top 11 best siem tools 2021
Elenco e confronto dei migliori strumenti, software e soluzioni SIEM gratuiti open source con caratteristiche, prezzo e confronto:
Cos'è SIEM?
SIEM ( S sicurezza io nformazioni e E vento M anagement) fornisce analisi in tempo reale degli avvisi di sicurezza da parte delle applicazioni e dell'hardware di rete. Include sistemi come la gestione dei registri, la gestione dei registri di sicurezza, la correlazione con gli eventi di sicurezza, la gestione delle informazioni di sicurezza, ecc.
SIEM è una combinazione di SEM (Security Event Management) e SIM (Security Information Management).
Security Event Management può eseguire il monitoraggio delle minacce, la correlazione degli eventi e la risposta agli incidenti analizzando i dati del registro e degli eventi in tempo reale. Security Information Management esegue la raccolta, l'analisi e la creazione di report sui dati di registro.
Rapid7 ha condotto un sondaggio sulla rilevazione e risposta agli incidenti e oltre il 50% delle persone ha risposto di utilizzare SIEM.
(Immagine fonte )
Come funziona SIEM?
Il software SIEM raccoglie i dati del registro di sicurezza generati da una varietà di fonti come sistemi host e dispositivi di sicurezza come firewall e antivirus. Il secondo passaggio consiste nell'elaborare questo registro per convertirlo in un formato standard.
Il passaggio successivo consiste nell'eseguire un'analisi per l'identificazione e la categorizzazione di incidenti ed eventi. Pertanto, gli avvisi vengono generati se viene rilevato un problema di sicurezza. Lo strumento può anche fornire i rapporti relativi a incidenti ed eventi di sicurezza.
Come da ricerca eseguita da AlienVault , la maggior parte delle aziende è preoccupata per le minacce alla sicurezza del cloud, il 55% è preoccupato per il phishing e il 45% per il ransomware.
L'immagine sotto vi mostrerà i dettagli della ricerca eseguita da AlienVault:
Suggerimento professionale: La giusta selezione di strumenti SIEM dipende dai requisiti dell'organizzazione. A seconda del requisito, l'azienda può selezionare lo strumento in base alla sua capacità di conformità o di rilevamento delle minacce. È inoltre necessario considerare fattori come capacità di intelligence sulle minacce, capacità di analisi forense di rete, funzionalità per l'esame e l'analisi dei dati, le capacità di risposta automatizzata e la loro qualità, il supporto nativo per le fonti di log. Questo articolo include un elenco dei migliori strumenti software SIEM tra cui scegliere. = >> Contattaci per suggerire un elenco qui.
Cosa imparerai:
Gli strumenti SIEM più popolari nel 2021
Di seguito sono elencate le migliori informazioni sulla sicurezza e gli strumenti di gestione degli eventi disponibili sul mercato.
Confronto tra i migliori software SIEM
Ecco un confronto delle migliori soluzioni SIEM:
SIEM | Meglio per | Piattaforma OS | Distribuzione | Prova gratuita | Prezzo |
---|---|---|---|---|---|
SolarWinds | Piccole, medie e grandi imprese. | Windows, Linux, Mac, Solaris. | On-premise e cloud | 30 giorni | A partire da $ 4665. |
Datadog | Piccole, medie e grandi imprese. | Windows, Mac, Linux, Debian, Ubuntu, CentOS, RedHat. | On-premise e SaaS. | A disposizione | Il prezzo del monitoraggio della sicurezza parte da $ 0,20 per GB di log analizzati al mese. |
Splunk | Piccole, medie e grandi imprese. | Windows, Linux, Mac, Solaris. | On-premise e SaaS | Splunk Enterprise: 60 giorni Splunk Cloud: 15 giorni Splunk Light: 30 giorni Splunk Free: campione gratuito per la piattaforma aziendale principale. | SplunkRichiedi un preventivo. |
McAfee ESM | Piccole, medie e grandi imprese. | Windows e Mac. | On-premise, cloud o ibrido | A disposizione | McAfee ESMRichiedi un preventivo. |
ArcSight | Piccole, medie e grandi imprese. | Finestre. | Appliance, software, cloud (AWS e Azure) | A disposizione | ArcSightIn base ai dati acquisiti e agli eventi di sicurezza correlati al secondo. |
Esploriamo in dettaglio ciascuno dei software SIEM !!
