Netzadministrator

Die 7 besten Tools zur Reaktion auf Vorfälle

Beste Tools zur Reaktion auf Vorfälle



Reaktion auf Vorfälleist der Prozess, einen Cyberangriff zu erkennen, ihn zu blockieren und den durch ihn verursachten Schaden zu beheben. Tools zur Reaktion auf Vorfälle Dazu gehören Support-Software und -Dienste, die dabei helfen, einen Cyberangriff zu erkennen, aber auch solche Tools, die Angriffe automatisch blockieren.

Die Reaktion auf Vorfälle muss nicht automatisiert werden. Allerdings wird immer mehr Software verfügbar, die bei Erkennung eines Einbruchs oder einer Malware-Aktivität selbstständig Aktionen auslöst. Diese Art von Incident-Response-System wird als Incident-Response-System bezeichnet STEIGEN , welches dafür steht ' Sicherheitsorchestrierung, Automatisierung und Reaktion “.



SOAR-Systeme verknüpfen Angriffskennungen über Analyseprogramme mit Abwehrsystemen, die den Angriff abwehren und den entstandenen Schaden rückgängig machen. SOAR ist fast gleichbedeutend mit einem Intrusion Prevention System (IPS). SOAR integriert jedoch einen weiteren führenden Standard zur Angriffserkennung: SIEM .

Hier ist unsere Liste der sieben besten Tools zur Reaktion auf Vorfälle:

  1. SolarWinds Security Event Manager DIE WAHL DES HERAUSGEBERS Ein SIEM-Tool, das Analyse- und Aktionsauslöser enthält, die es zu einem Tool zur Reaktion auf Vorfälle machen. Starten Sie eine 30-tägige kostenlose Testversion.
  2. CrowdStrike Falcon Insight (KOSTENLOSE TESTVERSION) Eine Hybridlösung, die die Angriffserkennung durch die Koordinierung der von jedem Endpunkt in einem Netzwerk erfassten Ereignisdaten unterstützt. Starten Sie eine 15-tägige kostenlose Testversion.
  3. ManageEngine Log360 (KOSTENLOSE TESTVERSION) Dieses SIEM generiert Benachrichtigungen an Service-Desk-Systeme zur Reaktion auf Vorfälle. Läuft auf Windows Server. Starten Sie eine 30-tägige kostenlose Testversion.
  4. AT&T Cybersecurity USM Anywhere Ein vollständig cloudbasierter SOAR-Dienst, der auf AlienVault OSSIM basiert.
  5. Splunk Phantom Ein Angriffsuntersuchungssystem und ein Tool zur Reaktionsautomatisierung. Dieses System lässt sich als Add-on zum Standard-Splunk-Tool oder jedem anderen SIEM-System integrieren.
  6. Ich werde gehen Eine SaaS-Sicherheitsplattform, die SIEM, Analysen und automatisierte Reaktion auf Vorfälle umfasst.
  7. LogRhythm SIEM Eine SIEM-Plattform der nächsten Generation, die Benutzer- und Entitätsverhaltensanalysen, Bedrohungssuche und SOAR umfasst.

SIEM steht für „ Sicherheitsinformations- und Ereignismanagement “. Es bildet den Erkennungsteil von SOAR und basiert auf zwei Strategien: Sicherheitsinformationsmanagement , das Protokolldateien auf Anzeichen bösartiger Aktivitäten untersucht, und Sicherheitsereignismanagement , das Verkehrsmuster in einem Netzwerk und andere Live-Indikatoren untersucht.



Da SIEM ein wichtiger Bestandteil von SOAR ist, sind die Anbieter von SIEM-Tools auf dem neuesten Stand von SOAR und erweitern ihr Fachwissen in den Bereichen Bedrohungsanalyse und Reaktion auf Vorfälle. Die anderen großen Player im Bereich Incident Response sind die Hersteller von Antivirensystemen. Diese Unternehmen beschäftigen sich seit langem mit der Suche nach Schadsoftware und deren Entfernung. Um ein umfassendes Tool zur Reaktion auf Vorfälle bereitzustellen, müssen sie ihr Arsenal lediglich um die Abwehr von Hackeraktivitäten und Eindringlingen erweitern.

