Splunk vs. QRadar:兩大主流SIEM產品對比
責編:gltian |2019-07-01 14:31:54IBM 和 Splunk 提供的 SIEM 解決方案均為業(yè)界一流,但各有千秋。
SIEM 面世至今已走過了十幾個年頭的發(fā)展歷程,是將安全信息管理 (SIM) 和安全事件管理 (SEM) 功能結合到一個安全管理系統(tǒng)中的現代安全管理工具。SIM 收集、分析和報告日志數據;SEM 實時分析日志及事件數據,提供威脅監(jiān)測、事件關聯和事件響應。鑒于其不間斷實時監(jiān)控的特性,SIEM 如今已是大型企業(yè)不可或缺的技術。
SIM 和 SEM 均提供安全警報按需分析功能,可攝入多種應用及網絡硬件產生的安全警報。能夠將這兩種功能合二為一的安全提供商便搶占了拓展新業(yè)務的先機。
企業(yè) SIEM 的主要功能包括:多源數據攝入;數據解釋;威脅情報饋送合并;警報關聯;分析;概述;自動化;以及潛在威脅匯總。
IBM QRadar vs. Splunk: 業(yè)界最佳正面比拼
IBM QRadar 和 Splunk 是現有最好的兩種 SIEM 解決方案,后者在近十年來的大部分時間里一直處于市場領導者地位。但是,這兩種產品各有千秋,各自為潛在買家?guī)聿煌矫娴娘@著成效。兩種 SIEM 解決方案均提供強大的核心 SIEM 產品,但在使用威脅情報和與第三方及其他安全工具集成方面存在差異。
總體上講,IBM QRadar 旨在與其他 IBM 產品(如 Watson AI)優(yōu)化集成,而作為獨立軟件制造商的 Splunk 可以更輕松地與系統(tǒng)內其他組件進行交互。
以下是對這兩個解決方案的主要功能介紹及分析,正面對比 IBM QRadar 與 Splunk。
IBM QRadar
1. QRadar 帶來什么
IBM 的 SIEM 工具集 QRadar 專為大型企業(yè)設計,由用于構建企業(yè)級威脅檢測及響應系統(tǒng)的可靠平臺構成。也包含用于較小型用例的大量藍圖與模板。QRadar 部署廣泛,服務提供商眾多,可輔助公司企業(yè)采購、運行、調整及監(jiān)控他們的部署。
含有多組件的IBM QRadar Security Intelligence Platform(安全情報平臺)是圍繞 IBM QRadar SIEM 構建。IBM QRadar Vulnerability Manager(漏洞管理器)使用虛擬機數據上下文化事件數據。IBM QRadar Network Insights(網絡流量分析)提供基于 QFlow 的應用程序可見性。
IBM QRadar User Behavior Analytics(用戶行為分析)是處理某些內部人威脅用例的免費用戶行為分析 (UBA) 模塊。IBM QRadar Incident Forensics(事件取證)提供取證調查支持。IBM QRadar Advisor with Watson(認知安全分析)為已識別威脅提供自動化根源研究。
2. 考慮采用 QRadar 的幾大理由
- 有 IBM 強大品質保障做支撐,安全投資提案更容易獲得首席財務官 (CFO) 的首肯。
- QRadar 提供多功能、全覆蓋的 SIEM 平臺,可為各類型用例奉上多種現成(模板化)內容供選擇。管理員安裝時不必從頭開始。
- QRadar 與其他 IBM 安全產品組合增值集成(如 IBM QRadar Advisor with Watson、IBM Resilient 和免費的 UBA 模塊),還有可通過 IBM QRadar 市場便捷訪問的第三方(社區(qū)、安全及 IT 供應商)開發(fā)內容,整個生態(tài)系統(tǒng)穩(wěn)固堅實。
- Watson AI 本身就是一大賣點。
- IBM QRadar User Behavior Analytics(用戶行為分析)是處理某些內部人威脅用例的免費用戶行為分析 (UBA) 模塊。IBM QRadar Incident Forensics(事件取證)提供取證調查支持。IBM QRadar Advisor with Watson(認知安全分析)為已識別威脅提供自動化根源研究。藍色巨人還提供 IBM Security App Exchange——IBM QRadar 客戶可由此下載由 IBM 或第三方開發(fā)的內容,用以擴展 IBM QRadar 的覆蓋范圍或價值主張。
- 包含對網絡數據監(jiān)控的強大支持,擁有大量應用程序流簽名以解析流數據。
3. QRadar 如何部署
IBM QRadar SIEM 可作為硬件虛擬設備和軟件包提供,具體取決于客戶的事件速度(覆蓋范圍內所有數據源的每秒事件 (EPS) 數量)。也可以作為 IBM 托管的軟件即服務 (SaaS) SIEM 從云端獲取。
4. QRadar 定價機制如何
IBM QRadar Security Intelligence Platform 中附加組件的定價取決于其各自的指標(例如,IBM QRadar Network Insights 的流數量,或者 IBM QRadar Vulnerability Manager 覆蓋的資產數量)。QRadar Network Insights 僅可以硬件設備的形式向數據中心提供。
5. 可供采納的建議
IBM QRadar 與其他 IBM 組件協同使用效果最佳。
IBM QRadar 中的選項卡和模塊之間觀感不一致,用戶體驗可能落后于一些較新的競爭對手。據稱 IBM 正在努力改進這一點。
該平臺中的風險評分以攻擊規(guī)模顯示,需要一定程度的安全過程成熟度才好實施。風險評分無需定制。
分析師表示,IBM 在集成、部署和服務/支持上比 Splunk 等其他 SIEM 領頭羊得分略低。SIEM 參考客戶在服務和支持方面給 IBM 的打分低于平均值。IBM 透露稱,最近已增加服務和支持人手。
