SIEM工具出现了短缺
经过10年的市场上,产品应在报表,可用性和高级关联功能会更好
我们部署的所有SIEM(安全信息与事件管理)产品在现场,生产环境,他们跑在数月的时间。我们既可通过图形的深度印象深刻的一些这些工具,并通过他们仍然需要走多远受挫。
“你要审查你的记录!”
虽然它并没有确切地写在摩西的石板上,但它是一个存在于几乎所有it标准、审计方法和联邦法规中的诫命,一个it机构必须记录它已经遵循了。在法规遵从性表单上勾选特定的复选框将迫使它承认其系统和应用正在生成事件日志,它正在保存数据,并且正在进行检查。
我们是如何测试SIEM产品的
在现实中,大多数IT人员做轮到他们的日志在某个时间点 - 通常经过一些糟糕的事情。但是,监视它们24/7?所有参赛作品?每一周的每一天的每一分钟?不。除非你当然已经部署了安全信息和事件管理(SIEM)平台。在这种情况下,列举出“是”复选框,可能是有点接近真理。从分布的点A,B和C到集中点C SIEM平台有助于让记录和事件数据,帮助存储,监视它,报告它,清除它在时机成熟时,最终 - 这样的间距老话 - 提供态势感知需要有效地管理IT运营风险。
但他们能做到吗?
总之一句话:有点。这是一个拥挤的市场充满了玩家,让许多承诺。不幸的是,他们没有完全在这个时间点提供全包。目前,我们跟踪了十几个厂商的SIEM空间放置要求,我们邀请其中的一个子集来参加我们的测试。检查点,EIQ网络,高塔,Q1 Labs的,NetIQ和TriGeo所有人都同意参与,而ArcSight思科和RSA所有下滑的原因,众说纷纭。(比较产品。)
我们部署的所有产品在现场,生产环境,他们跑在数月的时间。我们既可通过图形的深度印象深刻的一些这些工具,并通过他们仍然需要走多远受挫。用户界面是笨重的,报告不完整,数据解析问题仍然存在,当它来到试图找出到底什么是怎么回事我们视窗环境中,大多数的产品给我们留下挠头。(有人可能会说,然而,这是尽可能多微软的都是别人的错。)
我们发现从Q1 Labs的,高塔和TriGeo产品一贯是最有用的。最终Q1 Labs公司的QRadar勉强技高一筹。虽然它的用户界面还可以使用一些工作,它是SIEM工具瑞士军刀我们测试。它执行了所有我们的测试所需要的相当好任务。
与点头得分最高的产品,说实话,如果我们可以采取高塔的用户界面,与NetIQ的事件管理器网格工具结合起来,抓住TriGeo与Splunk的集成日志聚合,和拉在Q1 Labs的关联引擎,我们随后将有一个产品的一个赫克。在目前的形式,但是,这些产品依然表现出很大的改进空间。
然而,选择合适的SIEM产品几乎完全基于使用情况的组织正试图实现。例如,如果你是一个中型企业没有一个专门的团队安全分析师,您的需求和成本的敏感度将是一个大的多国公司的有很大不同。你很可能会要求出的现成功能的健康的量,同时大量定制可能是没有提上议程。
同样地,如果你部署一个SIEM工具最主要的原因是可以点击“是的”我评论日志审计复选框和你没有看花很多时间在票务、工作流和先进的相关逻辑,你的需求不会与一个全功能的安全操作中心(SOC)。一些组织可能需要票务和工作流系统来将事件数据剪切粘贴到事件“包”中,而其他组织可能只需要显示一组指标和漂亮图表的报告。也许数据的那一天会到来存储例如,用户界面、监控、事件减少、票务、可视化和报告机制都是相对全面的,但今天的产品在这些特性的覆盖范围上仍然存在很大差异。
如果你是一个中小型企业,很难击败TriGeo和High Tower的易于部署、易于使用、价格简单、功能丰富的产品。TriGeo有一个更好的特别查询机制,High Tower精心设计的用户界面使使用它的用户体验更加愉快。
NetIQ公司的安全管理将是已经使用的NetIQ公司的AppManager产品在房子的IT运营方面更大的客户的吸引力。其模块化的方法允许双方可扩展性和部署定制。它,然而,一个有点野兽的部署。而基于NetIQ的每台服务器的定价模式,较大的环境中,你越会支付。
EIQ的SecureVue为中型企业一套好的特点,已是真正有用的可视化组件,并提供收集设备的配置信息变更控制监控目的一个非常有用的功能。它的用户界面,事件还原能力和报告功能可以全部使用了一些工作,但是,它真的很贵。
CheckPoint的产品是一个相对较新的进入者,毫无疑问,它将成为现有的CheckPoint客户的候选产品,但是缺少一些在成熟产品中可以找到的特性,比如资产加权和跨设备报告。
一个发展的空间
在SIEM空间工具是不是IT标准的新。基本的日志分析和预警已经存在了几十年,并且很多人认为,从公司,如第一个商业SIEM产品NetForensics,Intellitactics和电子安全(现Novell公司)于20世纪90年代末上市。然而,即使十年之后,这些产品也绝不是完全成熟的。
回顾这些产品的历史,您会发现许多产品一开始只使用很少的组件。一些报告引擎没有任何实时用户界面。另一些则有实时用户界面,但没有事件减少引擎。只有更多的支持防火墙和IDSs,而其他的则专注于以操作系统为中心的事件。