Die besten Tools zur Reaktion auf Vorfälle

Auch wenn Branchen häufig von disruptiven und innovativen Neulingen gestürzt werden, setzen sich im Allgemeinen etablierte und erfahrene Unternehmen durch, die ihr Fachwissen an neue Techniken anpassen. Im Bereich der Inzidenzreaktion haben Softwarehäuser dies getan ein fundierter Hintergrund in Cybersicherheitssystemen bieten die besten Tools zur Reaktion auf Vorfälle.

Unsere Methodik zur Auswahl eines Incident-Response-Systems

Wir haben den Markt für Incident-Response-Tools untersucht und die Optionen anhand der folgenden Kriterien analysiert:

  • Verbindungen von Erkennungs- zu Auflösungssystemen
  • Koordination mit Zugriffsrechtemanagern und Firewalls
  • Anpassbare Aktionsregeln
  • Aktionsprotokollierung
  • Live-Statusberichte
  • Eine kostenlose Testversion oder eine Demo-Option für eine risikofreie Bewertungsmöglichkeit
  • Ein gutes Preis-Leistungs-Verhältnis, das ein automatisiertes System zu einem angemessenen Preis bietet

Anhand dieser Kriterien haben wir nach einer Reihe von Incident-Response-Diensten gesucht, die sich in die Sicherheitsdienste integrieren lassen, die bereits in Ihrem Netzwerk aktiv sind.

1. SolarWinds Security Event Manager (KOSTENLOSE TESTVERSION)

Manager für Sicherheitsveranstaltungen bei Solarwinds

SolarWinds zeichnet sich durch Systemüberwachung aus und hat die Entwicklung seines Incident-Response-Tools von diesem Ausgangspunkt aus angegangen. Obwohl es als das bezeichnet wird Sicherheitsereignismanager (SEM), dieses Tool ist ein Security Information Manager ( Ja ). Es durchsucht Protokolldateien, um mögliche schädliche Aktivitäten zu identifizieren. Damit gehört das Tool zur SIEM-Kategorie der Sicherheitslösungen und SolarWinds hat die Grenzen dieses Formats erweitert, um in den Bereich der Reaktion auf Vorfälle vorzudringen.

Hauptmerkmale:

  • Lokal für Windows Server
  • Priorisierung von Bedrohungen
  • Anpassbare Regeln
  • Integriert sich in Active Directory
  • Verbindet sich mit Firewalls

SolarWinds enthält ein Modul mit SEM, das aufgerufen wird Aktive Reaktion . Dies ist die letzte Phase auf dem Weg, SEM zu einem umfassenden Dienst zur Erkennung und Reaktion von Vorfällen zu machen. Die SIM-Karte erkennt Anomalien, verfeinert die Bedrohungsprioritäten und bietet einen Triage-Service über einen Alarmierungsmechanismus . Eine Warnung kann lediglich dazu dienen, einen Bediener zu informieren, der dann in der Lage ist, über Abhilfemaßnahmen zu entscheiden. Wenn Active Response jedoch aktiviert ist, kann ein Großteil der manuellen Arbeit zur Reaktion auf Ereignisse eingespart werden.

Active Response ist eine Regelbasis auslösender Ereignisse und Aktionen – Auslöser A startet Aktion X. Es könnte als Gefahr angesehen werden, die Reaktion eines Systemtools ausführen zu lassen. Diese Aktionsregeln sind jedoch anpassbar und der Bediener kann entscheiden, wie weit das SEM bei der Ausführung des Reaktionssystems gehen soll. Zu den Arten von Aktionen, die das SEM starten kann, gehören das Starten einer Ablaufverfolgung, das Sperren eines Benutzerkontos in Active Directory oder das Aktualisieren einer Firewall-Tabelle, um den Zugriff von einer bestimmten IP-Adresse aus zu blockieren. Alle diese Aktionen können rückgängig gemacht werden, da sie alle dokumentiert sind.

