压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

安全信息和事件管理（SIEM）工具是大多數公司網絡防御的核心部分。使用本指南可以幫助您尋找到最符合您需求的SIEM選項。

SIEM可以說是網絡安全專業人員的“藍領級”工具，因為審計、審查和管理事件日志并不具備任何獨到的魅力，但它卻是構建安全企業網絡的一個必不可少的層面。它可以作為所有數據收集和分析活動的集中點，可對系統日志和網絡信息提供智能分析。一旦SIEM配置正確，它便可以查找惡意行為和系統活動，在安全事件惡化成為有影響的數據泄露事件之前提醒企業的安全事件團隊。

如今，網絡安全已經逐步走向成熟，無數工具（機器學習支持的防火墻，強化的Web應用程序服務器，云服務等）的衍生進一步加劇了企業網絡攻擊的難度。以全局、“自上而下”的方式監控每個層、服務和設備，對于為日志事件提供上下文而言至關重要。此外，將自動修復任務應用于事件日志也助力許多此類SIEM工具提升到了另一個級別。

鑒于事件日志的性質，它們通常會成為渴望掩蓋其活動蹤跡的惡意用戶的二次攻擊面。SIEM工具通常會通過將事件日志轉移到為任務構建的服務器或服務中，來為事件日志提供額外的保護層，從而提供一種防止編輯或刪除，甚至創建備份副本的方法。

以下是Gartner PeerInsights評選的12款頂級SIEM工具，以及來自同行評審的評級摘要：

1. AlienVault統一安全管理平臺（AlienVault Unified Security Management）

AlienVault的統一安全管理（USM）平臺提供了在各種系統中監控、分析和管理系統事件的工具。其聲稱能夠從網絡中的任何地方發現威脅，而不僅僅通過防火墻，且能夠將發現的威脅以“殺傷鏈”（KILL CHAIN）的不同階段進行歸類。

AlienVault USM不僅僅是一個SIEM解決方案。除了監控進而管理事件日志外，該平臺還提供用于漏洞評估和入侵檢測（包括網絡和基于主機）的工具，為可能不具備這些功能的客戶提供附加價值。除此之外，AlienVault還提供OSSIM（開源安全信息和事件管理）服務，顧名思義，它是一個開源的SIEM解決方案，且可能是更受歡迎的開源SIEM平臺之一。OSSIM將本地日志存儲和關聯功能與眾多開源項目結合在一起，以構建完整的SIEM。OSSIM中包含的開源項目列表包括FProbe，Munin，Nagios，NFSen / NFDump，OpenVAS，OSSEC，PRADS，Snort，Suricata和TCPTrack。

• Gartner PeerInsights評分：4.3星；
• 目標受眾：各種規模的IT商店；
• 顯著特點：捆綁為具有入侵檢測和漏洞評估工具的多層安全套件；
• 定價：AlienVault主要提供3種售價標準——基礎版：1,075美元/月起；優質版：2,595美元/月起，按年度結算；最高級：根據保留期、數據量以及對PCI兼容日志存儲的支持類型進行具體定價；

2. Elastic Logstash

Elastic并不提供真正的SIEM平臺（如果您的組織需要PCI兼容性，可以前往查看其他工具），但Logstash作為一個日志聚合器，可以收集和處理來自幾乎任何數據源的數據，它可以過濾、處理、關聯并且通常增強它收集的任何日志數據。尤其是Elastic還提供了諸如Beats之類的工具來移動數據，Beats包括各種輕量級日志傳送，負責收集數據并通過Logstash將其發送到堆棧；Elasticsearch是存儲引擎，用于幫助解析大量數據；而Kibana則是堆棧中的可視化層，用于處理可視化和分析問題。

Logstash可能是該列表中最靈活的工具，但它也存在一些關鍵問題。毫無疑問，Elastic的Stack平臺非常強大，其日志處理、存儲和可視化功能在功能上都是無與倫比的。然而，對于SIEM而言，ELK Stack至少在其原始開源格式中缺少一些關鍵組件。首先，沒有內置的報告或警報功能。這是一個已知的痛點，不僅對于嘗試將堆棧用于安全性的用戶而且對于更常見的用例來說也是如此——例如IT操作。警報可以通過使用X-Pack（Elastic的商業產品）或通過添加開源安全附件來添加。其次，也沒有可以使用的內置安全規則。這使得堆棧在處理資源和運營成本方面成本更高。