# 1) Sicurezza e monitoraggio SIEM di SolarWinds
Meglio per Piccole, medie e grandi imprese.
Prezzo: SolarWinds offre una prova gratuita completamente funzionante per 30 giorni. Il prezzo parte da $ 4665. Ti costerà una commissione una tantum.
SolarWinds fornisce una soluzione al rilevamento delle minacce per la rete locale tramite Log ed Event Manager. Ha funzionalità di monitoraggio del dispositivo USB e riparazione automatica delle minacce. Log and Event Manager ha alcune nuove funzionalità come il filtraggio dei log, la gestione dei nodi, l'inoltro dei log, la console degli eventi e l'aumento del limite di archiviazione.
Caratteristiche:
- Può eseguire ricerche avanzate e analisi forensi.
- Con il rilevamento in tempo dell'evento di attività sospette, l'identificazione delle minacce sarà più rapida.
- È pronto per la conformità normativa. Per questo, supporta HIPAA, PCI, DSS, SOX, DISA, STIG, ecc.
- Mantiene la sicurezza continua.
Verdetto: SolarWinds supporta Windows, Linux, Mac e Solaris. Secondo le recensioni, SolarWinds non dispone di una suite di sicurezza completa ma fornisce buone caratteristiche e capacità per il rilevamento delle minacce. Può essere una buona soluzione per le PMI.
=> Download gratis# 2) Datadog
Datadog Il monitoraggio della sicurezza ti aiuta a proteggere il tuo stack tecnologico attraverso il rilevamento delle minacce in tempo reale. Configura le principali integrazioni di sicurezza in pochi minuti; applicare le regole di rilevamento OOTB senza un linguaggio di query e correlare i segnali di sicurezza per indagare su attività sospette.
Datadog Security Monitoring unifica gli sviluppatori, le operazioni e i team di sicurezza in un'unica piattaforma. Una singola dashboard mostra i contenuti devops, le metriche aziendali e i contenuti di sicurezza. Rileva le minacce in tempo reale e analizza gli avvisi di sicurezza nelle metriche dell'infrastruttura, nelle tracce distribuite e nei registri.
Caratteristiche principali:
- Con oltre 400 integrazioni supportate da fornitori, Datadog Security Monitoring ti consente di raccogliere metriche, registri e tracce dall'intero stack e dai tuoi strumenti di sicurezza.
- Le regole di rilevamento di Datadog ti offrono un modo potente per rilevare minacce alla sicurezza e comportamenti sospetti all'interno di tutti i log importati, in tempo reale.
- Puoi iniziare a rilevare le minacce in pochi minuti con regole predefinite predefinite per le tecniche di attacco diffuse.
- Modifica e personalizza qualsiasi regola con il nostro semplice editor di regole, per soddisfare le esigenze specifiche della tua organizzazione, senza bisogno di linguaggio di query.
- Abbatti i silos tra sviluppatori, sicurezza e team operativi con Datadog Security Monitoring.
# 3) Splunk Enterprise SIEM
Meglio per Piccole, medie e grandi imprese.
Prezzo: Per il prodotto è disponibile una prova gratuita, ma il periodo di prova varia a seconda del prodotto. Fornisce un campione gratuito per la piattaforma aziendale principale. Puoi ottenere un preventivo da loro. Secondo le recensioni, la licenza aziendale costerà $ 6000 per 500 MB al giorno per una licenza perpetua. La licenza a termine è disponibile anche per $ 2000 all'anno.
