کردن رخدادهای برنامه های کاربردی جهت بررسی نیازهای تجاری، مانند تعداد درخواست ها در یک روز، کارهای اجرا شده برای یک کاربر، استثناء ها و …

قابلیت دسترسی سریع به داده های عملیاتی که بین چندین سرور پخش شده اند در جهت جلوگیری از کاهش کارایی و یا افزایش سرعت واکنش بسیار موثرند.

نقاط ضعف

اضافه کردن منابع داده می توانست بسیار ساده تر باشد

خصوصیاتی مانند  “ایجاد تیکت” و “گردش کار عملیاتی” در صورت وجود می توانستند برای محیط هایی مانند مرکز عملیات امنیت (SOC) بسیار موثر باشند.

 

HPE ArcSight

ویژگی های ارزشمند

این راه کار می تواند زمان لازم برای تحقیق و بررسی را کاهش دهد چرا که خصوصیات همبستگی (Correlation) و تجمیع (Aggregation) برای تمامی رخداها صورت می گیرد. برای شبکه ما این بهترین اتفاق است.

اجزاء پایدار همراه با ساپورت رضایتبخش ، امکان تعریف پارسر های دلخواه برای برنامه های کاربردی و سیستمها، تفاوت مهمی است.

این سرویس پایدار بوده و باعث شده است دانش تیم ما ارتقاء یابد. در حقیقت این راه حل برای نیازهای دپارتمان فناوری اطلاعات طراحی شده است.

نقاط ضعف

برای پیاده سازی پیجیده است. نیاز به یک Logger  در هر سایت است که هزینه بالایی دارد. Logger  های مشترک وجود ندارد.

نیاز به تجربیات ویژه برای طراحی آداپتورهای جمع آوردی داده دارد.

امکان تعریف هوش رفتاری (threat intelligence ) بیرونی وجود نداشته و نیاز به وجود پشتیبانی و پرداخت هزینه های سالانه وجود دارد.

نیاز به وجود رول های ادغام (correlation)  ساده و واضح تر کاملا مشهود است . در حال حاضر استفاده از برنامه های مجزا اصطکاک زیادی برای تعریف آن ایجاد می کند.

LogRhythm

ویژگی های ارزشمند

این راه کار حلقه بازخورد خوبی ایجاد می کند در نتیجه امکان اسکن و مشاهده حد فعالیت کاربران مشخص می شود.

خصوصیت نگهداری تمامی لاگ ها در یک نقطه بسیار قابل توجه است.

مشاهده تأثیر هر رخداد بسیار ساده است.

 

نقاط ضعف

نیاز به قالب های پیش فرض گزارش گیری حس می شود.

برای کارکرد مناسب لازم است تا برنامه کاربردی روی کامپیوترها نصب شود. در این خصوص محدودیت هایی وجود دارد.

 

IBM Security QRadar IEM

ویژگی های ارزشمند

داشبوردها بسیار سازنده هستند و می توان به راحتی جریان ترافیک را مشاهده و مشکلات را  دید.

رول های تعریف شده پیش فرض و گزارش ها بسیار جامع و کامل هستند.

نقاط ضعف

نیاز به نسخه های مختلف جاوا برای پیاده سازی دردسر ساز  است.

 

منبع :

http://www.networkworld.com/article/3067700/network-security/siem-review-splunk-arcsight-logrhythm-and-qradar.html