安全信息和事件管理(SIEM)工具是大多數(shù)公司網(wǎng)絡防御的核心部分。使用本指南可以幫助您尋找到最符合您需求的SIEM選項。

[[253533]]

SIEM可以說是網(wǎng)絡安全專業(yè)人員的“藍領級”工具，因為審計、審查和管理事件日志并不具備任何獨到的魅力，但它卻是構建安全企業(yè)網(wǎng)絡的一個必不可少的層面。它可以作為所有數(shù)據(jù)收集和分析活動的集中點，可對系統(tǒng)日志和網(wǎng)絡信息提供智能分析。一旦SIEM配置正確，它便可以查找惡意行為和系統(tǒng)活動，在安全事件惡化成為有影響的數(shù)據(jù)泄露事件之前提醒企業(yè)的安全事件團隊。

如今，網(wǎng)絡安全已經(jīng)逐步走向成熟，無數(shù)工具(機器學習支持的防火墻，強化的Web應用程序服務器，云服務等)的衍生進一步加劇了企業(yè)網(wǎng)絡攻擊的難度。以全局、“自上而下”的方式監(jiān)控每個層、服務和設備，對于為日志事件提供上下文而言至關重要。此外，將自動修復任務應用于事件日志也助力許多此類SIEM工具提升到了另一個級別。

鑒于事件日志的性質(zhì)，它們通常會成為渴望掩蓋其活動蹤跡的惡意用戶的二次攻擊面。SIEM工具通常會通過將事件日志轉移到為任務構建的服務器或服務中，來為事件日志提供額外的保護層，從而提供一種防止編輯或刪除，甚至創(chuàng)建備份副本的方法。

以下是Gartner PeerInsights評選的12款頂級SIEM工具，以及來自同行評審的評級摘要：

1. AlienVault統(tǒng)一安全管理平臺(AlienVault Unified Security Management)

AlienVault的統(tǒng)一安全管理(USM)平臺提供了在各種系統(tǒng)中監(jiān)控、分析和管理系統(tǒng)事件的工具。其聲稱能夠從網(wǎng)絡中的任何地方發(fā)現(xiàn)威脅，而不僅僅通過防火墻，且能夠?qū)l(fā)現(xiàn)的威脅以“殺傷鏈”(KILL CHAIN)的不同階段進行歸類。

AlienVault USM不僅僅是一個SIEM解決方案。除了監(jiān)控進而管理事件日志外，該平臺還提供用于漏洞評估和入侵檢測(包括網(wǎng)絡和基于主機)的工具，為可能不具備這些功能的客戶提供附加價值。除此之外，AlienVault還提供OSSIM(開源安全信息和事件管理)服務，顧名思義，它是一個開源的SIEM解決方案，且可能是更受歡迎的開源SIEM平臺之一。OSSIM將本地日志存儲和關聯(lián)功能與眾多開源項目結合在一起，以構建完整的SIEM。OSSIM中包含的開源項目列表包括FProbe，Munin，Nagios，NFSen / NFDump，OpenVAS，OSSEC，PRADS，Snort，Suricata和TCPTrack。

• Gartner PeerInsights評分：4.3星；
• 目標受眾：各種規(guī)模的IT商店；
• 顯著特點：捆綁為具有入侵檢測和漏洞評估工具的多層安全套件；
• 定價：AlienVault主要提供3種售價標準——基礎版：1,075美元/月起;優(yōu)質(zhì)版：2,595美元/月起，按年度結算;最高級：根據(jù)保留期、數(shù)據(jù)量以及對PCI兼容日志存儲的支持類型進行具體定價。

2. Elastic Logstash

Elastic并不提供真正的SIEM平臺(如果您的組織需要PCI兼容性，可以前往查看其他工具)，但Logstash作為一個日志聚合器，可以收集和處理來自幾乎任何數(shù)據(jù)源的數(shù)據(jù)，它可以過濾、處理、關聯(lián)并且通常增強它收集的任何日志數(shù)據(jù)。尤其是Elastic還提供了諸如Beats之類的工具來移動數(shù)據(jù)，Beats包括各種輕量級日志傳送，負責收集數(shù)據(jù)并通過Logstash將其發(fā)送到堆棧;Elasticsearch是存儲引擎，用于幫助解析大量數(shù)據(jù);而Kibana則是堆棧中的可視化層，用于處理可視化和分析問題。