Splunk fornisce operazioni di sicurezza migliorate come dashboard personalizzabili, investigatore di risorse, analisi statistica e revisione, classificazione e indagine degli incidenti. Ha caratteristiche di gestione degli avvisi, punteggi di rischio, ecc. Fornisce servizi di sicurezza al settore pubblico, ai servizi finanziari e all'assistenza sanitaria.
Caratteristiche:
- Può funzionare con qualsiasi dato macchina, anche se proviene dal cloud o in locale.
- Azioni e flussi di lavoro automatizzati per una risposta rapida e precisa.
- Ha la capacità di sequenziare gli eventi.
- Rilevamento rapido di minacce dannose.
Verdetto: Per fornirti informazioni strategiche e predittive, Splunk fa uso di AI e Machine Learning. I dashboard e le visualizzazioni sono personalizzabili. Secondo le recensioni dei clienti, è uno strumento costoso e quindi è il migliore per le imprese.
Sito web: Splunk
# 4) McAfee ESM
Prezzo: È disponibile anche una prova gratuita. È possibile ottenere un preventivo per i dettagli sui prezzi. Secondo le recensioni online, il prezzo è $ 39995 per VM e $ 47994 per prezzi hardware comparabili.
McAfee ESM ti fornirà visibilità in tempo reale per le attività su sistema, reti, database e applicazioni.
Fornisce vari prodotti relativi alla sicurezza come McAfee Investigator, Advanced Correlation Engine, Application Data Monitor, Enterprise Log Manager, Event Receiver, Global Threat Intelligence per Enterprise Security Manager e Enterprise Log Search. Otterrai dati utilizzabili da McAfee ESM.
Caratteristiche:
- Avvisi prioritari.
- Con analisi avanzate e un ricco contesto, sarà più facile rilevare e dare la priorità alle minacce.
- Presentazione dinamica dei dati. Sarà un dato utilizzabile per indagare, contenere, rimediare e adattare per l'importazione di avvisi e modelli.
- I dati saranno monitorati e analizzati da un'ampia infrastruttura di sicurezza eterogenea.
- Ha interfacce aperte per l'integrazione a due vie.
Verdetto: McAfee è uno dei popolari strumenti SIEM. Conferma la sicurezza del sistema eseguendo i record di Active Directory. Supporta Windows e Mac OS.
Sito web: McAfee ESM
# 5) Micro Focus ArcSight
Meglio per Piccole, medie e grandi imprese.
Prezzo: Micro Focus offre una prova gratuita per ArcSight. Ti costerà in base alla quantità di dati importati e agli eventi di sicurezza correlati al secondo.
domande e risposte dell'intervista al selenio pdf
ArcSight Enterprise Security Manager dispone di funzionalità di correlazione distribuita e visualizzazione cluster.
È utile nell'importazione delle fonti poiché supporta più di 500 tipi di dispositivi per l'analisi dei dati. È disponibile tramite l'appliance, il software, AWS e Microsoft Azure.
Caratteristiche:
- Fornisce una correlazione distribuita combinando il motore di correlazione SIEM con la tecnologia cluster distribuita.
- Può essere integrato con varie piattaforme di machine learning e intelligenza.
- Utilizza agenti o connettori. Supporta più di 300 connettori.
Verdetto: Micro Focus ArcSight è una soluzione scalabile per soddisfare esigenti requisiti di sicurezza. È bravo a bloccare le minacce e per le prestazioni (100000 EPS).
Sito web: Micro Focus ArcSight
# 6) LogRhythm
Meglio per organizzazioni di medie dimensioni.
Prezzo: È possibile ottenere un preventivo per un'appliance ad alte prestazioni, una soluzione software e un programma di licenza Enterprise. Secondo le recensioni online, il prezzo parte da $ 28000.