• Gartner PeerInsights評分：4.3星；
• 目標受眾：各種規模的客戶，尤其是具有DevOps功能的客戶；
• 顯著特點：開源和極其靈活的平臺；
• 定價：開源且免費，基于具體規模和使用情況提供企業支持和商業訂閱定價模式；

3. Exabeam安全管理平臺（Exabeam Security Management Platform）

在我們此次列舉的12款解決方案中，Exabeam贏得了最高的Gartner PeerInsights評分，至于原因也是顯而易見的。對于初學者而言，Exabeam的安全管理平臺可以為您的事件日志帶來大數據工具集，提供性能和分析優勢。Exabeam Data Lake可以支持盡可能多的數據，且其定價也是基于用戶數量而非數據量而定，此外，Exabeam還可以使用機器學習等技術為用戶提供多種分析策略。

除了提供用于編譯、聚合和分析事件日志的工具之外，Exabeam還提供了一個用于處理事件響應的工具集。Exabeam事件響應程序提供了在事件發生時將事件分配給相關人員以及跟蹤狀態更新的選項。事件響應者還可以利用自動和定制的“劇本”，來針對不同類型的事件采取相應的緩解措施，以及阻止自動化和與其他系統集成的潛在機會。

• Gartner PeerInsights評分：4.7星；
• 目標受眾：中型企業級公司；
• 顯著特征：基于大數據的工具和集成的事件響應系統；
• 定價：每個組件單獨定價，根據用戶數量定價；

4. Fortinet FortiSIEM

FortiSIEM是Fortinet公司的SIEM解決方案，其可以為企業提供一個完善、整合、可擴展的解決方案，從IoT到云，通過持有專利的分析技術來讓網絡安全管理更可操作，更高效，更可視，以及滿足多種合規標準。

FortiSIEM可以在收集事件和自動化事件響應方面進行集成。此外，FortiSIEM修復庫還提供了內置腳本，可以利用來自各種供應商的設備和系統來執行修復步驟，例如禁用交換機端口或Active Directory帳戶。

該產品的突出優勢包括：統一的NOC和SOC分析能力；分布式實時事件關聯技術；實時、自動化基礎設施發現以及應用發現引擎；動態用戶識別與匹配；靈活且快速的自定義日志解析；混合數據庫架構- 融合結構化和非結構化數據源；大規模威脅情報源整合以及“多租戶架構”等等。

• Gartner PeerInsights評分：4.3星；
• 目標受眾：小型到大型企業，支持內部部署或基于云的工作負載；
• 顯著特征：基于腳本的修復和靈活的部署選項；
• 定價：具備永久許可證的硬件設備起價為10,525美元，虛擬設備的起價為21,179美元；

5. IBM QRadar SIEM

IBM長期以來一直是企業軟件領域的領導者，所以其QRadar SIEM平臺能夠處理大型數據集以及企業事件管理解決方案所需的無數功能也就不足為奇了。QRadar對500多種集成和內置分析引擎的支持也正是我們對IBM軟件產品的期望。

IBM QRadar SIEM可以檢測異常，發現高級威脅以及消除誤報。它可以將分散在整個網絡中的數千個設備、終端和應用中的日志事件和網絡流數據整合起來。然后使用先進的Sense Analytics引擎，對這些數據實施規范化和關聯處理，并確定需要調查的安全攻擊。此外，您也可以選擇將該產品與IBM Security X-Force Threat Intelligence結合使用，從而獲得可能的惡意IP地址的列表，包括惡意主機、垃圾郵件源和其他威脅。QRadar SIEM可在內部部署，也可在云端部署。

作為昔日的AI“老大哥”，IBM Watson可能是全球銷量最高的AI，而IBM QRadar Advisor with Watson正是將Watson的認知功能和行業領先的QRadar Security Analytics Platform 相結合，以發現潛在的威脅和異常行為，并自動發掘洞察而無需手動識別，從而徹底改變安全分析人員的工作方式。此外，Watson Advisor還整合了來自外部資源的新威脅，以識別零日攻擊。

• Gartner PeerInsights評分：4.0星；
• 目標受眾：中型到大型企業客戶；
• 顯著特點：眾多集成點，以促進事件響應和自動化；
• 定價：IBM的內部部署解決方案起價為10,700美元，其中包括12個月的服務支持；IBM的SaaS平臺——QRadar on Cloud，每月起價為800美元，年度收費；

