7 beste SIEM der nächsten Generation – Aktualisiert 2022
Ein SIEM untersucht Protokolldaten, um verdächtige Aktivitäten zu identifizieren. Das SIEM der nächsten Generation bezieht externe Daten und nutzt die Erfahrungen anderer IT-Systeme, um neue Angriffsvektoren zu erkennen, sobald sie mit der Einführung beginnen.
SIEMs der nächsten Generation Nutzen Sie maschinelles Lernen und andere KI-basierte Techniken, um die Erkennungszeit für böswillige Aktivitäten zu verkürzen. Das nennt man Benutzer- und Entitätsverhaltensanalyse (UEBA) . Dabei werden alle Aktivitäten auf einem System überwacht, um herauszufinden, was als „normales Verhalten“ gilt. Abweichungen von diesem Standard lösen Alarm aus. Die Strategie nutzt eine Triage-Methode, um sich auf potenzielle Bedrohungen für eine tiefergehende Verfolgung zu konzentrieren. Integrierte Verbesserungen der Erkennungsmethoden beschleunigen die erste Identifizierung von ein Zero-Day-Angriff . Diese Bedrohungsinformationen werden sofort in den Threat-Intelligence-Pool hochgeladen und von anderen SIEMs der nächsten Generation auf der ganzen Welt heruntergeladen, um sofortige Maßnahmen zu ermöglichen.
Hier ist unsere Liste der sieben besten SIEMs der nächsten Generation:
- ManageEngine Log360 EDITOR'S CHOICE Dieses lokale Paket integriert einen Threat-Intelligence-Feed, der diesem effektiven Bedrohungserkennungssystem Funktionen der nächsten Generation hinzufügt. Läuft auf Windows Server. Starten Sie eine 30-tägige kostenlose Testversion.
- Logpoint (KOSTENLOSE DEMO ERHALTEN) Ein cloudbasiertes SIEM für die gemessene Protokollverarbeitung mit UEBA und einem CTI-Feed. Greifen Sie auf die kostenlose Demo zu.
- Ich werde gehen Dadurch wurde das SIEM-System durch das intern entwickelte UEBA und die Übernahme von SkyFormation erweitert, das Sicherheitsereignisdaten von Drittanbietern von Cloud-Plattformen sammelt und daraus ein CTI erstellt. Dies ist ein cloudbasierter Dienst.
- LogRhythm Dieses seit 2003 führende SIEM-System ist in die Cloud verlagert und auf die nächste Generation umgestiegen. Sie können dieses SIEM auch als Appliance oder als Software zur Installation auf Windows Server erhalten.
- Rapid7 Insight-Plattform Diese als XDR klassifizierte Cloud-Plattform verfügt über alle Elemente eines SIEM der nächsten Generation.
- FireEye-Helix Eine Sicherheitsbetriebsplattform, die SIEM, UEBA und Threat Intelligence umfasst. Hierbei handelt es sich um ein cloudbasiertes System.
- LogSentinel Dieses cloudbasierte SIEM der nächsten Generation ist einer der kleineren Anbieter auf dem Markt und legt großen Wert auf die Einhaltung von Standards.
Nachdem wir bereits die Realitäten der Entwicklung und Vermarktung eines SIEM der nächsten Generation kennengelernt haben, sollte es nicht überraschen, dass die besten SIEMs der nächsten Generation alle Produkte dieser großen Cybersicherheitsmarken sind. Cloudbasierte SIEMs bieten die schnellste Verteilung von Bedrohungsinformationen und berücksichtigen außerdem die Serverzeit, die für die Verarbeitung großer Mengen an Protokolldaten erforderlich ist.
Die besten SIEMs der nächsten Generation
Ein gutes SIEM der nächsten Generation zu bekommen ist eine zeitaufwändige Aufgabe. Die Schlüsselelemente, die ein SIEM zur „nächsten Generation“ machen, sind sein Threat-Intelligence-Pool und UEBA. Doch woher wissen Sie, ob jede Implementierung gut ist? Jedes Softwareunternehmen kann ein zentrales Benachrichtigungssystem einrichten, seine Leistungsfähigkeit hängt jedoch vollständig von der Zugänglichkeit des Dienstes und der Größe seiner beitragenden Community ab.
