它將SIM和SEM功能結(jié)合到一個(gè)安全管理系統(tǒng)中

SIEM，其現(xiàn)代工具已經(jīng)存在了大約十二年，是一種安全管理方法，它將SIM(安全信息管理)和SEM(安全事件管理)功能結(jié)合到一個(gè)安全管理系統(tǒng)中。SIM收集，分析和報(bào)告日志數(shù)據(jù); SEM實(shí)時(shí)分析日志和事件數(shù)據(jù)，以提供威脅監(jiān)控，事件關(guān)聯(lián)和事件響應(yīng)。由于其全天候?qū)崟r(shí)性，SIEM現(xiàn)在已成為大型企業(yè)所需的技術(shù)。

SIM和SEM功能均可按應(yīng)用程序分析應(yīng)用程序和網(wǎng)絡(luò)硬件生成的安全警報(bào)?？梢詫⑦@兩種功能結(jié)合起來的安全提供商處于新業(yè)務(wù)的內(nèi)部通道中。

企業(yè)SIEM的主要功能包括從多個(gè)來源獲取數(shù)據(jù)，解釋數(shù)據(jù)，整合威脅情報(bào)源，警報(bào)關(guān)聯(lián)，分析，分析，自動(dòng)化和潛在威脅的總結(jié)。

IBM QRadar與Splunk：業(yè)務(wù)中最好的兩個(gè)

IBM QRadar和Splunk，后者在十年的大部分時(shí)間里一直是市場領(lǐng)導(dǎo)者，是現(xiàn)有兩種最好的安全信息和事件管理(SIEM)解決方案。但是，每種產(chǎn)品都為潛在買家提供了明顯的好處。兩者都提供強(qiáng)大的核心SIEM產(chǎn)品，但它們?cè)谑褂弥悄芎团c第三方和其他安全工具集成方面存在差異。

通常，IBM QRadar旨在與其他IBM產(chǎn)品(如Watson AI)進(jìn)行最佳協(xié)作，而作為獨(dú)立軟件制造商的Splunk可以更輕松地與系統(tǒng)內(nèi)的其他組件進(jìn)行交互。

以下是每個(gè)解決方案的一些關(guān)鍵特性和分析。以下是SIEM工具業(yè)務(wù)中兩個(gè)最佳的利弊面對(duì)面匯編：IBM QRadar和Splunk。

IBM QRadar

QRadar帶來的內(nèi)容： IBM的SIEM工具集QRadar專為大型組織而設(shè)計(jì)，包含一個(gè)用于構(gòu)建企業(yè)級(jí)威脅檢測和響應(yīng)系統(tǒng)的可靠平臺(tái)。它還包含用于更簡單用例的大量藍(lán)圖和模板。QRadar擁有龐大的部署基礎(chǔ)和廣泛的服務(wù)提供商，可以幫助組織采購，運(yùn)行，調(diào)整和監(jiān)控他們的部署。

IBM QRadar安全智能平臺(tái)圍繞IBM QRadar SIEM構(gòu)建，并包含多個(gè)組件。IBM QRadar Vulnerability Manager使用VM數(shù)據(jù)對(duì)事件數(shù)據(jù)進(jìn)行上下文化。IBM QRadar Network Insights提供基于QFlow的應(yīng)用程序?qū)W(wǎng)絡(luò)流的可見性。

IBM QRadar用戶行為分析是一個(gè)免費(fèi)的UBA模塊，可解決一些內(nèi)部威脅用例。IBM QRadar Incident Forensics提供法醫(yī)調(diào)查支持。Watson的IBM QRadar Advisor為已識(shí)別的威脅提供自動(dòng)化根本原因研究。

考慮QRadar的主要原因：

更容易將投資案例提交給首席財(cái)務(wù)官，IBM擁有強(qiáng)大的力量和莊嚴(yán)的品質(zhì)。

QRadar提供了一個(gè)多功能和廣泛的SIEM平臺(tái)，可以為廣泛的用例選擇開箱即用(模板化)的內(nèi)容。管理員在處理安裝時(shí)不必從頭開始。

QRadar擁有與其他IBM安全產(chǎn)品組合解決方案(例如帶有Watson的IBM QRadar Advisor，IBM Resilient或免費(fèi)UBA模塊)以及由第三方(社區(qū)，安全和IT供應(yīng)商)開發(fā)的內(nèi)容的增值集成的堅(jiān)實(shí)生態(tài)系統(tǒng)，可通過IBM QRadar的市場訪問。

