McAfee SIEM-Rezension und Alternativen
McAfee ist als Hersteller von Antivirensoftware bekannt. Allerdings musste sich das Unternehmen weiterentwickeln und neue IT-Schutzsysteme einführen, um am Markt bestehen zu können. Die McAfee SIEM-Lösung ist kein einzelnes Produkt. Das Hauptelement der McAfee SIEM-Familie heißt McAfee Enterprise Security Manager .
Die vollständige Liste der McAfee SIEM-Komponenten ist:
- McAfee Enterprise Security Manager
- McAfee Event Receiver
- McAfee Advanced Correlation Engine
- McAfee Enterprise Log Manager
- McAfee Enterprise-Protokollsuche
- McAfee Application Data Monitor
- McAfee Direct Attached Storage
- McAfee Global Threat Intelligence
Diese verschiedenen Module leiten Eingabedaten aus mehreren Quellen bis zum Enterprise Security Manager weiter.
Was macht SIEM?
SIEM steht für Sicherheitsinformations- und Ereignismanagement . Es handelt sich um eine Kombination aus zwei Strategien zur Bedrohungserkennung. Hostbasierte Intrusion-Detection-Systeme (HIDS) durchsuchen Protokolldateien nach Anzeichen ungewöhnlicher Aktivitäten. Sicherheitsinformationsmanagement (SIM) ist ein HIDS. Netzwerkbasierte Intrusion Detection Systeme (NIDSs) überwachen den Netzwerkverkehr, um nach Eindringlingen zu suchen. Sicherheitsereignismanagement (SEM) ist eine NIDS-Strategie. SIEM ist die Kombination aus SIM und SEM.
Der Vorteil von SEM besteht darin, dass es mit Live-Daten arbeitet. Allerdings arbeiten Netzwerkmonitore nur an einem Punkt des Netzwerks und überwachen den gesamten vorbeiströmenden Datenverkehr. Wenn der Inhalt jedes reisenden Pakets verschlüsselt ist, muss das SEM-System lediglich mit den Paket-Header-Daten arbeiten. SEM ist nicht in der Lage, Ereignisse an verschiedenen Orten im Netzwerk und auf separaten Geräten zu vergleichen.
SIM kann sehen Aktivitätsmuster geräteübergreifend. SIM-Methoden liefern jedoch bessere Ergebnisse mit mehr Quelldaten. Da die Eingabeinformationen für SIM in Protokolle geschrieben werden, werden die besten SIM-Ergebnisse mit der Zeit erzielt. Ein großes Problem der SIM-Karte besteht darin, dass sie einen Einbruch im Nachhinein erkennt – er erfolgt nicht sofort.
SIEM vereint die Stärken von SIM und SEM . Selbst SIEM ist mit seinen vielfältigen Techniken nicht in der Lage, Eindringlinge zu blockieren. Dies ist die zweite Verteidigungslinie und soll böswillige Aktivitäten abwehren, denen es gelungen ist, die Rand- und Grenzverteidigung zu überwinden.
Über McAfee
McAfee wurde 1987 als gegründet McAfee Associates . Das Unternehmen wurde 2014 zur Intel Security Group und 2017 dann zu McAfee, LLC. McAfee war der erste Hersteller kommerzieller Antivirensoftware und erzielte frühe Erfolge, was das Unternehmen zu einem attraktiven Übernahmeziel machte. Der exzentrische Gründer John McAfee zog sich 1994 aus dem Unternehmen zurück und verkaufte alle seine Anteile. Nach einer Reihe von Übernahmen wurde das Unternehmen aufgekauft Intel im Jahr 2014. McAfee wurde dann im Jahr 2017 wieder in ein unabhängiges Unternehmen ausgegliedert, wobei Intel immer noch einen großen Anteil hält.
Da Hackeraktivitäten immer ausgefeilter wurden, war das herkömmliche Antivirenmodell nicht mehr in der Lage, ein IT-System vollständig zu schützen. Das Konzept des „Einbruchs“ in ein IT-System besteht darin, dass sich ein Hacker Zugang zu einem Netzwerk verschafft und dort eine langfristige Tätigkeit ausübt, die als „Einbruch“ bezeichnet wird. Advanced Persistent Threat (APT) .“
McAfee hat in Software für maschinelles Lernen investiert, die KI-Techniken nutzt, um anomale Aktivitäten zu identifizieren, ohne auf eine Datenbank mit Aktivitätssignaturen zurückgreifen zu müssen.
McAfee Enterprise Security Manager
Der McAfee Enterprise Security Manager (ESM) ist das Hauptmodul von McAfee SIEM, umfasst die Hauptkonsole für das System und verknüpft alle Datenfeeds, die Protokollsammler und Verkehrsüberwachungsgeräte bereitstellen.