LogRhythm fornisce una soluzione SIEM di nuova generazione per problemi come flussi di lavoro frammentati, affaticamento degli allarmi, rilevamento segmentato delle minacce, mancanza di automazione, mancanza di metriche per comprendere la maturità e mancanza di visibilità centralizzata. Ha opzioni di archiviazione dati flessibili.
Caratteristiche:
- Elaborerà dati non strutturati e fornirà anche una visualizzazione coerente e normalizzata.
- Supporta sistemi operativi Windows e Linux.
- È una tecnologia basata sull'intelligenza artificiale.
- Supporta un'ampia gamma di dispositivi e tipi di registro.
Verdetto: Questa piattaforma ha tutte le caratteristiche e le funzionalità dall'analisi comportamentale alla correlazione dei registri e all'intelligenza artificiale. Secondo le recensioni dei clienti, ha una curva di apprendimento ma il manuale di istruzioni con collegamenti ipertestuali alle funzionalità ti aiuterà a imparare lo strumento.
Sito web: LogRhythm
# 7) AlienVault USM
Meglio per aziende di qualsiasi dimensione.
Prezzo: AlienVault offre tre piani tariffari, ovvero Essentials ($ 1075 al mese), Standard ($ 1695 al mese) e Premium ($ 2595 al mese). Il piano Essentials funzionerà meglio per i piccoli team IT, il piano Standard è per i team di sicurezza IT e il piano Premium è per quei team di sicurezza IT che desiderano soddisfare requisiti di audit PCI DSS specifici.
AlienVault è l'unica piattaforma con più funzionalità di sicurezza. Ha funzionalità per la scoperta e l'inventario delle risorse, la valutazione delle vulnerabilità, il rilevamento delle intrusioni, la correlazione degli eventi SIEM, i rapporti di conformità, la gestione dei registri, gli avvisi e-mail, ecc.
Utilizza sensori leggeri e agenti endpoint. Può essere utilizzato dagli MSSP per personalizzare la propria offerta di servizi di sicurezza.
Caratteristiche:
- Ha una funzione di rilevamento automatico delle risorse in modo che possa essere utilizzato in un ambiente cloud dinamico.
- Gli endpoint verranno costantemente monitorati per minacce e problemi di configurazione.
- Identificazione di vulnerabilità e problemi di configurazione di AWS.
- Si distribuirà più velocemente, funzionerà in modo più intelligente e automatizzerà la caccia alle minacce.
Verdetto: AlienVault USM (Unified Security Management) è la piattaforma per il rilevamento delle minacce, la risposta agli incidenti e la gestione della conformità. Può essere distribuito in locale, nel cloud o in un ambiente ibrido. Si distribuirà più velocemente, funzionerà in modo più intelligente e automatizzerà la caccia alle minacce.
Sito web: AlienVault USM
# 8) RSA NetWitness
Meglio per medie e grandi imprese.
Prezzo: È possibile ottenere un preventivo per i dettagli sui prezzi. Secondo le recensioni online, il prezzo iniziale sarà $ 857 al mese per una licenza a termine. Queste tariffe sono per l'impresa tipica.
Questa piattaforma utilizza varie origini dati come i log RSA NetWitness, RSA NetWitness Network, RSA NetWitness Endpoint, RSA NetWitness UEBA e Orchestrator.
Per una risposta definitiva, fornisce agli analisti funzionalità di orchestrazione e automazione. Per questo, si collega agli incidenti nel tempo e identificherà la portata di un attacco. Aiuterà gli analisti a sradicare le minacce prima che abbiano un impatto sul business.
Caratteristiche:
- Utilizzando l'intelligence sulle minacce e il contesto aziendale, esegue l'arricchimento dei dati in tempo reale.
- Questo arricchimento dei dati in tempo reale aiuterà gli analisti durante l'indagine rendendo i dati di sicurezza più utili.
