互联网

当前位置/ 首页/ 新闻频道互联网 正文

LogRhythm和Splunk都有很多优惠两者都得到了客户的忠诚支持和行业分析师的优秀评价

SIEM定义: SIEM,其现代工具已经存在了大约十二年,是一种安全管理方法,它将SIM(安全信息管理)和SEM(安全事件管理)功能结合到一个安全管理系统中。SIM收集,分析和报告日志数据; SEM实时分析日志和事件数据,以提供威胁监控,事件关联和事件响应。由于其全天候实时性,SIEM现在已成为大型企业所需的技术。

SIM和SEM功能均可按应用程序分析应用程序和网络硬件生成的安全警报。可以将这两种功能结合起来的安全提供商处于新业务的内部通道中。企业SIEM的主要功能包括从多个来源获取数据; 解释数据; 纳入威胁情报源; 警报关联; 分析; 分析; 自动化; 和潜在威胁的总和。

LogRhythm vs. Splunk:两个值得竞争对手

如果您是IT经理寻求可靠的SIEM软件包,LogRhythm和Splunk都可以提供很多产品。两者都得到了客户的忠诚支持和行业分析师的优秀评价。

尽管如此,虽然LogRhythm为支持团队提供了一致的用户体验,并且不断获得A级评估,但该平台的学习曲线相对陡峭,并且专为经验丰富的安全管理员设计。另一方面,Splunk是高度可定制的,并且一如既往地得到您所支付的费用:一些用户对实施成本感到沮丧。

以下是两个优秀SIEM工具的优缺点的面对面汇编:LogRhythm和Splunk。

LogRhythm SIEM

LogRhythm带来的内容: LogRhythm的SIEM工具集专为中型或大型组织而设计,包含一个用于构建企业级威胁检测和响应系统的全功能平台。LogRhythm的SIEM软件包将所有内容组合到一个所谓的单窗格玻璃控制器中:企业日志管理,安全分析,用户实体和行为分析(UEBA),网络流量和行为分析(NTBA)以及安全自动化和编排。该产品基于机器分析/数据湖技术基础,旨在随每个工作负载进行扩展,并且具有可与企业安全和IT基础架构集成的开放平台。

各种评论中的LogRhythm用户表示,该解决方案最有价值的特性是能够在多个不同的日志源中关联日志。该公司的支持团队也得到好评如潮。

考虑LogRhythm的主要原因:

LogRhythm提供多功能和广泛的SIEM平台,可选择预设配置,适用于多种用例。因此,管理员可以选择最接近他们自己的用例的那个,并在处理安装时对其进行微调。

LogRhythm非常适合寻求包含核心SIEM功能以及互补主机和网络监控功能的包含平台的公司。该产品还适用于需要监控其ICS / SCADA或OT环境安全性或希望合并IT和OT环境的安全事件监控的组织。

LogRhythm包括对网络数据监控的有效支持,具有大量应用程序流签名来解析流数据。

如何部署LogRhythm:

LogRhythm SIEM可作为硬件虚拟设备和软件包提供,具体取决于客户的事件速度(范围内数据源的EPS数量)。部署可以是内部部署,云部署或混合部署。第三方提供商提供完全托管和托管的解决方案。

LogRhythm的定价如何工作:

LogRhythm安全智能平台中其他组件的定价取决于它们各自的指标(例如,数据流的数量)。

接受建议:

请注意,LogRhythm没有像Splunk,IBM和其他人那样的应用商店。

Gartner的研究人员报告称,虽然LogRhythm确实有一个合作伙伴计划来帮助促进定制集成,但LogRhythm的API不太适合第三方合作伙伴。同样,Gartner认为拥有第三方威胁情报源的公司应该首先确认对LogRhythm的支持,因为它支持有限数量的馈送。服务可以添加其他实现,但需要额外付费。

该研究公司还报告称,一些客户对LogRhythm扩展到支持极高事件量环境的能力表示担忧。专家建议,潜在买家应首先验证LogRhythm支持其工作负载用例量的能力。