Die Hauptansicht der Konsole konzentriert sich auf Ereignisse, es sind jedoch auch Geräteansichten zugänglich. Die Konsole des ESM ermöglicht den Zugriff auf Such- und Analysefunktionen.
McAfee SIEM-Module
Während der Enterprise Security Manager das Herzstück des SIEM-Systems ist, wird ein Großteil der Datenverarbeitungsarbeit außerhalb dieser Einheit durchgeführt.
McAfee Event Receiver
Der McAfee Event Receiver ist ein geteiltes System zur Protokollsammlung. Auf jedem überwachten Gerät befindet sich ein Agent. Es ist in der Lage, gesammelte Daten lokal zu speichern, falls das Netzwerk nicht verfügbar ist. Das zentrale Erfassungssystem kommuniziert mit allen Agenten, um Daten von ihnen zu erhalten.
Der zentrale Controller fungiert als Protokollserver. Die empfangenen Daten werden in ein Standardlayout umformatiert, sodass alle Datensätze zusammen gespeichert werden können. Verwandte Ereignisse werden markiert, damit sie in Zukunft durch analytische Suchen gruppiert werden können. Dies wird als Log-Korrelation bezeichnet.
McAfee Advanced Correlation Engine
Der Erweiterte Korrelations-Engine (ACE) baut auf der Arbeit des Event Receivers auf. Es durchsucht frühere Protokolldatensätze, um festzustellen, ob neu eingereichte Protokollmeldungen zu einem Ereignis gehören, das bereits läuft und durch frühere Meldungen identifiziert wurde.
Der ACE markiert neue Datensätze, sodass sie mit älteren Protokollmeldungen verknüpft werden können. Die identifizierte Nachrichtengruppe verknüpft keine ähnlichen Datensätze. Vielmehr wird ein Regelsystem verwendet, das Indikatoren für dasselbe Ereignis erkennt, das sich durch unterschiedliche Aktionen an verschiedenen Orten manifestiert.
McAfee Enterprise Log Manager
Der Enterprise Log Manager (ELM) ist ein Protokolldateimanager und sein Zweck besteht darin, die obligatorischen Protokolldateiverwaltungsfunktionen bereitzustellen, die von Sicherheitsstandards gefordert werden. Es erstellt Protokolldateien für eingehende Protokollnachrichten, die sowohl als Datenquelle für den Security Event Manager als auch für die Berichterstattung über Datensicherheitsstandards dienen.
Während Standards erfordern, dass Rohprotokolle gespeichert werden und zugänglich sind, ist der Security Event Manager nur an bestimmten Datensätzen interessiert, die ungewöhnliche Aktivitäten hervorheben, sodass einige Protokollmeldungen dupliziert und in anderen Formaten gespeichert werden. ELM kann so konfiguriert werden, dass entweder lokale oder Remote-Speichereinrichtungen verwendet werden. Das ELM ist ein optionales Modul im SIEM-System. Der Enterprise Security Manager kann ohne die Anwesenheit des Enterprise Log Managers funktionieren.
McAfee Enterprise-Protokollsuche
McAfee Enterprise Log Search (ELS) basiert auf Elasticsearch. Es ist eine Komponente des McAfee SIEM-Systems, kann aber auch als eigenständiges Dienstprogramm arbeiten. Diese Suchfunktion kann die von der McAfee Advanced Correlation Engine und dem Enterprise Log Manager erstellten Dateien bearbeiten, Aufzeichnungen von Ereignissen untersuchen und mögliche Einbrüche oder Datendiebstahl identifizieren. Der ELS ist in die Konsole des Enterprise Security Managers integriert und für Ad-hoc-Abfragen und Analysen vorgesehen.
McAfee Application Data Monitor
Der Anwendungsdatenmonitor (ADM) stellt den SEM-Teil von SIEM bereit. Dieses Tool arbeitet mit Live-Daten und überwacht den gesamten Datenverkehr im Netzwerk. Der Monitor ist in der Lage, E-Mails und PDFs zu durchsuchen und nach eingebetteten Trojanern und gefährlichen Programmen zu suchen.
Der Monitor arbeitet auf der Anwendungsebene und ist daher in der Lage, Angriffe zu erkennen, die Hacker auf Pakete aufteilen, in der Hoffnung, herkömmliche Netzwerkmonitore auszutricksen. Der Dienst wird auf einem SPAN-Port betrieben und dupliziert Datenflüsse, anstatt inline zu bleiben. Dadurch wird die Gefahr einer Verzögerung im Netzwerk beseitigt.