Logstash可能是該列表中最靈活的工具，但它也存在一些關鍵問題。毫無疑問，Elastic的Stack平臺非常強大，其日志處理、存儲和可視化功能在功能上都是無與倫比的。然而，對于SIEM而言，ELK Stack至少在其原始開源格式中缺少一些關鍵組件。首先，沒有內(nèi)置的報告或警報功能。這是一個已知的痛點，不僅對于嘗試將堆棧用于安全性的用戶而且對于更常見的用例來說也是如此——例如IT操作。警報可以通過使用X-Pack(Elastic的商業(yè)產(chǎn)品)或通過添加開源安全附件來添加。其次，也沒有可以使用的內(nèi)置安全規(guī)則。這使得堆棧在處理資源和運營成本方面成本更高。

• Gartner PeerInsights評分：4.3星；
• 目標受眾：各種規(guī)模的客戶，尤其是具有DevOps功能的客戶；
• 顯著特點：開源和極其靈活的平臺；
• 定價：開源且免費，基于具體規(guī)模和使用情況提供企業(yè)支持和商業(yè)訂閱定價模式。

3. Exabeam安全管理平臺(Exabeam Security Management Platform)

在我們此次列舉的12款解決方案中，Exabeam贏得了最高的Gartner PeerInsights評分，至于原因也是顯而易見的。對于初學者而言，Exabeam的安全管理平臺可以為您的事件日志帶來大數(shù)據(jù)工具集，提供性能和分析優(yōu)勢。Exabeam Data Lake可以支持盡可能多的數(shù)據(jù)，且其定價也是基于用戶數(shù)量而非數(shù)據(jù)量而定，此外，Exabeam還可以使用機器學習等技術為用戶提供多種分析策略。

除了提供用于編譯、聚合和分析事件日志的工具之外，Exabeam還提供了一個用于處理事件響應的工具集。Exabeam事件響應程序提供了在事件發(fā)生時將事件分配給相關人員以及跟蹤狀態(tài)更新的選項。事件響應者還可以利用自動和定制的“劇本”，來針對不同類型的事件采取相應的緩解措施，以及阻止自動化和與其他系統(tǒng)集成的潛在機會。

• Gartner PeerInsights評分：4.7星；
• 目標受眾：中型企業(yè)級公司；
• 顯著特征：基于大數(shù)據(jù)的工具和集成的事件響應系統(tǒng)；
• 定價：每個組件單獨定價，根據(jù)用戶數(shù)量定價。

4. Fortinet FortiSIEM

FortiSIEM是Fortinet公司的SIEM解決方案，其可以為企業(yè)提供一個完善、整合、可擴展的解決方案，從IoT到云，通過持有專利的分析技術來讓網(wǎng)絡安全管理更可操作，更高效，更可視，以及滿足多種合規(guī)標準。

FortiSIEM可以在收集事件和自動化事件響應方面進行集成。此外，F(xiàn)ortiSIEM修復庫還提供了內(nèi)置腳本，可以利用來自各種供應商的設備和系統(tǒng)來執(zhí)行修復步驟，例如禁用交換機端口或Active Directory帳戶。

該產(chǎn)品的突出優(yōu)勢包括：統(tǒng)一的NOC和SOC分析能力;分布式實時事件關聯(lián)技術;實時、自動化基礎設施發(fā)現(xiàn)以及應用發(fā)現(xiàn)引擎;動態(tài)用戶識別與匹配;靈活且快速的自定義日志解析;混合數(shù)據(jù)庫架構- 融合結構化和非結構化數(shù)據(jù)源;大規(guī)模威脅情報源整合以及“多租戶架構”等等。

• Gartner PeerInsights評分：4.3星；
• 目標受眾：小型到大型企業(yè)，支持內(nèi)部部署或基于云的工作負載；
• 顯著特征：基于腳本的修復和靈活的部署選項；
• 定價：具備永久許可證的硬件設備起價為10,525美元，虛擬設備的起價為21,179美元。