Vorteile:

  • Bietet sowohl Tools zur Reaktion auf Vorfälle als auch automatisierte Behebung und Prävention
  • Unternehmensorientiertes SIEM mit einer breiten Palette an Integrationen
  • Einfache Protokollfilterung, keine Notwendigkeit, eine benutzerdefinierte Abfragesprache zu erlernen
  • Dutzende Vorlagen ermöglichen Administratoren den Einstieg in die Verwendung von SEM mit nur wenigen Einrichtungs- oder Anpassungsarbeiten
  • Das Tool zur historischen Analyse hilft dabei, anomales Verhalten und Ausreißer im Netzwerk zu finden

Nachteile:

  • SEM ist ein fortschrittliches SIEM-Produkt, das für Profis entwickelt wurde. Es erfordert Zeit, die Plattform vollständig zu erlernen

Die Software für SolarWinds Security Event Manager wird installiert Windows Server . Sie können es mit einer 30-tägigen kostenlosen Testversion auf Herz und Nieren testen.

DIE WAHL DES HERAUSGEBERS

MitSolarWinds Security Event ManagerSie verpassen nirgendwo in Ihrem Netzwerk ein Sicherheitsereignis. SEM eignet sich auch hervorragend für die Reaktion auf Bedrohungen in Echtzeit mit dem Active Response-Modul, in dem Sie Regeln festlegen können, um Aktionen auszulösen. Ein unverzichtbares Werkzeug.

Starten Sie die kostenlose 30-Tage-Testversion:solarwinds.com/security-event-manager/use-cases/incident-response-software

DU:Windows Server

zwei. CrowdStrike Falcon Insight (KOSTENLOSE TESTVERSION)

CrowdStrike Falcon Insight

Einblicke in CrowdStrike FalconIst ein Incident-Response-Service . Dabei handelt es sich um eine menschliche Beratungsfirma, die mit der Bereinigung nach einer Sicherheitsverletzung beauftragt werden kann. Kunden wenden sich wahrscheinlich nur dann an diesen Dienst, wenn sie feststellen, dass es bereits zu einem Sicherheitsvorfall gekommen ist.

Hauptmerkmale:

  • Hybrid System
  • Koordiniert Ereignisse auf Endpunkten
  • Wird auf Offline-Endpunkten ausgeführt
  • Technisches Reaktionsteam

Die Tools, die die Techniker des Incident Response-Teams von CrowdStrike verwenden, werden auch als Teil einer Suite von Sicherheitssoftware namens „ CrowdStrike Falcon .

CrowdStrike Falcon ist eine Sicherheitsplattform. Es umfasst viele Elemente, von denen jedes einen anderen Aspekt der Infrastruktur oder Dienstleistung für die Sicherheitsforschung abdeckt. Die Module der Falcon-Plattform arbeiten alle zusammen, um ein System vollständig zu schützen.

Falcon Insight ist ein Endpoint Detection and Response-Dienst (EDR). Dies ist ein weiterentwickeltes Antivirensystem. Es ersetzt jedoch kein AV, da die Falcon-Suite ein AV der Net-Gen enthält, genannt Falcon Prevent . Die besondere Aufgabe von Falcon Insight besteht darin, Verteidigungsstrategien zwischen vielen Endpunkten in einem Netzwerk zu koordinieren.

Die Falcon-Plattform kombiniert lokale Software und ein cloudbasiertes Element, wodurch ein doppelter Schwerpunkt für Sicherheitsdienste entsteht. Das installierte Element würde als Antivirensystem gelten. Der Vorteil der Installation der Software auf jedem Endpunkt besteht darin, dass sie auch dann weiterarbeiten kann, wenn die Internetverbindung ausfällt oder ein Problem mit dem Netzwerk auftritt. Der Cloud-Teil des Dienstes aggregiert Daten von allen Endpunkten einer Site, um eine Ansicht der Netzwerkaktivität zu erstellen. Falcon Insight schlägt eine Brücke zwischen diesen beiden Elementen.

Die Endpunktsoftware bietet sofortigen Schutz, während der zentrale Datenkonsolidator als SIEM-Tool fungiert und Ereignisaufzeichnungen analysiert, die von den Endpunktagenten hochgeladen werden, um nach ihnen zu suchen Verhaltensmuster Dies würde auf einen Einbruch oder eine andere Art systemweiten Angriffs hinweisen. Der zentrale Falcon-Dienst aktualisiert außerdem alle Endpunkte mit neuen Erkennungsstrategien, sodass durch die Koordination vieler Instanzen ein Sicherheitsnetzwerk entsteht.