Obwohl es herstellerneutrale offene Standards dafür gibt Cyber Threat Intelligence (CTI) Nicht-proprietäre Datenbanken haben es schwer, in Gang zu kommen. Die großen SIEM-Anbieter stellen sicher, dass sie eine CTI für ihre NextGen-Tools bereitstellen und codieren den CTI-Zugriff mehr oder weniger fest in ihren Dienst. Die CTI-Auswahl ist also ein wenig trivial und bedeutet, dass die großen Player in der Cybersicherheitsbranche unterm Strich die Nase vorn haben.
Wenn Sie keine Zeit haben, das Ganze vollständig zu recherchieren SIEM der nächsten Generation Entscheiden Sie sich im Sektor für die großen Namen, die aus grundsoliden SIEMs hervorgegangen sind. Die etablierten Anbieter von Sicherheitssoftware haben sehr große Budgets in die Entwicklung von UEBA investiert. Obwohl große Technologiesprünge oft von innovativen Marktteilnehmern vorangetrieben werden, erforderte die Entwicklung von UEBA viel Geld, und nur die großen, etablierten Marken konnten sich diesen Aufwand leisten.
1. ManageEngine Log360 (KOSTENLOSE TESTVERSION)
ManageEngine Log360 ist ein lokales System, das Protokollerfassung und -konsolidierung, Bedrohungssuche und Bedrohungsbenachrichtigung durchführt. Das System erhält einen Threat-Intelligence-Feed von ManageEngine, was es zu einem SIEM der nächsten Generation macht.
Der Threat-Intelligence-Feed wird aus der ganzen Welt gesammelt. Jede neue Hacker-Kampagne, die auftaucht, wird dem zentralen Pool gemeldet und ManageEngine packt diese in eine Reihe von Indikatoren und sendet sie an alle Instanzen von Log360, die weltweit ausgeführt werden.
Der Threat-Intelligence-Feed erstellt priorisierte Suchen. SIEM-Systeme müssen ständig Datenmengen durchsuchen, und diese Aufgabe braucht Zeit. Bevor alle Daten untersucht werden, gehen neue Datensätze ein – sie werden gesichert. Die Konzentration auf wahrscheinliche Angriffsmuster beschleunigt die Bedrohungssuche. Dies erhöht die Chancen, einen Eindringling zu identifizieren, bevor es zu Schäden oder Datendiebstahl kommt.
Die Datensätze, die das SIEM sortiert, werden von Agentenprogrammen gesammelt, die im Paket von Log360 enthalten sind. Es gibt Agenten, die auf allen gängigen Betriebssystemen laufen. Es gibt auch Agenten für Cloud-Plattformen, darunter AWS, Azure und Salesforce.
Zu den Protokolldatensätzen gehören Betriebssystemprotokolle in den Formaten „Windows-Ereignisse“ und „Syslog“ sowie Daten, die aus Software von Drittanbietern extrahiert werden. Die Agenten können mit mehr als 700 Anwendungen kommunizieren.
Die Agenten senden gesammelte Protokollnachrichten an den Server, wo sie in ein neutrales Format konvertiert werden, sodass sie gemeinsam durchsucht und gespeichert werden können. Das Speichern von Protokolldaten für die Prüfung ist eine Anforderung vieler Datensicherheitsstandards und das Log360-Paket bietet Compliance-Berichte für HIPAA, PCI DSS, FISMA, SOX, DSGVO und GLBA.
ManageEngine Log360 läuft weiter Windows Server und es ist für a verfügbar30-tägige kostenlose Testversion.