5. IBM QRadar SIEM

IBM長期以來一直是企業(yè)軟件領域的領導者，所以其QRadar SIEM平臺能夠處理大型數(shù)據(jù)集以及企業(yè)事件管理解決方案所需的無數(shù)功能也就不足為奇了。QRadar對500多種集成和內(nèi)置分析引擎的支持也正是我們對IBM軟件產(chǎn)品的期望。

IBM QRadar SIEM可以檢測異常，發(fā)現(xiàn)高級威脅以及消除誤報。它可以將分散在整個網(wǎng)絡中的數(shù)千個設備、終端和應用中的日志事件和網(wǎng)絡流數(shù)據(jù)整合起來。然后使用先進的Sense Analytics引擎，對這些數(shù)據(jù)實施規(guī)范化和關聯(lián)處理，并確定需要調(diào)查的安全攻擊。此外，您也可以選擇將該產(chǎn)品與IBM Security X-Force Threat Intelligence結合使用，從而獲得可能的惡意IP地址的列表，包括惡意主機、垃圾郵件源和其他威脅。QRadar SIEM可在內(nèi)部部署，也可在云端部署。

作為昔日的AI“老大哥”，IBM Watson可能是全球銷量最高的AI，而IBM QRadar Advisor with Watson正是將Watson的認知功能和行業(yè)領先的QRadar Security Analytics Platform 相結合，以發(fā)現(xiàn)潛在的威脅和異常行為，并自動發(fā)掘洞察而無需手動識別，從而徹底改變安全分析人員的工作方式。此外，Watson Advisor還整合了來自外部資源的新威脅，以識別零日攻擊。

• Gartner PeerInsights評分：4.0星；
• 目標受眾：中型到大型企業(yè)客戶；
• 顯著特點：眾多集成點，以促進事件響應和自動化；
• 定價：IBM的內(nèi)部部署解決方案起價為10,700美元，其中包括12個月的服務支持;IBM的SaaS平臺——QRadar on Cloud，每月起價為800美元，年度收費。

6. LogPoint

LogPoint用戶將簡單的設置過程視為關鍵點，許可結構(licensing structure)使得成本預測變得更為清晰。licensing的本質(zhì)實際上是一項資產(chǎn)的擁有者給予受讓方在特定目的，時期以及地域范圍內(nèi)使用自己資產(chǎn)權利的一種許可。LogPoint的許可主要基于向SIEM發(fā)送數(shù)據(jù)的設備數(shù)量，而非用戶或吞吐量。

LogPoint使用用戶和實體行為分析(UEBA)作為其威脅建模和機器學習產(chǎn)品。UEBA使用戶能夠快速實現(xiàn)啟動和運行，而無需創(chuàng)建或修改廣泛的規(guī)則集。

• Gartner PeerInsights評分：4.5星；
• 目標受眾：LogPoint支持從小型企業(yè)到企業(yè)級環(huán)境(包括托管服務提供商)的客戶端；
• 顯著特點：LogPoint的UEBA可以最大限度地減少誤報并優(yōu)先處理威脅，使您的安全團隊能夠?qū)Ｗ⒂谛枰牡胤剑?/li>
• 定價：LogPoint并未透露定價細節(jié)，但其許可主要基于報告事件數(shù)據(jù)的設備數(shù)量。

7. LogRhythm

LogRhythm提供了全面的SIEM套件，有助于實現(xiàn)從數(shù)據(jù)收集到修復的威脅管理任務。LogRhythm可以根據(jù)您的具體需求提供各種尺寸的LogRhythm XM，或支持跨多個服務器進行擴展的LogRhythm Enterprise。這兩者都可用于基于軟件或設備的解決方案，不同之處在于，LogRhythm Enterprise也可以支持混合架構。

核心LogRhythm解決方案還有幾個附加組件可供使用。其中，CloudAI是LogRhythm基于UEBA的高級威脅檢測產(chǎn)品;LogRhythm NetMon負責跟蹤網(wǎng)絡流量，以識別異常行為和潛在威脅;此外，LogRhythm還提供了SysMon組件，其基于軟件代理的傳感器可用于監(jiān)控用戶、應用程序和端點。