- Può estrarre automaticamente metadati rilevanti per le minacce facendo uso di algoritmi specializzati.
- Fornisce una gestione completa degli incidenti.
- Fornisce flessibilità nell'implementazione in quanto può essere distribuito come un'appliance singola o multipla, parzialmente o completamente virtualizzata e on-premise o nel cloud.
Verdetto: Questa piattaforma ti offrirà vantaggi di visibilità impareggiabile, risposta definitiva e rilevamento avanzato delle minacce. Per metadati estesi, funziona con diverse fonti per estrarre metadati rilevanti per le minacce in più di 200 campi di metadati.
Sito web: RSA NetWitness
# 9) EventTracker
Meglio per piccole, medie e grandi imprese.
EventTracker è la piattaforma con molteplici funzionalità come SIEM & Log Management, Threat Detection & Response, Vulnerability Assessment, User and Entity Behavior Analysis, Security Orchestration and Automation e Compliance.
Dispone di riquadri dashboard personalizzabili e flussi di lavoro automatizzati. Fornisce visualizzazioni scalabili per schermi piccoli e display SOC.
Caratteristiche:
- Genererà avvisi basati su regole in tempo reale.
- Esegue l'elaborazione e la correlazione in tempo reale che saranno utili per l'analisi e la correlazione del comportamento.
- Sono inclusi 1500 rapporti predefiniti di sicurezza e conformità.
- Fornisce un unico pannello di controllo per SOC, display reattivo ottimizzato e ricerca elastica più rapida.
- Ti consentirà di preconfigurare gli avvisi per più condizioni operative e di sicurezza.
Verdetto: La soluzione può essere utilizzata in più settori come finanza e banche, legale, istruzione superiore, vendita al dettaglio, sanità, ecc. Può essere implementata nel cloud o in sede.
Sito web: EventTracker
# 10) Securonix
Meglio per piccole, medie e grandi imprese.
Prezzo: Richiedi un preventivo.
Securonix è la piattaforma SIEM di nuova generazione per raccogliere dati su larga scala, rilevare minacce avanzate e rimediare rapidamente alle minacce. È una piattaforma scalabile basata su Hadoop. Verrà fornito nel cloud come servizio. Ti permetterà di esportare i dati visualizzati in formati di dati standard.
Caratteristiche:
- Risposta intelligente agli incidenti.
- Ha funzionalità per l'analisi del comportamento di utenti ed entità, ricerca delle minacce, orchestrazione della sicurezza, automazione e risposta.
- Per la risposta agli incidenti intelligente e automatizzata, utilizza Securonix Response Bot.
- È un motore di raccomandazione e si basa sull'intelligenza artificiale.
Verdetto: Securonix è una piattaforma scalabile basata sull'apprendimento automatico. Le minacce complesse verranno individuate utilizzando l'analisi del comportamento e l'apprendimento automatico.
Sito web: Securonix
# 11) Rapido 7
Meglio per piccole, medie e grandi imprese.
Prezzo: Richiedi un preventivo.
Insight IDR è una soluzione SIEM cloud di Rapid7. Per la raccolta e la ricerca dei dati, dispone di una piattaforma Insight basata su cloud.
È possibile rilevare minacce come malware, phishing e credenziali rubate. Ha le caratteristiche di analisi del comportamento di utenti e aggressori, gestione centralizzata dei registri, tecnologia di inganno, monitoraggio dell'integrità dei file, ecc. Eseguirà la scansione degli endpoint per il rilevamento in tempo reale.
Caratteristiche:
- Fornisce analisi del comportamento degli aggressori.
- Ha una gestione dei registri centralizzata.
- Per l'analisi del comportamento degli utenti, si basa continuamente su un'attività sana degli utenti.
- Per il rilevamento e la visibilità degli endpoint, utilizza Insight Agent.
- Creazione automatica di ticket corrispondenti per qualsiasi tipo di avviso creato o gestito da InsightIDR.