6. 誰在用:中大型企業(yè)
7. 如何部署:選項有云服務訂閱、虛擬設備和實體服務器
8. eWEEK 綜合評分: 4.8/5.0
Splunk 安全產品組合
1. Splunk 帶來什么
Splunk 不僅名字酷炫,其 SIEM 系統(tǒng)的業(yè)內評價也很高。想跨 SIEM 和其他 IT 用例共享架構及供應商的公司企業(yè),以及尋求可擴展解決方案處理從基本日志管理到高級分析及響應任務的公司企業(yè),都應考慮采用 Splunk。
其 Security Intelligence Platform 由 Splunk Enterprise 和如下三個解決方案構成:Splunk Enterprise Security (ES)、Splunk User Behavior Analytics (UBA) 及 Splunk Phantom。Splunk Enterprise 為各種 IT 運營及某些安全用例提供事件與數據收集、搜索和可視化功能。付費 ES 解決方案交付多種常用安全監(jiān)視功能,包括特定于安全的查詢、可視化及控制面板,還有一些案例管理、工作流及事件響應功能。
Splunk 的安全產品組合連續(xù)六年被 Gartner 市場研究公司評為業(yè)界領先技術——一項不小的成就。該平臺幫助客戶優(yōu)化其安全神經中樞,處理一系列安全監(jiān)視及威脅檢測用例。客戶將 Splunk Enterprise Security 和 Splunk User Behavior Analytics 作為分析驅動的 (Analytics-Driven) SIEM 聯合使用,打造自身安全運營中心 (SOC) 以檢測、調查和響應威脅。作為先進的安全編排、自動化與響應 (SOAR) 解決方案,Splunk Phantom 幫助客戶調查事件并加速事件響應動作。
想跨 SIEM 和其他 IT 用例共享架構及供應商的公司企業(yè),以及尋求可擴展解決方案處理從基本日志管理到高級分析及響應任務的公司企業(yè),都應考慮采用 Splunk。
2. 考慮采用 Splunk 的幾大原因
- Splunk Security Intelligence Platform 集中式運行且用戶界面直觀。該平臺由 Splunk Enterprise 和如下三個解決方案構成:Splunk Enterprise Security (ES)、Splunk User Behavior Analytics (UBA) 及 Splunk Phantom。Splunk Enterprise 為各種 IT 運營及某些安全用例提供事件與數據收集、搜索和可視化功能。
- 付費 ES 解決方案交付多種常用安全監(jiān)視功能,包括特定于安全的查詢、可視化及控制面板,還有一些案例管理、工作流及事件響應功能。UBA 額外帶來機器學習驅動的 (ML-driven) 高級分析技術。Phantom 提供 SOAR 功能。可通過 Splunkbase 獲取用于安全用例的其他應用。
- 過去一年來 Splunk 最為重要的幾個功能增強包括:支持通過 Splunk ES 中 Investigation Workbench 用戶界面進行帶指導的調查,ES 和 UBA 快速內容更新,以及速度提升。
- Splunk 產品為公司企業(yè)提供了多個安全監(jiān)視切入點,可用 Splunk Enterprise 從基礎的事件收集和簡單用例開始,到以 ES 執(zhí)行更為豐富的 SIEM 功能,用 UBA 進行更高級的分析,以及用 Phantom 執(zhí)行 SOAR 操作。
- 盡管使用其他競爭技術或產品(如用戶分析領域的其他產品)的用戶應做好集成深度的驗證工作,但 Splunk 生態(tài)系統(tǒng)堪稱完備健壯,應用市場中有各種技術集成可用。
- 個人可識別信息 (PII) 保護功能非常強大;提供低至屬性級的信息混淆和 PII 屏蔽支持,可在用戶 ID、位置及其他屬性上應用此類保護功能。
3. Splunk 如何部署
Splunk 提供多種部署選項:現場軟件、基礎設施即服務 (IaaS) 和混合模式。Splunk Cloud 是 Splunk 托管并運營的 SaaS 解決方案,采用 AWS 基礎設施。Splunk Enterprise 和 Splunk Cloud 組件構成 Universal Forwarders、Indexers 和 Search Heads 以支持多層架構。
4. Splunk 定價機制如何
Splunk 基于平臺攝入的數據量簽發(fā)許可,對 DNS 和 NetFlow 數據打折。ES 同樣按每天攝入的 GB 數定價,UBA 則按公司的用戶賬戶數量核價,且均可簽永久授權或短期授權,企業(yè)級許可和功能增配有多個選項可供選擇。Phantom 按用戶采取行動的事件數定價。
5. 可供采納的建議
這種 “一分錢一分貨” 的模式下,Splunk 總體上比其競爭對手貴上幾分。客戶和潛在買家容易對其定價模式和總成本產生顧慮。Phantom 和 “神經中心”(獨立的 SIEM、UBA 和 SOAR 產品)概念的引入,造成了采用不同衡量方法的三種定價模式。
Splunk UBA 目前是現場解決方案或僅客戶云解決方案,可能會與希望保持 SaaS 模式的 Splunk Cloud 客戶產生沖突。
盡管可與無數第三方解決方案集成,Splunk 仍舊缺乏支持文件完整性監(jiān)測 (FIM) 和終端檢測與響應 (EDR) 的原生代理。
Splunk 對運營技術/物聯網 (OT/IoT) 的支持依賴第三方應用的功能,而不是依靠 Splunk 對 OT 協議的支持。
6. 誰在用:中大型企業(yè)
7. 如何部署:選項有云服務訂閱、虛擬設備和實體服務器
8. eWEEK 綜合評分: 4.8/5.0