• Gartner PeerInsights評分：4.4星；
• 目標受眾：各種規(guī)模的企業(yè)，包括托管服務提供商；
• 顯著特點：附加組件CloudAI、NetMon以及SysMon添加了關鍵功能；
• 定價：LogRhythm起價28,000美元，提供訂閱選項。

8. McAfee 企業(yè)安全管理系統(tǒng)(McAfee Enterprise Security Manager)

如今，McAfee已經(jīng)成功躋身Gartner SIEM 魔力象限領導者之列，作為其SIEM 解決方案的基礎，McAfee Enterprise Security Manager(ESM)不僅可以將事件、威脅和風險數(shù)據(jù)集中到一起，以提供強大的安全情報、快速事件響應、無縫日志管理以及合規(guī)報告功能，從而提供適應性安全風險管理所需的上下文環(huán)境，而且其嵌入式合規(guī)框架和內(nèi)置安全內(nèi)容包還能夠簡化分析人員的操作和合規(guī)性操作。

架構和集成方面的靈活性是McAfee ESM的關鍵特征。ESM可用于各種規(guī)模的物理和虛擬設備中，其中虛擬設備還包括各種虛擬機管理程序和云平臺等。而McAfee所提供的內(nèi)置安全內(nèi)容包還可以針對特定用例或合作伙伴平臺啟用監(jiān)視器和警報，此外，其與十幾家第三方供應商所建立的集成合作伙伴關系，也使得ESM具有其他同類產(chǎn)品難以企及的可擴展性。

• Gartner PeerInsights評分：4.2星；
• 目標受眾：大中型企業(yè)客戶，通常為擁有500名或更多員工的企業(yè)；
• 顯著特征：合作伙伴關系促使ESM與第三方系統(tǒng)緊密集成，通過單一界面實現(xiàn)快速分類和修復；
• 定價：入門級虛擬設備的售價在40,000美元至50,000美元之間。

9. Micro Focus ArcSight企業(yè)安全管理系統(tǒng)(Micro Focus ArcSight Enterprise Security Manager)

ArcSight企業(yè)安全管理程序(ESM)是一個功能齊全的解決方案，可以檢查企業(yè)SIEM的所有內(nèi)容。ArcSight ESM支持一系列集成和自定義選項，允許安全分析師從單一管理平臺執(zhí)行事件響應。借助ArcSight Marketplace，您可以輕松利用更新的儀表板、報告或關聯(lián)規(guī)則。

ArcSight ESM支持基于工作流程的自動化，允許分析人員快速關聯(lián)事件，在案例中引用事件，并根據(jù)需要進行響應或升級。您還可以審核并報告所采取的每個操作，以維持服務級別協(xié)議(SLA)合規(guī)性并跟蹤響應時間。此外，與第三方系統(tǒng)的集成還允許用戶啟用修復程序，例如禁用端口或帳戶，甚至可以創(chuàng)建規(guī)則集以自動執(zhí)行這些步驟。

• Gartner PeerInsights評分：3.9星；
• 目標受眾：中型到大型企業(yè)客戶；
• 顯著特征：通過ArcSight Marketplace提供可擴展的功能集，通過系統(tǒng)集成提供可操作的警報；
• 定價：Micro Focus暫未提供定價細節(jié)；

10. RSA NetWitness

RSA的SIEM解決方案RSA NetWitness具有企業(yè)級SIEM所需的許多功能，包括用戶行為分析(UEBA)，自動化工具和架構靈活性(支持硬件和虛擬設備、基于軟件的選項或云部署)。此外，RSA NetWitness還可以通過與RSA Archer和SecurID集成，對所捕獲的網(wǎng)絡和日志數(shù)據(jù)進行實時上下文智能分析，從而為企業(yè)提供可操作的安全情報信息。

加密或編碼的事件數(shù)據(jù)或Web流量可能難以合并到您的SIEM中。但RSA NetWitness可以利用各種加密工具(包括解密、解壓和熵測量)來顯示此類信息，并將其合并到您的SIEM工作流程中。這種對加密流量的可見性可能就是確定流量本質(zhì)上是惡意還是合法的關鍵所在。