ManageEngine Log360 Starten Sie die 30-tägige KOSTENLOSE Testversion
zwei. Logpoint (Zugang zur kostenlosen Demo)
Logpoint ist nicht so weit verbreitet wie die Top-Produkte in unserer Liste. Wenn der monatliche Abonnementpreis von Rapid 7 InsightIDR jedoch weit außerhalb Ihrer Liga liegt oder Sie ein kleines oder mittleres Unternehmen mit relativ geringem Protokolldatenvolumen sind, dann ist dies der Fall der dosierte Tarif von LogPoint dürfte Sie interessieren.
Logpoint ist sich bewusst, dass viele Unternehmen mit geringem Datenverarbeitungsvolumen kein Interesse an einem Pauschalabonnementpreis für ihr Unternehmen haben werden SIEM der nächsten Generation . Allerdings wird dieses SIEM-System von einigen sehr großen Unternehmen eingesetzt, darunter Boeing und Airbus.
Die Preisstruktur von Logpoint wird anhand einer Kombination von Durchsatzindikatoren berechnet. Dies sind die Anzahl der Ereignisse pro Sekunde (EPS) und die pro Tag verarbeitete Datenmenge in Gigabyte. Das Unternehmen veröffentlicht seine Tarife für diese Faktoren nicht. Stattdessen müssen Sie sie für ein Angebot kontaktieren.
Das Logpoint SIEM wurde integriert UEBA Die Bedrohungssuche basiert auf Bedrohungsinformationen, die aus Vorfällen aller Kunden gesammelt werden. LogPoint erleichtert mehr als die anderen Dienste auf dieser Liste manuelle Untersuchungen sowie die Implementierung automatisierter Erkennungsprozesse.
In das LogPoint-System sind automatisierte Antworten integriert und der Service umfasst „ Integrationen ”, die es ihm ermöglichen, mit anderen Sicherheitsprodukten sowohl für den Datenaustausch als auch für Maßnahmen zur Bedrohungsabwehr zu kommunizieren. Sie können eine Demo buchen, um einen Blick auf die Funktionsweise von Logpoint zu werfen.
Logpoint Registrieren Sie sich für eine KOSTENLOSE Demo
3. Ich werde gehen
Ich werde gehen produziert seit 2013 SIEM-Systeme. Damit gehört das Unternehmen nicht zu den ältesten Unternehmen der Branche. Diese Geschichte war jedoch lang genug, um zum Zeitpunkt der Entstehung der NextGen-Bewegung einen beträchtlichen Kundenstamm zu haben. Die Spezialisierung des Unternehmens auf SIEM gab ihm auch einen Fokus, der es ihm ermöglichte, seine Investitionen auf Schwellenländer zu konzentrieren Nächste Generation Einrichtungen.
Das Exabeam-System ist eine Cloud-Plattform – wie alle anderen Produkte auf unserer Liste – was die Bereitstellung viel einfacher macht als bei On-Premises-Systemen. Kunden müssen sich keine Gedanken darüber machen, die Software auf dem neuesten Stand zu halten Upgrades erfolgen automatisch hinter den Kulissen, durchgeführt von Exabeam-Technikern.
Obwohl es sich streng genommen nicht um einen verwalteten Dienst handelt, ist die Kombination aus Betriebspersonal, das die Software und die Server, auf denen sie läuft, wartet, fachkundiger Support-Beratung auf Abruf usw. erforderlich automatisierte Prozesse Die Integration in die Software bedeutet, dass Sie kein Fachwissen vor Ort benötigen, um ein voll funktionsfähiges SIEM-System zu erhalten, das Ihr Netzwerk schützt.
Da es sich um ein cloudbasiertes System handelt, besteht der größte Leistungsengpass bei Exabeam darin Ihre Internetverbindung . Alle von Ihrem System generierten Protokollmeldungen müssen auf den Exabeam-Server hochgeladen werden. Für große Betriebe kann das bedeuten einen hohen Datendurchsatz . Heutzutage sind die meisten Geschäftsabläufe jedoch stark von der Internetkonnektivität abhängig. Daher ist die Aufrechterhaltung Ihrer Internetverbindung mit ausreichender Kapazität wahrscheinlich bereits eine Servicepriorität für Ihr IT-Team.