Watson AI本身就是一個(gè)很大的賣點(diǎn)。

IBM QRadar用戶行為分析是一個(gè)免費(fèi)的UBA模塊，可解決一些內(nèi)部威脅用例。IBM QRadar Incident Forensics提供法醫(yī)調(diào)查支持。Watson的IBM QRadar Advisor為已識(shí)別的威脅提供自動(dòng)化根本原因研究。該供應(yīng)商還提供IBM Security App Exchange，其中IBM QRadar客戶可以下載由IBM或第三方開發(fā)的內(nèi)容，以擴(kuò)展IBM QRadar的覆蓋范圍或價(jià)值主張。

包括對(duì)網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控的強(qiáng)大支持，以及大量應(yīng)用程序流簽名來解析流數(shù)據(jù)。

如何部署QRadar：

IBM QRadar SIEM可作為硬件虛擬設(shè)備和軟件包提供，具體取決于客戶的事件速度(范圍內(nèi)數(shù)據(jù)源的EPS數(shù)量)。它也可以作為IBM托管的SaaS SIEM從云中獲取。

QRadar的定價(jià)如何運(yùn)作：

IBM QRadar安全情報(bào)平臺(tái)中其他組件的定價(jià)取決于其各自的指標(biāo)(例如，IBM QRadar Network Insights的流數(shù)或IBM QRadar Vulnerability Manager范圍內(nèi)的資產(chǎn)數(shù))。QRadar Network Insights僅適用于數(shù)據(jù)中心的硬件設(shè)備格式。

接受建議：

IBM QRadar與其他IBM組件最佳地協(xié)同工作。

用戶體驗(yàn)可能落后于一些較新的競爭對(duì)手，IBM QRadar中的選項(xiàng)卡和模塊之間的外觀和感覺不一致。據(jù)說IBM正在努力改進(jìn)這一點(diǎn)。

平臺(tái)中的風(fēng)險(xiǎn)評(píng)分在違規(guī)情況下顯示為數(shù)量級(jí)，并且可能需要安全流程中的成熟度來實(shí)現(xiàn)此操作。提供風(fēng)險(xiǎn)評(píng)分，無需定制。

分析師指出，IBM在整合和部署以及服務(wù)/支持方面的得分低于其他SIEM領(lǐng)導(dǎo)者，包括Splunk。SIEM的參考客戶為IBM提供低于平均水平的服務(wù)和支持。IBM已經(jīng)表示，它最近增加了服務(wù)和支持的人員配備水平。

Splunk安全產(chǎn)品組合

Splunk帶來了什么：Splunk不僅在所有IT業(yè)務(wù)中擁有更多彩色名稱之一，其SIEM系統(tǒng)得到高度評(píng)價(jià)和歡迎。尋求可以跨SIEM和其他IT用例共享架構(gòu)和供應(yīng)商管理的SIEM解決方案的組織以及那些尋求可擴(kuò)展解決方案的組織，從基本日志管理到高級(jí)分析和響應(yīng)，應(yīng)該考慮使用Splunk。

其安全運(yùn)營套件包括Splunk Enterprise和三個(gè)解決方案：Splunk Enterprise Security(ES)，Splunk用戶行為分析(UBA)和Splunk Phantom。Splunk Enterprise為IT操作和一些安全用例中的各種用途提供事件和數(shù)據(jù)收集，搜索和可視化。高級(jí)ES解決方案提供大多數(shù)特定于安全監(jiān)視的功能，包括特定于安全性的查詢，可視化和儀表板，以及一些案例管理，工作流和事件響應(yīng)功能。

Splunk的安全產(chǎn)品組合連續(xù)六年被Gartner Research評(píng)為領(lǐng)先技術(shù) - 這不是一項(xiàng)微不足道的成就。該平臺(tái)可幫助客戶優(yōu)化其安全神經(jīng)中心，并解決各種安全監(jiān)控和威脅檢測用例?？蛻魧plunk Enterprise Security和Splunk用戶行為分析一起用作分析驅(qū)動(dòng)的SIEM，以構(gòu)建其安全運(yùn)營中心，以檢測，調(diào)查和響應(yīng)威脅。Splunk Phantom是領(lǐng)先的安全編排，自動(dòng)化和響應(yīng)(SOAR)解決方案，可幫助客戶調(diào)查并加速他們對(duì)事件的響應(yīng)。