Verdetto: Rapid7 fornisce log e gestione degli eventi basati su cloud. Non richiederà alcuna manutenzione continua. Ti aiuterà a prendere decisioni rapide e intelligenti unendo la ricerca nei log, il comportamento degli utenti e i dati degli endpoint.
Sito web: Rapid7
# 12) IBM Security QRadar
Ideale per: Medie e grandi imprese.
Prezzo: Ottieni un preventivo da IBM Security QRadar. Secondo le recensioni disponibili online, il prezzo parte da $ 800 al mese. Per l'appliance virtuale di 100 EPS, il prezzo è di $ 10.700. È disponibile una prova gratuita per 14 giorni.
IBM Security QRadar è una piattaforma SIEM leader di mercato, che fornisce il monitoraggio della sicurezza dell'intera infrastruttura IT attraverso la raccolta dei dati di registro, la correlazione degli eventi e il rilevamento delle minacce.
QRadar consente di assegnare priorità agli avvisi di sicurezza utilizzando database di intelligence sulle minacce e vulnerabilità e una soluzione di gestione del rischio integrata e supporta l'integrazione con antivirus, IDS / IPS e sistemi di controllo degli accessi.
QRadar è un SOC core estendibile, che può essere arricchito con funzionalità aggiuntive collegando varie applicazioni utili disponibili nel portale IBM Security App Exchange.
Caratteristiche:
- Motore di correlazione delle regole avanzato e tecnologia di profilazione comportamentale.
- Piattaforma versatile e altamente scalabile con vaste funzionalità out-of-the-box e preimpostazioni per diversi casi d'uso.
- Un solido ecosistema di integrazioni da parte di IBM, fornitori di terze parti e comunità.
Verdetto: IBMQRadar offre numerose funzionalità per la raccolta dei dati, l'attività di registro, l'attività di rete e le risorse. Fornisce supporto ai browser IE, Firefox e Chrome. Secondo le recensioni dei clienti, si concentra sugli incidenti critici.
Conclusione
Abbiamo visto i migliori strumenti SIEM, insieme al loro confronto e alle recensioni.
La maggior parte dei servizi segue un modello di prezzo basato su preventivo e offre una prova gratuita. SolarWinds e Splunk sono le migliori soluzioni per SIEM. McAfee ESM è uno dei software SIEM più diffusi e dispone di funzionalità come avvisi prioritari e presentazione dinamica dei dati.
ArcSight ESM è utile per l'inserimento di fonti ed è disponibile tramite l'appliance, il software, AWS e Microsoft Azure. IBM Security QRadar supporta la piattaforma Linux e si concentrerà sugli incidenti critici. LogRhythm è una tecnologia basata sull'intelligenza artificiale e può elaborare dati non strutturati.
AlienVault ha più funzionalità di sicurezza e fornirà il rilevamento automatico delle risorse. RSA NetWitness ti fornirà una gestione completa degli incidenti. EventTracker è una piattaforma con più funzionalità e dispone di funzionalità come riquadri dashboard personalizzabili e flussi di lavoro automatizzati.
Securonix è la piattaforma SIEM di nuova generazione basata su Hadoop.
Spero che questo articolo ti aiuti a selezionare lo strumento SIEM giusto per la tua azienda.
= >> Contattaci per suggerire un elenco qui.Lettura consigliata
- Test di sicurezza di rete e migliori strumenti di sicurezza di rete
- Opportunità di lavoro freelance part-time per esperti di selenio
- Documentazione sui test di accettazione con scenari in tempo reale
- I 10 migliori software gratuiti per il rilevamento del tempo dei dipendenti
- Funzioni di data e ora in C ++ con esempi
- TimeShiftX rilasciato per semplificare i test con time shift
- Che cosa sono i protocolli di sicurezza IP Security (IPSec), TACACS e AAA
- Guida al test di sicurezza delle applicazioni Web