Daten-Uploads werden von einem Agentenprogramm vor Ort verwaltet, Übertragungen ebenfalls durch Verschlüsselung geschützt . Auf dem Server empfängt, konsolidiert und indiziert das Exabeam-System alle Protokollmeldungen Durchsatzstatistiken im System-Dashboard verfügbar und stellt Live-Bedrohungsdaten zusammen, während Protokollmeldungen den Cloud-basierten Protokollserver durchlaufen.
Exabeam verwendet UEBA Daher fällt die Bewertung der Basisaktivität für jeden Kunden unterschiedlich aus. Darüber hinaus ist das Unternehmen in der Lage, eine eigene Datenbank mit Warnzeichen zusammenzustellen, indem es die Erfahrungen aller seiner Kunden bündelt. Im Jahr 2019 kaufte Exabeam ein Unternehmen namens SkyFormation . Dieses Unternehmen erhält Erfahrung in der Bedrohungserkennung von 30 Cloud-Plattformen von Drittanbietern und nutzt diese, um eine zu erstellen CTI-Datenbank . Die SkyFormation-Bedrohungsinformationen ergänzen die von Exabeam zusammengestellten Bedrohungsindikatoren. Dieser große CTI-Pool macht das Bedrohungsjagd Die Funktionen von Exabeam sind sehr leistungsstark.
Die schnelle Verarbeitungsleistung und die große Kapazität der Exabeam-Server machen das Durchsuchen großer Protokolldatenmengen sehr einfach. Der Dienst wird bereitgestellt Triage Im Rahmen seiner Threat-Hunting-Strategie vergleicht das Unternehmen Angriffsindikatoren mit seiner etablierten Aktivitätsbasislinie für diesen Kunden, die ständig angepasst wird maschinenorientiert . Wenn ein wahrscheinlicher Ausgangspunkt einer Bedrohung identifiziert wird, handelt es sich um diesen Vorfall im Dashboard angezeigt und die gezielte Aktivitätsverfolgung von Exabeam setzt ein und sucht nach der nächsten bekannten Aktion eines typischen Angriffs, der mit dem erkannten Vorfall beginnt. Wenn dieser Folgeschritt erkannt wird, wird er auch im angezeigt Bedrohungserkennung Bildschirm im Dashboard und die Wahrscheinlichkeit eines laufenden Angriffs steigt.
Dieses abgestufte Feedback von Exabeam befasst sich mit einem der großen Probleme der SIEM-Strategie, nämlich dass die Berichterstattung über verwandte Ereignisse, die über Protokollnachrichten gemeldet werden, ein System mit verzögerter Reaktion ist. Es funktioniert weiter historische Daten . Die Threat-Hunting-Funktion von Exabeam bringt diese Erkennungsmethode auf den Punkt fast live .
Exabeam bietet auch an Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) , was es nennt Vorfall-Responder . Dies interagiert mit Active Directory, E-Mail-Servern und Firewalls, um Konten einzufrieren, die scheinbar vorhanden waren kompromittiert oder den Zugriff auf die Kommunikation von verdächtigen IP-Adressen blockieren.
Exabeam verfügt über alle Elemente eines erfolgreichen SIEM, aber seine Ausnahme-Threat-Intelligence-Feed schiebt es unserer Einschätzung nach auf Platz eins.
Ich werde gehen kombiniert die Erfahrung des Exabeam SIEM-Dienstes mit dem innovativen SkyFormation Threat Intelligence Feed. Exabeam-Benutzer profitieren von den Beiträgen anderer Exabeam-Kunden zur Bedrohungserkennung sowie von denen der Benutzergemeinschaft von mehr als 30 anderen Sicherheitsplattformen. Exabeam hat seinen Service von einem lokalen SIEM-System zu einer cloudbasierten Sicherheitsplattform weiterentwickelt, die seinen Kunden eine schnelle Bedrohungserkennung und automatisierte Reaktionen bietet.