尋求SIEM解決方案的組織可以跨SIEM和其他IT用例共享架構(gòu)和供應(yīng)商管理，以及尋求具有從基本日志管理到高級(jí)分析和響應(yīng)的全方位選項(xiàng)的可擴(kuò)展解決方案，應(yīng)該考慮Splunk。

考慮Splunk的主要原因：

Splunk的Security Operations Suite集中運(yùn)行，具有直觀的用戶界面。該平臺(tái)由Splunk Enterprise和三個(gè)解決方案組成：Splunk Enterprise Security(ES)，Splunk用戶行為分析(UBA)和Splunk Phantom。Splunk Enterprise為IT操作和一些安全用例中的各種用途提供事件和數(shù)據(jù)收集，搜索和可視化。

高級(jí)ES解決方案提供大多數(shù)特定于安全監(jiān)視的功能，包括特定于安全性的查詢，可視化和儀表板，以及一些案例管理，工作流和事件響應(yīng)功能。UBA增加了機(jī)器學(xué)習(xí)(ML)驅(qū)動(dòng)的高級(jí)分析。Phantom提供SOAR功能。Splunkbase提供了其他安全用例應(yīng)用程序。

Splunk在過去12個(gè)月中最重要的增強(qiáng)功能是通過Splunk ES中的Investigation Workbench UI，ES和UBA的快速內(nèi)容更新以及速度改進(jìn)支持指導(dǎo)性調(diào)查。

Splunk的產(chǎn)品為組織提供了多個(gè)安全監(jiān)控入口點(diǎn)，其路徑可以從基本事件收集開始，簡單的使用案例與Splunk Enterprise一起使用，通過ES實(shí)現(xiàn)更豐富的SIEM功能，使用UBA實(shí)現(xiàn)更高級(jí)的分析，使用Phantom實(shí)現(xiàn)SOAR功能。

該供應(yīng)商在Splunk應(yīng)用程序市場中擁有強(qiáng)大的技術(shù)集成生態(tài)系統(tǒng)，盡管與Splunk競爭的其他技術(shù)的用戶(例如，在用戶分析空間中)應(yīng)該驗(yàn)證集成的深度。

PII保護(hù)功能強(qiáng)大; 支持模糊處理和PII屏蔽到字段級(jí)別，可以根據(jù)用戶身份，位置和其他特征應(yīng)用。

如何部署Splunk：

Splunk提供多種部署選項(xiàng)：內(nèi)部部署軟件，IaaS中的軟件以及混合模型。Splunk Cloud是一個(gè)使用AWS基礎(chǔ)架構(gòu)的Splunk托管和操作SaaS解決方案。Splunk Enterprise和Splunk Cloud組件包括支持n層體系結(jié)構(gòu)的通用轉(zhuǎn)發(fā)器，索引器和搜索頭。

Splunk的定價(jià)如何運(yùn)作：

Splunk根據(jù)提取到平臺(tái)的數(shù)據(jù)量獲得許可，并提供DNS和NetFlow數(shù)據(jù)的定價(jià)折扣。ES還獲得了每天千兆字節(jié)的許可，而UBA則通過組織中的用戶帳戶數(shù)量獲得許可，并且所有這些都可以作為永久或期限許可提供，具有各種企業(yè)級(jí)定價(jià)和校正的選項(xiàng)?；糜暗膬r(jià)格取決于用戶采取行動(dòng)的事件數(shù)量。

接受建議：

另一個(gè)例子是“你通常得到你付出的代價(jià)”，Splunk通常比競爭對(duì)手貴?？蛻艉蜐撛谫I家傾向于表達(dá)對(duì)定價(jià)模型和總成本的擔(dān)憂。Phantom的加入和“神經(jīng)中樞”概念的引入(單獨(dú)的SIEM，UBA和SOAR產(chǎn)品)導(dǎo)致三種定價(jià)模型具有不同的測量方法。

Splunk UBA此時(shí)是內(nèi)部部署或客戶云計(jì)算解決方案，可能會(huì)與希望保留SaaS模型的Splunk Cloud客戶產(chǎn)生摩擦。

Splunk沒有本地代理支持FIM或EDR，盡管有許多第三方解決方案的集成。

Splunk對(duì)OT / IoT的支持在很大程度上取決于第三方應(yīng)用程序的功能，而不是Splunk對(duì)OT協(xié)議的支持。