Der ADM sucht nicht nur nach eingehenden Angriffsversuchen, sondern durchsucht auch den ausgehenden Datenverkehr nach Datenverlustereignissen und nicht autorisierter Kommunikation. Alle Entdeckungen werden unter Einhaltung der Datenschutzstandards geprüft.
McAfee Direct Attached Storage
McAfee Direct Attached Storage dient dem Enterprise Security Manager und dem Enterprise Log Manager und stellt einen RAID-Controller, gespiegelten Cache und IO-Multipathing bereit.
McAfee Global Threat Intelligence für ESM
Der Global Threat Intelligence (GTI) Feed ist ein zentraler McAfee-Dienst, der alle seine Sicherheitsprodukte unterstützt. Das GTI wird in einem für den Enterprise Security Manager geeigneten Format zur Verfügung gestellt.
McAfee SIEM-Konfigurationsoptionen
Der McAfee Enterprise Security Manager ist in zwei Formaten verfügbar. Der erste ist ein flexibler cloudbasierter Dienst namens ESM Cloud. Dies ist wahrscheinlich die zugänglichere Option, für die sich die meisten Kunden entscheiden werden.
Es gibt eine kostenlose Testversion für ESM Cloud . Bei der Testversion handelt es sich um eine herunterladbare Software, die auf einer VM vor Ort ausgeführt wird, anstatt auf den eigentlichen Cloud-Dienst zuzugreifen. Die reguläre On-Premise-Version des Enterprise Security Managers ist eine Appliance. Potenzielle Kunden, die dieses System testen möchten, sollten auch die als Testversion angebotene Virtual-Appliance-Version für ESM Cloud herunterladen.
Armaturenbrett
Der Zugriff auf die Konsole des ESM erfolgt über ein Standard-Webbrowser egal, ob es als Cloud-Dienst oder als Appliance bereitgestellt wird. Die Bildschirme des Dienstes nehmen die gesamte Breite des Browserfensters ein und reservieren keinen Platz für ein Menü. Das Menü wird bei Bedarf per Knopfdruck in der Titelleiste jedes Bildschirms von links eingeblendet.
Der Hauptbildschirm des Systems zeigt eine Liste der letzten Ereignisse. Zu den weiteren Optionen, auf die über das Hauptmenü zugegriffen werden kann, gehören ein Protokolldatei-Explorer und der Elasticsearch Dienstprogramm, das Protokolldateien bearbeitet.
Ohne das Menü ist es möglich, den linken Bereich des Hauptbildschirms zu sehen, der alle überwachten Geräte auflistet. Eine kleine Flagge an einem der Einträge in dieser Liste zeigt an, dass an diesem Ort ein Ereignis erkannt wurde oder dass Maßnahmen ergriffen werden müssen, um die Einstellungen oder Ressourcen für dieses Gerät zu überprüfen.
Wenn Sie auf das markierte Gerät klicken, wird ein Feld mit Schaltflächen angezeigt, die Zugriff auf Funktionen innerhalb des ESM ermöglichen, mit denen die für dieses Gerät angezeigte Warnung behoben werden kann.
Alternativen zu McAfee SIEM
McAfee SIEM ist eines der besten SIEM-Produkte auf dem Markt. Es integriert Virenerkennung und blockiert Malware-Downloadversuche sowie die Suche nach unbefugten menschlichen Aktivitäten. Der Service umfasst die Verhinderung von Datenverlust und verdächtiger ausgehender Kommunikation. Der von den zentralen Labors von McAfee bereitgestellte Bedrohungsdaten-Feed ist einer der angesehensten der Welt.
Weitere Informationen zu SIEM-Systemen und den besten derzeit auf dem Markt verfügbaren Diensten finden Sie in die besten SIEM-Tools Post. Wenn Sie jedoch keinen weiteren Artikel über SIEM lesen möchten, können Sie sich eine kurze Beschreibung anderer SIEM-Systeme ansehen, die einen Versuch wert sind.
Hier ist unsere Liste der 10 besten McAfee SIEM-Alternativen:
- SolarWinds Security Event Manager (KOSTENLOSE TESTVERSION) Dieses Tool kombiniert Protokollquellen und Live-Dateneingaben, um Anomalien zu erkennen. Das Produkt ist Teil einer Suite von Infrastrukturüberwachungstools von SolarWinds. Diese Software wird auf Windows Server installiert. Laden Sie eine 30-tägige kostenlose Testversion herunter.