6. LogPoint

LogPoint用戶將簡單的設置過程視為關鍵點，許可結構（licensing structure）使得成本預測變得更為清晰。licensing的本質實際上是一項資產的擁有者給予受讓方在特定目的，時期以及地域范圍內使用自己資產權利的一種許可。LogPoint的許可主要基于向SIEM發送數據的設備數量，而非用戶或吞吐量。

LogPoint使用用戶和實體行為分析（UEBA）作為其威脅建模和機器學習產品。UEBA使用戶能夠快速實現啟動和運行，而無需創建或修改廣泛的規則集。

• Gartner PeerInsights評分：4.5星；
• 目標受眾：LogPoint支持從小型企業到企業級環境（包括托管服務提供商）的客戶端；
• 顯著特點：LogPoint的UEBA可以最大限度地減少誤報并優先處理威脅，使您的安全團隊能夠專注于需要的地方；
• 定價：LogPoint并未透露定價細節，但其許可主要基于報告事件數據的設備數量；

7. LogRhythm

LogRhythm提供了全面的SIEM套件，有助于實現從數據收集到修復的威脅管理任務。LogRhythm可以根據您的具體需求提供各種尺寸的LogRhythm XM，或支持跨多個服務器進行擴展的LogRhythm Enterprise。這兩者都可用于基于軟件或設備的解決方案，不同之處在于，LogRhythm Enterprise也可以支持混合架構。

核心LogRhythm解決方案還有幾個附加組件可供使用。其中，CloudAI是LogRhythm基于UEBA的高級威脅檢測產品；LogRhythm NetMon負責跟蹤網絡流量，以識別異常行為和潛在威脅；此外，LogRhythm還提供了SysMon組件，其基于軟件代理的傳感器可用于監控用戶、應用程序和端點。

• Gartner PeerInsights評分：4.4星；
• 目標受眾：各種規模的企業，包括托管服務提供商；
• 顯著特點：附加組件CloudAI、NetMon以及SysMon添加了關鍵功能；
• 定價：LogRhythm起價28,000美元，提供訂閱選項；

8. McAfee 企業安全管理系統（McAfee Enterprise Security Manager）

如今，McAfee已經成功躋身Gartner SIEM 魔力象限領導者之列，作為其SIEM 解決方案的基礎，McAfee Enterprise Security Manager（ESM）不僅可以將事件、威脅和風險數據集中到一起，以提供強大的安全情報、快速事件響應、無縫日志管理以及合規報告功能，從而提供適應性安全風險管理所需的上下文環境，而且其嵌入式合規框架和內置安全內容包還能夠簡化分析人員的操作和合規性操作。

架構和集成方面的靈活性是McAfee ESM的關鍵特征。ESM可用于各種規模的物理和虛擬設備中，其中虛擬設備還包括各種虛擬機管理程序和云平臺等。而McAfee所提供的內置安全內容包還可以針對特定用例或合作伙伴平臺啟用監視器和警報，此外，其與十幾家第三方供應商所建立的集成合作伙伴關系，也使得ESM具有其他同類產品難以企及的可擴展性。

• Gartner PeerInsights評分：4.2星；
• 目標受眾：大中型企業客戶，通常為擁有500名或更多員工的企業；
• 顯著特征：合作伙伴關系促使ESM與第三方系統緊密集成，通過單一界面實現快速分類和修復；
• 定價：入門級虛擬設備的售價在40,000美元至50,000美元之間；

9. Micro Focus ArcSight企業安全管理系統（Micro Focus ArcSight Enterprise Security Manager）

ArcSight企業安全管理程序（ESM）是一個功能齊全的解決方案，可以檢查企業SIEM的所有內容。ArcSight ESM支持一系列集成和自定義選項，允許安全分析師從單一管理平臺執行事件響應。借助ArcSight Marketplace，您可以輕松利用更新的儀表板、報告或關聯規則。

ArcSight ESM支持基于工作流程的自動化，允許分析人員快速關聯事件，在案例中引用事件，并根據需要進行響應或升級。您還可以審核并報告所采取的每個操作，以維持服務級別協議（SLA）合規性并跟蹤響應時間。此外，與第三方系統的集成還允許用戶啟用修復程序，例如禁用端口或帳戶，甚至可以創建規則集以自動執行這些步驟。

• Gartner PeerInsights評分：3.9星；
• 目標受眾：中型到大型企業客戶；
• 顯著特征：通過ArcSight Marketplace提供可擴展的功能集，通過系統集成提供可操作的警報；
• 定價：Micro Focus暫未提供定價細節；