谁使用它:中型到大型企业

如何部署:订阅云服务,虚拟设备,物理服务器的选项

eWEEK总分:4.7 / 5.0

Splunk安全产品组合

Splunk带来了什么: Splunk的SIEM系统受到高度评价,深受IT经理和开发人员的欢迎。希望能够在SIEM和用例之间共享架构和供应商管理的SIEM解决方案的企业是Splunk的优秀客户。那些寻求具有从基本日志管理到高级分析和响应的全方位选择的可扩展解决方案的人也应该评估Splunk。该公司的安全运营套件由Splunk Enterprise组成,并增加了三个软件包:Splunk Enterprise Security(ES),Splunk用户行为分析(UBA)和Splunk Phantom。

Splunk Enterprise为IT操作和一些安全用例中的各种用途提供事件和数据收集,搜索和可视化。高级ES解决方案提供大多数特定于安全监视的功能,包括特定于安全性的查询,可视化和仪表板,以及一些案例管理,工作流和事件响应功能。

寻求能够跨SIEM和其他IT使用案例共享架构和供应商管理的SIEM解决方案的组织,以及从基本日志管理到高级分析和响应的全方位选择寻求可扩展的解决方案,应该考虑Splunk。

Splunk的安全产品组合连续六年被Gartner Research评为领先技术; 这不是一个微不足道的成就。该平台可帮助客户优化其安全神经中心,并解决各种安全监控和威胁检测用例。

考虑Splunk的主要原因:

Splunk提供全套独特控制的安全事件管理解决方案,使用户能够随着时间的推移成长为平台。这从Core开始,然后添加ES和UBA; Splunk的应用程序商店使用该公司的大型合作伙伴生态系统来提供广泛的集成和特定于Splunk的内容。

Splunk的Security Operations Suite集中运行,具有直观的用户界面。该平台由Splunk Enterprise和三个解决方案组成:Splunk Enterprise Security(ES),Splunk用户行为分析(UBA)和Splunk Phantom。Splunk Enterprise为IT操作和一些安全用例中的各种用途提供事件和数据收集,搜索和可视化。

该供应商在Splunk应用程序市场中拥有强大的技术集成生态系统,尽管与Splunk竞争的其他技术的用户(例如,在用户分析空间中)应该验证集成的深度。

Splunk的高级ES解决方案提供大多数特定于安全监控的功能,包括特定于安全性的查询,可视化和仪表板,以及一些案例管理,工作流和事件响应功能。UBA增加了ML驱动的高级分析。Phantom提供SOAR功能。Splunkbase提供了其他安全用例应用程序。

Splunk的产品为组织提供了多个安全监控入口点,其路径可以从基本事件收集开始,简单的使用案例与Splunk Enterprise一起使用,通过ES实现更丰富的SIEM功能,使用UBA实现更高级的分析,使用Phantom实现SOAR功能。

PII保护功能强大; 在字段级别支持模糊处理和PII屏蔽,并且可以基于用户身份,位置和其他特征来应用模糊处理和PII屏蔽。

如何部署Splunk:

Splunk Cloud是一个使用AWS基础架构的公司托管和运营的SaaS解决方案。Splunk Enterprise和Splunk Cloud组件包括支持n层体系结构的通用转发器,索引器和搜索头。也可用作服务器软件。

Splunk的定价如何运作:

Splunk的许可证基于提取到平台的数据量,以及DNS和NetFlow数据的定价折扣。ES还获得了每天千兆字节的许可,而UBA则通过组织中的用户帐户数量获得许可,并且所有这些都可以作为永久或期限许可提供,具有各种企业级定价和校正的选项。幻影的价格取决于用户采取行动的事件数量。

接受建议:

Splunk不提供该解决方案的设备版本,因此需要本地设备的公司必须与可以在支持的硬件上提供集成的合作伙伴合作。Gartner的客户也对Splunk的许可模式和实施的总体成本表示担忧; Splunk推出了新的许可选项以解决这些问题。

在另一个“你通常得到你付出的代价”的例子中,Splunk通常比其竞争对手更贵。客户和潜在买家倾向于表达对定价模型和总成本的担忧。Phantom的加入以及“神经中枢”概念(单独的SIEM,UBA和SOAR产品)的引入,导致三种定价模型具有不同的测量方法。

Splunk UBA此时是内部部署或客户云计算解决方案,可能会与希望保留SaaS模型的Splunk Cloud客户产生摩擦。

Splunk没有本地代理支持FIM或EDR,尽管有许多第三方解决方案的集成。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。