Falcon Insight arbeitet mit anderen Elementen der Plattform zusammen, um eine zu erstellen STEIGEN . Die vorrangige Aufgabe von Falcon Insight in diesem Teamprojekt besteht darin, potenzielle Bedrohungen zu identifizieren und zu priorisieren. Dies ist bekannt als „ Triage “ in der Reaktion auf Vorfälle. Es verkürzt die Abwehrzeit, indem es den wahrscheinlichsten Punkt der Aktivität identifiziert, der sich weiter ausbreiten könnte, und ermöglicht es Verteidigungsstrategien, den Ort eines neuen Angriffs gezielt zu bestimmen.

CrowdStrike vermarktet die Falcon-Plattform in Paketen. Jedes Paket enthält Falcon Prevent, das Antivirensystem der nächsten Generation. Die vier von CrowdStirke angebotenen Pläne sind Falcon Pro , Falcon Enterprise , Falcon Premium , Und Falcon abgeschlossen . Jede dieser Editionen mit Ausnahme von Falcon Pro enthält Falcon Insight.

Insgesamt verfügt jedes Element der Service-Suite der Plattform über seine eigenen Spezialmethoden, und durch die Kombination dieser entsteht ein einheitlicher Sicherheitsdienst, der stärker ist als die Summe seiner Teile.

Vorteile:

  • Verlässt sich bei der Erkennung von Bedrohungen nicht nur auf Protokolldateien, sondern nutzt Prozessscans, um Bedrohungen sofort zu finden
  • Fungiert als hybrides SIEM/SOAR-Produkt
  • Kann anormales Verhalten im Laufe der Zeit verfolgen und warnen. Je länger das Netzwerk überwacht wird, desto besser
  • Kann entweder vor Ort oder direkt in einer cloudbasierten Architektur installiert werden
  • Leichte Agenten verlangsamen weder Server noch Endbenutzergeräte

Nachteile:

  • Würde von einer längeren Testphase profitieren

Die Falcon-Pläne werden im Abonnement mit einem Tarif pro Endpunkt und Monat abgerechnet. Du kannst bekommen15-tägige kostenlose Testversiondes Falcon-Systems, obwohl dazu nur Falcon Prevent gehört.

Falcon Insight ist ein weiteres großartiges Tool zur Reaktion auf Vorfälle, da es zeigt, wie ein Teil der Cybersicherheitssoftware – ein AV – durch die Hinzufügung einer systemweiten Koordination zu einem Tool zur Reaktion auf Vorfälle erweitert werden kann. Falcon Insight kombiniert die traditionellen Aktivitäten eines AV und einer Firewall, die ein Gerät schützen, mit den Datenscanfunktionen eines SIEM-Tools. Hierbei handelt es sich um eine fantasievolle Neuinterpretation bereits bestehender Technologien, die durch eine Plattformstrategie ein robustes Verteidigungssystem bietet.

Holen Sie sich eine 15-tägige kostenlose Testversion : go.crowdstrike.com/try-falcon-prevent.html

DU:Windows, macOS, Linux

3. ManageEngine Log360 (KOSTENLOSE TESTVERSION)

ManageEngine Log360-Dashboard

ManageEngine Log360 ist ein lokales SIEM, das Daten von mehreren Systemen sammelt und einen Pool von Protokollnachrichten nach Anzeichen eines Angriffs durchsucht. Das Tool implementiert die Reaktion nicht direkt, sondern sendet Benachrichtigungen über Service-Desk-Systeme, um die sofortige Aufmerksamkeit der Systemtechniker zu erregen.

Hauptmerkmale:

  • Durchsucht Websites und Cloud-Plattformen
  • Konsolidiert Protokollformate
  • Bedrohungserkennung
  • Protokollverwaltung

Das Log360-Paket enthält eine Bibliothek von Agenten – einen für jedes Betriebssystem und auch für Cloud-Plattformen, wie z AWS Und Azurblau . Sie installieren die Agenten auf jedem Endpunkt und Cloud-Konto. Anschließend werden alle Protokollmeldungen des Betriebssystems und der Softwarepakete gesammelt. Das Werkzeug bekommt Windows-Ereignisse von Windows-Systemen und Syslog Nachrichten von Linux. Die Agenten können mit mehr als 700 Softwarepaketen interagieren, um Betriebsdaten zu extrahieren.