10. RSA NetWitness

RSA的SIEM解決方案RSA NetWitness具有企業級SIEM所需的許多功能，包括用戶行為分析（UEBA），自動化工具和架構靈活性（支持硬件和虛擬設備、基于軟件的選項或云部署）。此外，RSA NetWitness還可以通過與RSA Archer和SecurID集成，對所捕獲的網絡和日志數據進行實時上下文智能分析，從而為企業提供可操作的安全情報信息。

加密或編碼的事件數據或Web流量可能難以合并到您的SIEM中。但RSA NetWitness可以利用各種加密工具（包括解密、解壓和熵測量）來顯示此類信息，并將其合并到您的SIEM工作流程中。這種對加密流量的可見性可能就是確定流量本質上是惡意還是合法的關鍵所在。

• Gartner PeerInsights評分：4.2星；
• 目標受眾：企業客戶；
• 顯著特征：能夠添加業務上下文而不僅僅是技術或系統上下文，對加密保護數據的可見性使您可以輕松應對攻擊；
• 定價：NetWitness定價是基于月度或永久性選擇的吞吐量而定的。月度許可證的零售價格為857美元/月，其中包括支持服務；

11. SolarWinds Log & Event Manager

SolarWinds對于許多IT專業人士而言是非常熟悉的名稱，其積極的營銷模式和長期以來發布免費工具的行為已經贏得了眾多中小型IT商店的青睞。SolarWinds Log & Event Manager是其SIEM解決方案，主要提供快速簡單的合規性報告、實時事件關聯、實時補救、高級搜索和取證分析、文件完整性監控等諸多功能。

Log＆Event Manager并不提供基于機器學習的分析，也不提供與該列表中其他企業級工具相同的第三方系統集成功能。但SolarWinds卻能夠提供USB設備監控功能，旨在降低USB閃存驅動器對您的網絡造成的風險。

• Gartner PeerInsights評分：4.2星；
• 目標受眾：中小型企業；
• 顯著特點：自動修復和USB設備監控；
• 定價：SolarWinds Log＆Event Manager永久性許可起價為4,585美元，可授權多達30個節點使用，外加一年的維護服務；

12. Splunk

Splunk可能是該列表中最為知名的一大存在，同時也是判斷SIEM平臺的標準。Gartner PeerInsights的評分也體現了這一點，高達4.4星的評級以及500多條評論支持，都明顯超出了其他競爭解決方案。

Splunk提供了兩個版本的平臺。其中，Splunk Enterprise可以作為各種Unix或Windows操作系統上的服務器應用程序安裝在本地，也可以作為Docker容器應用程序安裝；Splunk Cloud則允許您在SaaS環境中實現Splunk的優勢，最大限度地減少基礎架構和維護需求。這兩種平臺版本都支持可自定義的儀表板和報告，以及異常檢測和高度訪問控制等功能。

不過，Splunk最大的賣點或許還是Splunkbase，Splunkbase應用庫包含100多個來自Splunk、合作伙伴和社區的應用和加載項。Splunkbase應用程序可以在Splunk Enterprise或Splunk Cloud上運行，并添加第三方集成、分析或自動化功能。其強大的大數據收集分析功能可以針對幾乎任何一個數據源和用戶需求，用戶可根據自身企業需求查找對應行業應用或加載項，或只需根據開發人員門戶中的幫助創建自己的應用或加載項。

• Gartner PeerInsights評分：4.4星；
• 目標受眾：各種規模的組織；
• 顯著特征：Splunkbase應用程序商店；
• 定價：Splunk Enterprise版本——150美元/月/Gb，Splunk Cloud版本——810美元/月（或8,100美元/年）起，每天限制最高5Gb數據；

完整的SIEM解決方案包含從各種數據源收集信息，長時間保留信息，在不同事件之間關聯，創建關聯規則或警報，分析數據并使用可視化和儀表板監控數據的能力。

無論一款工具多么強大，都可能存在這樣或那樣的不足，從來都不存在可以“一勞永逸”的工具，想要真正最大化實現工具的性能，還需要根據自身需求和具備的實際條件來進行選擇。此外，還需要針對具體工具進行正確部署，因為即便一款工具再怎么強大，一旦部署失誤也是徒勞無功。希望上述內容可以幫助您選出最合適的SIEM工具，更好地提升企業的整體安全態勢。