Vier. LogRhythm
LogRhythm stellt seit 2003 eine SIEM-Lösung her und verfügt daher über umfassende Fachkenntnisse auf diesem Gebiet. Das System ist jetzt cloudbasiert und bietet alle damit verbundenen Effizienzvorteile. Es hat auch UEBA, CTI und SOAR übernommen, um es zu schaffen ein SIEM der nächsten Generation .
LogRhythm enthält ein eigenes Netzwerküberwachungsmodul, das den von ihm durchgeführten Protokollsuchen zusätzliche Erkennungsstrategien hinzufügt. Bei diesem Dienst handelt es sich um LogRhythm Netzwerkerkennung und -reaktion (NDR) , wendet das System maschinelles Lernen an, um eine Basislinie der erwarteten Verkehrsmuster zu erstellen, wodurch falsch-positive Meldungen reduziert und das Datenvolumen reduziert werden, das zur Verarbeitung auf den LogRhythm-Server hochgeladen werden muss.
LogRhythm nennt seine Plattform der XDR-Stack – XDR steht für Extended Detection and Response. Die Ebenen in diesem Stapel sind:
- AnalytiX – Der Protokollsuchkern des SIEM.
- DetectX – Die Anwendung von Bedrohungsinformationen.
- RespondX – Das SOAR-Element des Systems, das böswillige Aktivitäten unterbindet.
Kunden können nicht nur dieses Paket abonnieren, sondern auch zwei Add-ons zur Leistungssteigerung auswählen. Diese sind:
- Benutzer XDR – Ein UEBA-Modul, das Protokollnachrichten für den Upload vorfiltert.
- MistNet – Ein netzwerkbasiertes Einbruchmeldesystem.
Das Besondere am Service von LogRhythm liegt darin SaaS-Plattform . Sie können das System jedoch auch auf Ihrer Website zum Laufen bringen. Dies ist als Appliance mit vorinstallierter LogRhythm-Software oder als Softwarepaket zum Laden verfügbar Windows Server . Sie können eine Anfrage stellen eine Live-Demo des Cloud-Dienstes.
5. Rapid7 Insight-Plattform
Schnelle 7er Insight-Plattform ist ein cloudbasiertes SIEM. Für diesen Dienst werden viele Begriffe verwendet, was die Verwirrung bei der Kategorisierung von Cyberabwehrdiensten deutlich macht. Das Unternehmen nennt seinen Service IDR, was für steht Intrusion Detection und Response . Es ist auch eine Form von XDR, was für steht Erweiterte Erkennung und Reaktion – ein Dienst, der normalerweise aus EDR hervorgegangen ist, was eine Weiterentwicklung des Antivirenprogramms darstellt und für „ Endpunkterkennung und -reaktion . Im Insight IDR-Paket gibt es ein EDR-Element.
Der Einfachheit halber bleiben wir jedoch bei der SIEM-Klassifizierung. Tatsächlich ist es die Insight-Plattform ein SIEM der nächsten Generation weil es beinhaltet UEBA Und ein Threat-Intelligence-Feed . Die Insight-Plattform umfasst eine Reihe von Modulen, die zusammenpassen. Sie benötigen jedoch nur die InsightIDR Service, wenn Sie nur ein NextGen SIEM wünschen. Der zweitinteressanteste Dienst der Insight-Plattform, den Sie ebenfalls in Betracht ziehen sollten, ist InsightVM , ein Schwachstellenmanager.
InsightIDR verfügt über alle großartigen Funktionen, die Sie von einem NextGen SIEM erwarten. Als Cloud-Dienst bietet er schnelle Rechenleistung für die Protokollverwaltung und speichert die Protokolldaten auch für Sie. Die Protokollmeldungen auf Ihrem System werden auf die Rapid 7-Server hochgeladen ein Konsolidierer bringt sie in ein gemeinsames Format und indiziert sie für eine schnelle Suche.