Die Agenten leiten Protokollmeldungen an eine Zentrale weiter Protokollserver . Dadurch werden alle ankommenden Nachrichten in ein Standardformat umgewandelt. Da die Protokolle standardisiert sind, können sie im Log360 zusammengefasst werden Datenbetrachter und auch in Protokolldateien. Der Protokollserver verwaltet die Protokollspeicherung, rotiert Dateien und speichert sie in einer sinnvollen Verzeichnisstruktur. Dies ist wichtig, da Protokolle für Compliance-Prüfungen zugänglich sein müssen, wenn Sie für einen Datenschutzstandard zertifiziert werden müssen. Das Log360-Paket beinhaltet Compliance-Berichterstattung für HIPAA, PCI DSS, FISMA, SOX, DSGVO und GLBA.

Das Dashboard zeigt Live-Statistiken auf den Protokollnachrichtendurchsatz und die Ergebnisse der Bedrohungserkennungsscans. Die Konsole verfügt über einen Datenviewer, der eingehende Protokollmeldungen anzeigt. Es ist auch möglich, eine Protokolldatei einzuladen. Der Datenviewer umfasst Werkzeuge zur Analyse .

ManageEngine bietet eine Bedrohungsinformationen Feed, der Informationen über Hackerangriffe und Einbruchsereignisse auf der ganzen Welt sammelt. Wenn Sie Informationen über die aktuellen Angriffsstrategien erhalten, erhält die Threat-Hunting-Funktion in Log360 eine bessere Vorstellung davon, wonach sie suchen muss. Das System verarbeitet große Datenmengen, die ständig ergänzt werden, und die Einholung von Anweisungen, wonach zuerst gesucht werden muss, beschleunigt den Bedrohungserkennungsprozess.

Wenn der Bedrohungsjäger in Log360 verdächtige Aktivitäten entdeckt, generiert er eine Warnung. Sie können Warnungen im Dashboard anzeigen, es ist aber auch möglich, sie an Ihr Service-Desk-System weiterzuleiten. Das Tool kann mit arbeiten Verwalten Sie Engine Service Desk Plus , Ja , Und Kayoko . Welche Priorität Log360 in Ihrem Service-Desk-System eingeräumt wird, hängt von der Richtlinie ab, die Sie im Teamverwaltungstool eingerichtet haben. Sie können Log360-Benachrichtigungen an bestimmte Teammitglieder weiterleiten und auch eine Prioritätsbewertung hinzufügen.

Vorteile:

  • Konsolidiert Protokolle aus vielen Quellen
  • Sammelt Syslog, Windows-Ereignisse und Anwendungsprotokolle
  • Leitet Benachrichtigungen über Service-Desk-Systeme weiter
  • Compliance-Berichterstattung

Nachteile:

  • Keine Serversoftware für Linux

Der Server für ManageEngine Log360 wird auf installiert Windows Server . Sie können das Paket mit a bewerten30-tägige kostenlose Testversion.

ManageEngine Log360 Starten Sie die 30-tägige KOSTENLOSE Testversion

Vier. AT&T Cybersecurity USM Anywhere

AT&T Cybersecurity USM Anywhere

Bis vor kurzem hieß dieses Systemsicherheitspaket AlienVault Unified Security Management . AlienVault wurde 2018 von AT&T übernommen und die neuen Eigentümer haben die alte Marke AlienVault eingestellt.

Hauptmerkmale:

  • Cloudbasiert
  • Basierend auf OSSIM
  • Proaktive Systemhärtung

USM überall ist die kostenpflichtige Version des weithin gelobten kostenlosen Open Source AlienVault OSSIM – AT&T hat den Namen AlienVault auf diesem Produkt hinterlassen. OSSIM-Standards für „ Open-Source-Sicherheitsinformationsmanagement “. Es ist ein weit verbreitetes SIEM-Tool und bildet den Kern von USM Anywhere.

Der OSSIM-Bereich von USM Anywhere ist ein Datensammler und Bedrohungsanalysator. Der Dienst durchsucht Protokolldateien und scannt den Netzwerkverkehr auf Anzeichen bösartiger Aktivitäten. Mit USM Anywhere werden die Systemüberwachungsfunktionen von OSSIM durch Hardware und Software erweitert Asset-Erkennung plus Bestandsverwaltung, die den gesamten Prozess einleitet. Das SIEM-System konsolidiert und archiviert Protokollmeldungen und ermöglicht den Zugriff auf diese Datensätze über einen Viewer, der Sortier- und Suchfunktionen umfasst.