• Gartner PeerInsights評分：4.2星；
• 目標受眾：企業(yè)客戶；
• 顯著特征：能夠添加業(yè)務上下文而不僅僅是技術或系統(tǒng)上下文，對加密保護數(shù)據(jù)的可見性使您可以輕松應對攻擊；
• 定價：NetWitness定價是基于月度或永久性選擇的吞吐量而定的。月度許可證的零售價格為857美元/月，其中包括支持服務。

11. SolarWinds Log & Event Manager

SolarWinds對于許多IT專業(yè)人士而言是非常熟悉的名稱，其積極的營銷模式和長期以來發(fā)布免費工具的行為已經(jīng)贏得了眾多中小型IT商店的青睞。SolarWinds Log & Event Manager是其SIEM解決方案，主要提供快速簡單的合規(guī)性報告、實時事件關聯(lián)、實時補救、高級搜索和取證分析、文件完整性監(jiān)控等諸多功能。

Log&Event Manager并不提供基于機器學習的分析，也不提供與該列表中其他企業(yè)級工具相同的第三方系統(tǒng)集成功能。但SolarWinds卻能夠提供USB設備監(jiān)控功能，旨在降低USB閃存驅(qū)動器對您的網(wǎng)絡造成的風險。

• Gartner PeerInsights評分：4.2星；
• 目標受眾：中小型企業(yè)；
• 顯著特點：自動修復和USB設備監(jiān)控；
• 定價：SolarWinds Log&Event Manager永久性許可起價為4,585美元，可授權多達30個節(jié)點使用，外加一年的維護服務。

12. Splunk

Splunk可能是該列表中最為知名的一大存在，同時也是判斷SIEM平臺的標準。Gartner PeerInsights的評分也體現(xiàn)了這一點，高達4.4星的評級以及500多條評論支持，都明顯超出了其他競爭解決方案。

Splunk提供了兩個版本的平臺。其中，Splunk Enterprise可以作為各種Unix或Windows操作系統(tǒng)上的服務器應用程序安裝在本地，也可以作為Docker容器應用程序安裝;Splunk Cloud則允許您在SaaS環(huán)境中實現(xiàn)Splunk的優(yōu)勢，最大限度地減少基礎架構和維護需求。這兩種平臺版本都支持可自定義的儀表板和報告，以及異常檢測和高度訪問控制等功能。

不過，Splunk最大的賣點或許還是Splunkbase，Splunkbase應用庫包含100多個來自Splunk、合作伙伴和社區(qū)的應用和加載項。Splunkbase應用程序可以在Splunk Enterprise或Splunk Cloud上運行，并添加第三方集成、分析或自動化功能。其強大的大數(shù)據(jù)收集分析功能可以針對幾乎任何一個數(shù)據(jù)源和用戶需求，用戶可根據(jù)自身企業(yè)需求查找對應行業(yè)應用或加載項，或只需根據(jù)開發(fā)人員門戶中的幫助創(chuàng)建自己的應用或加載項。

• Gartner PeerInsights評分：4.4星；
• 目標受眾：各種規(guī)模的組織；
• 顯著特征：Splunkbase應用程序商店；
• 定價：Splunk Enterprise版本——150美元/月/Gb，Splunk Cloud版本——810美元/月(或8,100美元/年)起，每天限制最高5Gb數(shù)據(jù)。

完整的SIEM解決方案包含從各種數(shù)據(jù)源收集信息，長時間保留信息，在不同事件之間關聯(lián)，創(chuàng)建關聯(lián)規(guī)則或警報，分析數(shù)據(jù)并使用可視化和儀表板監(jiān)控數(shù)據(jù)的能力。

無論一款工具多么強大，都可能存在這樣或那樣的不足，從來都不存在可以“一勞永逸”的工具，想要真正最大化實現(xiàn)工具的性能，還需要根據(jù)自身需求和具備的實際條件來進行選擇。此外，還需要針對具體工具進行正確部署，因為即便一款工具再怎么強大，一旦部署失誤也是徒勞無功。希望上述內(nèi)容可以幫助您選出最合適的SIEM工具，更好地提升企業(yè)的整體安全態(tài)勢。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文