Der Bedrohungsjagd Der Dienst in InsightIDR wird durch a geändert UEBA Besonderheit. Dadurch werden Fehlalarme vermieden, indem die Erkennung an normales Verhalten angepasst wird. Der Threat-Intelligence-Feed im Tool trägt dazu bei Analyse des Angreiferverhaltens Service. Dadurch werden alle Protokollnachrichten auf Hinweise auf eine Kompromittierung durchsucht.
Ein wirklich netter Zusatzdienst in Insight IDR, den die Hauptkonkurrenten des Dienstes nicht anbieten, ist sein Täuschungstechnologie . Der Dienst kann Fallen und Honeypots für Eindringlinge einrichten, die die Täter zu vollständig überwachten gefälschten Datenspeichern locken und sie so sofort leicht identifizieren.
InsightIDR ist etwas teuer und beginnt bei 2.157 $ pro Monat … ja, PRO MONAT. Dieser Preis bedeutet, dass die 30-tägige kostenlose Testversion von InsightIDR ist ein sehr wertvolles kostenloses Geschenk.
6. FireEye-Helix
Feuerauge ist einer der führenden Anbieter von Cybersicherheitslösungen und sein SIEM-Dienst heißt Helix-Plattform . Die FireEye Helix-Plattform ist ein SIEM-Dienst der nächsten Generation und umfasst: ein Threat-Intelligence-Feed das seine Prozesse zur Bedrohungssuche ständig an sich entwickelnde Angriffsstrategien anpasst. Sowie UEBA , dieser Service beinhaltet seitliche Bewegungserkennung das unlogische oder ungewöhnliche Benutzerkontoaktivitäten verfolgt.
Wie LogPoint ermöglicht Helix ein gewisses Maß an manuellen Eingriffen. Dieses System bietet mehr Möglichkeiten, eigene Playbooks einzurichten und genau anzugeben, wie erkannte Vorfälle verwaltet werden sollen. Das bedeutet, dass Sie Ihre eigenen Präferenzen in die automatisierten Antworten von Helix einfließen lassen können. Die Bildschirme für das Dashboard sind ebenfalls vorhanden anpassbar und es ist möglich, eigene Berichtsformate zu erstellen. Das System umfasst automatische Anpassungs- und Berichtsformate für Einhaltung von Standards .
Der Helix-Service beinhaltet Integrationen Damit können Sie Anpassungen für den Datenaustausch und Schadensbegrenzungsmaßnahmen integrieren, die mit anderen Sicherheitsanwendungen koordiniert werden. Du kannst nehmen eine selbstgeführte Tour der Helix-Plattform.
7. LogSentinel
Wenn Sie mehr über einen neueren, schlankeren SIEM-Anbieter erfahren möchten, der im NextGen-Bereich einen großen Sprung nach vorne gemacht hat, dann sollten Sie darüber nachdenken LogSentinal . Dieser Dienst zeichnet sich durch Protokollverwaltung und schnelle Suchvorgänge aus und bringt seinen SIEM-Dienst an die Spitze des Marktes. Das Unternehmen richtet seine Dienstleistungen gezielt an mittelständische Unternehmen.
Das SaaS-System ist auf die Überwachung der Protokolldateiintegrität spezialisiert und umfasst Folgendes: UEBA und ein Threat-Intelligence-Feed , was es als NextGen SIEM auszeichnet. Zusätzliche Leistungen in diesem Plan sind Phishing-Scans von E-Mails , VPN-Protokolldateischutz und Videokonferenzsicherheit.
Der LogSentinel-Dienst ist nicht auf das Sammeln von Protokolldateien von Ihrer Site beschränkt. Es umfasst auch ein Webanwendungs- und Website-Überwachungssystem, das erkennt Skriptänderungen und Injektionsversuche.
LogSentinal-Angebote eine kostenlose Testversion seines NextGen SIEM und Sie können sie um eine geführte Demo bitten. Es gibt auch eine Version dieses cloudbasierten SIEM für den Einsatz durch Managed Service Provider.