USM Anywhere fügt hinzu Schwachstellenanalyse Algorithmen in seine Netzwerk-Scan-Routinen integrieren. Mithilfe der Asset-Management- und Schwachstellen-Scans können Systemmanager auf Konfigurationsschwächen aufmerksam werden, die behoben werden können, um das System zu härten.

Die Systemüberwachung wird von AT&T-Servern in der Cloud gesteuert. Der Dienst ist in der Lage, alle Vermögenswerte eines abonnierten Unternehmens, einschließlich mehrerer Standorte, zu schützen AWS Und Azurblau Cloud-Server.

USM Anywhere ist ein SOAR, da es die Datenerfassung aus Drittquellen, Threat-Intelligence-Feeds, Bedrohungspriorisierung usw. umfasst automatisierte Antworten Dazu gehört die Interaktion mit anderen Diensten, beispielsweise Firewalls. Der Threat-Intelligence-Feed stammt von der Offener Bedrohungsaustausch (OTX) , eine von AlienVault verwaltete, Crowd-bereitgestellte Informationsplattform zu Bedrohungen.

Vorteile:

  • Verfügbar für Mac und Windows
  • Kann Protokolldateien scannen und Schwachstellenbewertungsberichte basierend auf im Netzwerk gescannten Geräten und Anwendungen bereitstellen
  • Das benutzergesteuerte Portal ermöglicht es Kunden, ihre Bedrohungsdaten zu teilen, um das System zu verbessern
  • Nutzt künstliche Intelligenz, um Administratoren bei der Suche nach Bedrohungen zu unterstützen

Nachteile:

  • Wünschenswert wäre eine längere Testphase
  • Ich würde mir mehr Integrationsmöglichkeiten in andere Sicherheitstools wünschen

Hierbei handelt es sich um einen Cloud-Dienst, der Speicherplatz und eine Reporting-Engine sowie Cybersicherheitsdienste umfasst. Im Paket sind Berichtsvorlagen enthalten, die für Datensicherheitsstandards formatiert sind. AT&T Cybersecurity USM Anywhere ist ein Abonnementdienst mit drei Ausgaben: Essentiell , Standard , Und Prämie . Der Hauptunterschied zwischen diesen Plänen liegt in der Datenaufbewahrungsfrist. Der Essentials-Plan umfasst keine automatisierten Mechanismen zur Reaktion auf Vorfälle oder die Interaktion mit Dienstprogrammen von Drittanbietern zur Orchestrierung.

5. Splunk Phantom

Splunk Phantom

Splunk Phantom Ist ein SOAR-System und es ist Teil einer umfassenderen Plattform namens Splunk Security Operations Suite. Eine automatisierte Reaktion auf Vorfälle ist in der Funktionalität von Splunk Phantom enthalten.

Hauptmerkmale:

  • Lokal oder in der Cloud
  • Reaktionsspielbücher
  • Geführte Ursachenanalyse

Im Mittelpunkt des Splunk Phantom-Systems steht das Konzept „ Spielbücher “. Hierbei handelt es sich um automatisierte Arbeitsabläufe, die Prozessketten zur Erkennung von Anomalien erstellen, indem sie eine Auswahl verfügbarer Tools einsetzen. Zu den Arbeitsabläufen gehören bedingte Verzweigungen, die zur Einleitung von Abhilfemaßnahmen führen können. Diese Workflows können manuell gestartet oder so eingestellt werden, dass sie kontinuierlich in einer Schleife ausgeführt werden und nach Problemen suchen.

Der Benutzer kann zusammenbauen benutzerdefinierte Playbooks über einen grafischen Bearbeitungsbildschirm. Der Designer sieht aus wie ein Flussdiagramm-Editor. Jedes Kästchen im Playbook stellt einen Prozess dar. Flows können sich verzweigen und separate Threads erstellen, die gleichzeitig ausgeführt werden.

