SIEM 面世至今已走过了十几个年头的发展历程,是将安全信息管理 (SIM) 和安全事件管理 (SEM) 功能结合到一个安全管理系统中的现代安全管理工具。SIM 收集、分析和报告日志数据;SEM 实时分析日志及事件数据,提供威胁监测、事件关联和事件响应。鉴于其不间断实时监控的特性,SIEM 如今已是大型企业不可或缺的技术。 SIM 和 SEM 均提供安全警报按需分析功能,可摄入多种应用及网络硬件产生的安全警报。能够将这两种功能合二为一的安全提供商便抢占了拓展新业务的先机。 企业 SIEM 的主要功能包括:多源数据摄入;数据解释;威胁情报馈送合并;警报关联;分析;概述;自动化;以及潜在威胁汇总。 IBM QRadar vs Splunk: 业界最佳正面比拼 IBM QRadar 和 Splunk 是现有最好的两种 SIEM 解决方案,后者在近十年来的大部分时间里一直处于市场领导者地位。但是,这两种产品各有千秋,各自为潜在买家带来不同方面的显著成效。两种 SIEM 解决方案均提供强大的核心 SIEM 产品,但在使用威胁情报和与第三方及其他安全工具集成方面存在差异。 总体上讲,IBM QRadar 旨在与其他 IBM 产品(如 Watson AI)优化集成,而作为独立软件制造商的 Splunk 可以更轻松地与系统内其他组件进行交互。
IBM QRadar 1. QRadar 带来什么 IBM 的 SIEM 工具集 QRadar 专为大型企业设计,由用于构建企业级威胁检测及响应系统的可靠平台构成。也包含用于较小型用例的大量蓝图与模板。QRadar 部署广泛,服务提供商众多,可辅助公司企业采购、运行、调整及监控他们的部署。 含有多组件的IBM QRadar Security Intelligence Platform(安全情报平台)是围绕 IBM QRadar SIEM 构建。IBM QRadar Vulnerability Manager(漏洞管理器)使用虚拟机数据上下文化事件数据。IBM QRadar Network Insights(网络流量分析)提供基于 QFlow 的应用程序可见性。 IBM QRadar User Behavior Analytics(用户行为分析)是处理某些内部人威胁用例的免费用户行为分析 (UBA) 模块。IBM QRadar Incident Forensics(事件取证)提供取证调查支持。IBM QRadar Advisor with Watson(认知安全分析)为已识别威胁提供自动化根源研究。 2. 考虑采用 QRadar 的几大理由
3. QRadar 如何部署 IBM QRadar SIEM 可作为硬件虚拟设备和软件包提供,具体取决于客户的事件速度(覆盖范围内所有数据源的每秒事件 (EPS) 数量)。也可以作为 IBM 托管的软件即服务 (SaaS) SIEM 从云端获取。 4. QRadar 定价机制如何 IBM QRadar Security Intelligence Platform 中附加组件的定价取决于其各自的指标(例如,IBM QRadar Network Insights 的流数量,或者 IBM QRadar Vulnerability Manager 覆盖的资产数量)。QRadar Network Insights 仅可以硬件设备的形式向数据中心提供。 5. 可供采纳的建议
6. 使用客户:中大型企业 7. 如何部署:选项有云服务订阅、虚拟设备和实体服务器 Splunk 安全产品组合 1. Splunk 带来什么 Splunk 不仅名字酷炫,其 SIEM 系统的业内评价也很高。想跨 SIEM 和其他 IT 用例共享架构及供应商的公司企业,以及寻求可扩展解决方案处理从基本日志管理到高级分析及响应任务的公司企业,都应考虑采用 Splunk。 其 Security Intelligence Platform 由 Splunk Enterprise 和如下三个解决方案构成:Splunk Enterprise Security (ES)、Splunk User Behavior Analytics (UBA) 及 Splunk Phantom。Splunk Enterprise 为各种 IT 运营及某些安全用例提供事件与数据收集、搜索和可视化功能。付费 ES 解决方案交付多种常用安全监视功能,包括特定于安全的查询、可视化及控制面板,还有一些案例管理、工作流及事件响应功能。 Splunk 的安全产品组合连续六年被 Gartner 市场研究公司评为业界领先技术——一项不小的成就。该平台帮助客户优化其安全神经中枢,处理一系列安全监视及威胁检测用例。客户将 Splunk Enterprise Security 和 Splunk User Behavior Analytics 作为分析驱动的 (Analytics-Driven) SIEM 联合使用,打造自身安全运营中心 (SOC) 以检测、调查和响应威胁。作为先进的安全编排、自动化与响应 (SOAR) 解决方案,Splunk Phantom 帮助客户调查事件并加速事件响应动作。 想跨 SIEM 和其他 IT 用例共享架构及供应商的公司企业,以及寻求可扩展解决方案处理从基本日志管理到高级分析及响应任务的公司企业,都应考虑采用 Splunk。 2. 考虑采用 Splunk 的几大原因 Splunk Security Intelligence Platform 集中式运行且用户界面直观。该平台由 Splunk Enterprise 和如下三个解决方案构成:Splunk Enterprise Security (ES)、Splunk User Behavior Analytics (UBA) 及 Splunk Phantom。 Splunk Enterprise 为各种 IT 运营及某些安全用例提供事件与数据收集、搜索和可视化功能。
3. Splunk 如何部署 Splunk 提供多种部署选项:现场软件、基础设施即服务 (IaaS) 和混合模式。 Splunk Cloud 是 Splunk 托管并运营的 SaaS 解决方案,采用 AWS 基础设施。 Splunk Enterprise 和 Splunk Cloud 组件构成 Universal Forwarders、Indexers 和 Search Heads 以支持多层架构。 4. Splunk 定价机制如何 Splunk 基于平台摄入的数据量签发许可,对 DNS 和 NetFlow 数据打折。ES 同样按每天摄入的 GB 数定价,UBA 则按公司的用户账户数量核价,且均可签永久授权或短期授权,企业级许可和功能增配有多个选项可供选择。Phantom 按用户采取行动的事件数定价。 5. 可供采纳的建议
6. 使用客户:中大型企业 7. 如何部署:选项有云服务订阅、虚拟设备和实体服务器 |
|
来自: BIGDATA云 > 《IBM QRadar》