- CrowdStrike Falcon Insight (KOSTENLOSE TESTVERSION)Eine Kombination aus einem cloudbasierten SIEM und Modulen zur Endpunkterkennung und -reaktion, die auf jedem Gerät installiert sind. Dieses System erhält einen Intelligenz-Feed, um die Bedrohungssuche durch Protokollaufzeichnungen und Aktivitätsberichte zu verbessern, und die EDR-Einheiten implementieren Verhaltensanalysen von Benutzern und Entitäten, um Anomalien zu erkennen und Zero-Day-Angriffe zu blockieren. Starten Sie eine 15-tägige kostenlose Testversion.
- ManageEngine EventLog Analyzer (KOSTENLOSE TESTVERSION) Ein teilweises SIEM, das SIM-Funktionen bietet, die mit dem gekoppelt werden könnenLog360Tool, um einen Feed mit Live-Netzwerkdaten zu erhalten, um ein vollständiges SIEM zu erstellen. Es lässt sich unter Windows und Linux installieren. Starten Sie die kostenlose 30-Tage-Testversion.
- Datadog-Sicherheitsüberwachung Ein cloudbasierter Dienst, der die Installation von Agenten vor Ort erfordert. Der Sicherheitsüberwachungsprotokollmanager und SIEM, ein Modul eines Systemüberwachungspakets mit Warnungen.
- Fortinet FortiSIEM Ein umfassendes cloudbasiertes SIEM-System, das die Installation von Agenten vor Ort erfordert. Es umfasst automatisierte Reaktionsmaßnahmen, um erkannte schädliche Aktivitäten zu unterbinden.
- Rapid7 InsightIDR Ein cloudbasierter Sicherheitsdienst, der Agenten auf jedem geschützten Endpunkt bereitstellt. Die Agenten gewährleisten die Kontinuität des Schutzes, falls das Netzwerk nicht verfügbar sein sollte. Dieser Dienst integriert einen automatisierten Antwortmechanismus.
- OSSEC Ein kostenloses, hostbasiertes Open-Source-Intrusion-Detection-System. Es deckt nur den SIM-Teil von SIEM ab, kann aber erweitert werden, um Live-Netzwerkdaten abzudecken, indem ein Live-Feed durch Dateien geleitet wird. Es lässt sich unter Windows, macOS, Linux und Unix installieren.
- LogRhythm NextGen SIEM-Plattform Als Eingabe werden Live-Verkehrsstatistiken und Protokollmeldungen verwendet. Es wendet KI-basiertes maschinelles Lernen an, um Fehlalarme zu reduzieren. Es verfügt über ausgezeichnete Benutzerhandbücher. Dieses Softwarepaket wird unter Windows und Linux installiert.
- AT&T Cybersecurity AlienVault Unified Security Management Ein hoch angesehenes und umfassendes, unabhängig entwickeltes Sicherheitssystem, das jetzt ein Vermögenswert von AT&T ist. Es läuft unter Windows und macOS.
- Splunk Enterprise Security Es kombiniert Netzwerküberwachung und Protokollverwaltung, um ein SIEM-Tool mit Dienstprogrammen zur Datenanalyse bereitzustellen. Lokale Softwareinstallationen unter Windows und Linux.
Häufig gestellte Fragen zu McAfee SIEM
Wie lange werden Rohprotokolle in McAfee SIEM gespeichert?
Der Datenaufbewahrungszeitraum für Rohprotokolldaten in McAfee SIEM liegt bei Ihnen. Die Aufbewahrungsdauer unkomprimierter Protokolle kann 365 Tage, 90 Tage oder 30 Tage betragen und hat großen Einfluss auf den Preis, den Sie für den Service zahlen.
Wie fügt man eine Datenquelle in McAfee SIEM hinzu?
Um eine Datenquelle zum McAfee SIEM-System hinzuzufügen, müssen Sie das Dashboard für den Enterprise Security Manager (ESM) öffnen. Sie müssen einen Ereignisempfänger einrichten und ihn dann konfigurieren. Der Zugriff auf dieses Setup-System erfolgt über eine Schaltfläche im Armaturenbrett, die wie ein kreisförmiger Pfeil aussieht, der in die Mitte zeigt. Dies ist das Symbol „Ereignisse und Flüsse abrufen“. Sobald Sie dieses System betreten, wird der Prozess des Hinzufügens einer Datenquelle und des Herunterladens eines Kollektors geführt.
Wie führen Sie eine Paketerfassung in McAfee SIEM durch?
McAfee SIEM verfügt über kein natives Tool zur Paketerfassung. Stattdessen müssen Sie eine ausstellen tcpdump Befehl in einer Terminalsitzung ausführen und die Ausgabe in eine Datei umleiten.