Reaktionen auf Vorfälle müssen nicht automatisch eingeleitet werden. Das Phantom-System umfasst ein Kollaborationsmodul, das das Vorfallmanagement unterstützt. Dieses Notizenerstellungssystem hilft Teams dabei, die Ergebnisse eines Ermittlungsbuchs zu erkunden.

Anleitung für Phantommissionen ist eine intuitive Anleitung zur Analyse. Dieses System macht Vorschläge für mögliche Erklärungen für Entdeckungen und veranlasst weitere Analysen, um ein mögliches Szenario zu bestätigen oder auszuschließen.

Vorteile:

  • Bietet eine Ursachenanalyse für eine schnellere Behebung
  • Manager können Bedrohungs-Playbooks entwerfen – ideal, um neue Teammitglieder auf den neuesten Stand zu bringen
  • Unterstützt Windows, Linux, macOS und eine Vielzahl anderer Umgebungen
  • Unterstützt eine kostenlose Version – ideal zum Testen

Nachteile:

  • Besser geeignet für Unternehmensnetzwerke

Phantom überwacht Systeme nicht automatisch. Sie benötigen das Hauptsystem von Splunk als Datenquelle. Wenn Sie jedoch nicht für zwei Tools bezahlen möchten, können Sie sich die kostenlose Version von Splunk holen. Es gibt keine kostenlose Version von Splunk Phantom. Splunk und Splunk Phantom können auf installiert werden Windows , Linux , Mac OS , FreeBSD , Solaris 11 , Und AIX .

6. Ich werde gehen

Ich werde gehen

Exabeam ist eine Suite für Sicherheitsoperationen das auf einem SIEM basiert. Der Dienst wird gehostet und Sie erhalten somit auch die Rechenleistung und den Speicherplatz auf den Exabeam-Servern. Das SIEM erfordert die Installation von Datenerfassungsagenten vor Ort. Diese sammeln Protokollnachrichten und laden sie auf den Exabeam-Server hoch. Diese Quelldaten werden zusammengestellt und in der vereinheitlicht Exabeam Data Lake , die die Quelle sowohl für die SIEM- als auch für die Analysefunktionen in der Exabeam-Konsole ist.

Hauptmerkmale:

  • Cloudbasiert
  • Implementiert SOAR
  • Reaktionsspielbücher

Die Sicherheitssuite umfasst a Analyse des Benutzer- und Entitätsverhaltens (UEBA)-Modul, genannt Exabeam Advanced Analytics Dabei handelt es sich um einen KI-basierten maschinellen Lernprozess, der typische Aktivitäten untersucht, um einen Benchmark festzulegen und dann Abweichungen von dieser Norm zu identifizieren.

Vorfallreaktionen können manuell über die Konsole gestartet oder so eingestellt werden, dass sie automatisch über Exabeam ausgeführt werden STEIGEN Mechanismus. Der Ich werde den Incident Responder erklären basiert auf ' Spielbücher “. Hierbei handelt es sich um Workflows, die Aktionen definieren, die bei Erkennung eines bestimmten Ereignisses gestartet werden sollen. Playbooks können auch Handlungsanweisungen für manuelle Reaktionsworkflows erstellen. Der Abschluss jedes Schritts in einem Playbook wird protokolliert ein Audit-Trail für Compliance-Reporting.

Exabeam bietet ein gutes Preis-Leistungs-Verhältnis und hervorragende Closed-Loop-Dienste durch die Kombination der UEBA- und SOAR-Systeme mit dem SIEM – viele Konkurrenzprodukte berechnen für jedes Modul separat.

Da es sich um einen Online-Dienst handelt, müssen Sie sich nicht um die Wartung der Software kümmern. Der Zugriff auf die Konsole erfolgt über jeden Standardbrowser. Exabeam bietet auch an ein Archivierungsdienst Das kann einem Exabeam-Paket hinzugefügt werden, um Protokolldateiarchive zu speichern.

Vorteile:

  • Unterstützt Vorfallreaktionsworkflows, Playbooks und Automatisierung
  • Bietet nützliche Abfragefunktionen zum Filtern großer Datenmengen
  • Kann für Compliance-Berichte und interne Audits für HIPAA, PCI DSS usw. verwendet werden.
  • Bietet Datenarchivierung als Service – ideal für Unternehmen, die ihre Bedrohungsdaten aufzeichnen möchten

Nachteile:

  • Die Benutzeroberfläche könnte verbessert werden – einfacheres Layout, bessere Grafik usw.