今天,产品已经发展到包含通用组件,而不考虑产品的传统。这些组件包括数据获取机制、数据存储和归档系统、事件解析和规范化机制、报告机制、查询机制,通常还有一些实时分析模块。列表完成后,我们的测试表明,这些模块在不同产品之间的成熟度差异很大,预先得到警告的买家会考虑哪些特性对他们的组织最重要。(看到相关的故事。)
从数据获取机制开始,所有产品都(至少)提供了一个syslog侦听器来接收传入事件。但是,syslog侦听器和解析传入事件流的伴随机制的成熟度差异很大。例如,NetIQ的产品在接收Windows事件的方式上是不灵活的,它收集系统slog数据的机制是非常绿色的。我们必须将用于Cisco ASA设备的NetIQ侦听器放在一个系统上,将用于Snort IDS的另一个NetIQ侦听器放在另一个系统上,因为侦听器无法处理来自多种设备类型的数据流。如果网络包含数十种基于syslog的设备类型,那么这种方法将会造成一场噩梦。NetIQ表示,他们将在今年晚些时候发布的下一个版本中解决这个问题。
相比之下,更成熟的听众和解析器从检查站,高塔和Q1实验室允许你简单点你的设备,任何设备,设备和SIEM平台将自动接受提要,识别的格式,并找出哪些事件来自哪个设备的类型(例如,syslog-based事件从思科ASA防火墙与Linux主机)。如果您恰好已经有了一个集中的syslog实现,那么这将非常有帮助,因为您可以使用类似syslog下一代的东西“中继”所有入站syslog消息。“欺骗源”配置指令。但是,即使没有集中的syslog实现,也可以将所有设备指向一个syslog目的地,这有助于简化设备部署。
这些产品的其他数据采集功能包括协议,如Checkpoint的OPSEC LEA支持,数据库刮产品从机制建立安全厂商如国际空间站和迈克菲,并且可以在主机上运行,以获得基于非系统日志事件数据一样,在漏洞扫描数据和Windows事件日志中发现的专有代理。从Q1实验室和EIQ该产品支持的安全设备和平台的种类最多的开箱即用,但企业希望他们编制SIEM评估短名单时,自己搜集的兼容性要求。
我们测试的所有SIEM产品也提供了数据存储机制。大多数都有通用的关系数据库,如Microsoft SQL Server或神谕但是,使用简化的、专有的数据库来存储大容量事件的趋势越来越明显。令人信服的理由是,人们不需要现代关系数据库的所有特性,所以为了提高性能,最好是精简和专门构建。例如,Q1 Labs使用专有数据库,而High Tower使用嵌入式MySQL部署,NetIQ使用MS SQL和平面文件的组合。我们猜测,专有方法在大规模部署中最有可能胜出,但时间会告诉我们答案。
另一个需要考虑的数据存储问题是大小。就在几年前,将1tb或更多tb打包到单个设备上是一个巨大的挑战,但是随着平均处理器能力的提高、存储成本的降低以及向优化的数据库迁移,tb数据存储在SIEM中更加常见。虽然我们的测试没有推动任何数据库超过512GB,但很明显,您放入的数据越多,查询时间就可能越长。但是查询时间也是特定于产品的。例如,我们使用High Tower的产品来搜索文本字符串的一些特别查询花费了几分钟时间才返回到Q1 Labs的产品中。高塔公司承认这是一个已知的问题,并声称将在今年夏天解决它。
随着现代硬件大多数组织将不会看到数据的1TB下一个巨大的性能问题。然而,对于这些组织通过吸引大型数据集或复杂的查询负载的诱惑,我们强烈建议着手进行更高级的则是我们在本次测试已经完成,并作出任何购买承诺之前,最好执行它们的性能测试。
除了在数据库后端存储规范化事件外,大多数产品还提供了存储未修改日志条目副本的选项。一些供应商甚至提供了一种哈希机制来帮助处理证据可采性问题。我们一直无法找到一个例子基于证据的情况直接拒绝完全基于缺乏一个散列(没有一个供应商我们问能举一个例子,),但它是一个功能的一些组织仍在谈论可能SIEM要求。考虑到所有其他对于满足组织需求至关重要的特性领域,这并不是我们测试的首要任务,但是我们不是律师,所以您需要咨询法律顾问来解决这个问题。
最后,几乎所有的产品有一个某种类型的报告和分析引擎——从非常基本的报告中发现的高塔第一季度产品自定义报告引擎实验室更独特特性TriGeo日志的集成聚合工具Splunk QlikView和商业智能分析工具。在本文后面,我们将更深入地探讨报告和与之相关的其他功能——取证工具和实时分析措施。
部署的现实
对于任何技术,安装问题都可能是一个潜在的头疼问题,但在SIEM世界中,有一些场景确实加剧了这种痛苦。交付模型(软件vs.设备)确实有区别。我们的高塔部署——一个设备——大约20分钟后就出现了。High Tower拥有最简单的安装流程,Q1 Labs、TriGeo和eIQ紧随其后。设备交付模型可能适用于大多数SIEM部署,我们测试的所有产品(NetIQ除外)都带有设备选项。由于它依赖于大量必须预先安装的软件,所以NetIQ在最专横的安装过程中占得先机也就不足为奇了;在你开始安装NetIQ之前,仅仅是把令人眼花缭乱的微软组件组装起来就需要花费一天的时间。