Das Exabeam SaaS ist verfügbar unter eine kostenlose Testversion .

7. LogRhythm SIEM

LogRhythm-Dashboard

LogRhythm NextGen SIEM-Plattform stellt Dienstmodule zur Erkennung und Beseitigung von Sicherheitsbedrohungen bereit. Das System umfasst Live-Überwachungstools, die den Benutzern einen zusätzlichen Service bieten und gleichzeitig Informationen sammeln, die in das SIEM eingespeist werden. Diese sind NetMon zur Netzwerküberwachung und SysMon zur Endpunktüberwachung. SysMon sammelt auch Protokollnachrichten, um sie auf den LogRhythm-Server hochzuladen. Der empfangende Protokollserver wird aufgerufen AnalytiX .

Hauptmerkmale:

  • Cloudbasiert
  • Verwendet SOAR
  • Behebungsworkflows

AnalytiX bietet einen Datenviewer mit rudimentären Analysetools wie Suchen und Sortieren. Die letzten beiden Module von LogRhythm SIEM sind DetectX , ein Threat-Hunting-System, und RespondX Das ist ein SOAR. Die automatisierten Incident-Response-Dienste sind in RespondX enthalten. Abonnenten von LogRhythm haben die Möglichkeit, DetectX durch Hinzufügen zu aktualisieren BenutzerXDR , ein System zur Analyse des Benutzer- und Entitätsverhaltens zur Verfeinerung der Anomalieerkennung.

RespondX ist als SOAR in der Lage, mit Tools von Drittanbietern wie Firewalls zu interagieren, um Sperrroutinen zu implementieren. Das zentrale Incident-Response-Modul des SOAR wird aufgerufen SmartResponse-Automatisierung . Dies bietet eine Workflow-Option, die automatisch nach voreingestellten oder benutzerdefinierten Regeln ausgelöst wird.

Vorteile:

  • Verwendet einfache Assistenten zum Einrichten der Protokollsammlung und anderer Sicherheitsaufgaben, was es zu einem einsteigerfreundlicheren Tool macht. Schlanke Benutzeroberfläche, hochgradig anpassbar und optisch ansprechend. Nutzt künstliche Intelligenz und maschinelles Lernen für die Verhaltensanalyse. Erledigt hervorragende Arbeit bei der Verarbeitung von Live-Daten

Nachteile:

  • Würde gerne eine Testversion sehen

LogRhythm ist verfügbar als ein cloudbasierter Dienst . Es kann auch für die Installation vor Ort mit darauf laufender Software erworben werden Windows Server . LogRhythm kann auch als geliefert werden ein Netzwerkgerät .

Auswahl eines Incident-Response-Tools

Eine gute Quelle für Incident-Response-Tools sind SIEM-Anbieter, die ihr Kernprodukt um SOAR-Plattformen erweitert haben. Diese andere Hauptkategorie von Anbietern von Incident-Response-Tools gehören zu den Anbietern von Cybersicherheitsdiensten Dienste zur Angriffsabwehr . Die Techniker dieser Unternehmen haben für ihre Arbeit eigene Tools entwickelt und viele davon werden auch der breiteren Geschäftswelt zugänglich gemacht. Bei der Untersuchung aller Quellen für Sicherheitssoftware haben wir einige sehr gute Optionen identifiziert.

Häufig gestellte Fragen zu Incident-Response-Systemen

Welches ist das am häufigsten verwendete Tool zur Reaktion auf Cloud-Vorfälle?

Der Markt für Incident-Response-Tools wird von SIEM-Systemen dominiert. In den letzten Jahren haben die Anbieter von SIEM-Tools ihre Software in die Cloud verlagert. Diese Tools können die Sicherheit mehrerer Standorte und Cloud-Ressourcen von einem Konto aus überwachen.

Was sind die 7 Schritte zur Reaktion auf Vorfälle?

Die sieben Schritte der Reaktion auf Vorfälle sind:

  1. Vorbereiten
  2. Identifizieren
  3. Enthalten
  4. Ausrotten
  5. Wiederherstellen
  6. Lernen
  7. Testen und wiederholen
^