7 meilleurs SIEM nouvelle génération – Mise à jour 2022
Un SIEM explore les données des journaux pour identifier les activités suspectes. Le SIEM de nouvelle génération s’approvisionne en données externes et exploite l’expérience d’autres systèmes informatiques pour détecter de nouveaux vecteurs d’attaque dès qu’ils commencent à se déployer.
SIEM de nouvelle génération utilisez l'apprentissage automatique et d'autres techniques basées sur l'IA pour réduire le temps de détection des activités malveillantes. C'est appelé Analyse du comportement des utilisateurs et des entités (UEBA) . Celui-ci surveille toutes les activités d'un système pour déterminer ce qui est considéré comme un « comportement normal ». Les écarts par rapport à cette norme déclenchent l’alarme. La stratégie utilise une méthode de tri afin de se concentrer sur les menaces potentielles pour un suivi plus approfondi. Les améliorations intégrées aux méthodes de détection accélèrent la première identification des une attaque zero-day . Ces informations sur les menaces sont immédiatement téléchargées dans le pool de renseignements sur les menaces et téléchargées par d'autres SIEM de nouvelle génération dans le monde pour une action immédiate.
Voici notre liste des sept meilleurs SIEM nouvelle génération :
- CHOIX DE L'ÉDITEUR ManageEngine Log360 Ce package sur site intègre un flux de renseignements sur les menaces, qui ajoute des fonctionnalités de nouvelle génération à ce système efficace de détection des menaces. Fonctionne sur Windows Server. Démarrez un essai gratuit de 30 jours.
- Logpoint (OBTENEZ UNE DÉMO GRATUITE) Un SIEM de traitement des journaux mesurés basé sur le cloud avec UEBA et un flux CTI. Accédez à la démo gratuite.
- je vais partir Cela a amélioré son système SIEM avec l'UEBA développé en interne et l'acquisition de SkyFormation, qui collecte des données d'événements de sécurité tierces à partir de plates-formes cloud et crée un CTI à partir de celles-ci. Il s'agit d'un service basé sur le cloud.
- LogRythme SIEM leader depuis 2003, ce système a migré vers le cloud et est devenu Next-Gen. Vous pouvez également obtenir ce SIEM sous forme d'appliance ou de logiciel pour une installation sur Windows Server.
- Plateforme Rapid7 Insight Classée XDR, cette plateforme cloud possède tous les éléments d'un SIEM de nouvelle génération.
- Hélice FireEye Une plateforme d'opérations de sécurité qui comprend SIEM, UEBA et des renseignements sur les menaces. Il s'agit d'un système basé sur le cloud.
- LogSentinelle L'un des plus petits acteurs du marché, ce SIEM de nouvelle génération basé sur le cloud est solide en matière de conformité aux normes.
Ayant déjà découvert les réalités du développement et de la commercialisation d’un SIEM de nouvelle génération, il n’est pas surprenant que les meilleurs SIEM de nouvelle génération soient tous les produits de ces grandes marques de cybersécurité. SIEM basés sur le cloud offrent la distribution la plus rapide des renseignements sur les menaces et incluent également le temps de serveur nécessaire au traitement de gros volumes de données de journaux.
Les meilleurs SIEM de nouvelle génération
Obtenir un bon SIEM nouvelle génération est une tâche qui prend du temps. Les éléments clés qui font d’un SIEM « Next-Gen » sont son pool de renseignements sur les menaces et l’UEBA. Cependant, comment savoir si chaque implémentation est bonne ? N’importe quel éditeur de logiciels peut mettre en place un système de notification central, mais sa puissance dépend entièrement de l’accessibilité du service et de la taille de sa communauté contributrice.
Bien qu'il existe des normes ouvertes indépendantes du fournisseur pour renseignement sur les cybermenaces (CTI) , les bases de données non propriétaires ont du mal à démarrer. Les principaux fournisseurs SIEM veillent à fournir un CTI pour leurs outils NextGen et codent plus ou moins en dur l'accès CTI dans leur service. La sélection de CTI est donc un peu tribale et cela signifie que, dans l’ensemble, les grands acteurs du secteur de la cybersécurité ont l’avantage.
Si vous n’avez pas le temps de rechercher entièrement l’intégralité SIEM nouvelle génération secteur, optez pour les grands noms issus de SIEM solides comme le roc. Les fournisseurs de logiciels de sécurité bien établis ont investi des budgets très importants dans le développement de l'UEBA. Bien que les grands progrès technologiques soient souvent le fait d'acteurs innovants sur le marché, l'UEBA avait besoin de beaucoup d'argent pour se développer et seules les grandes marques établies pouvaient se permettre cette dépense.
1. ManageEngine Log360 (ESSAI GRATUIT)
Gérer le moteur Log360 est un système sur site qui effectue la collecte et la consolidation des journaux, la recherche des menaces et la notification des menaces. Le système reçoit un flux de renseignements sur les menaces de ManageEngine, ce qui en fait un SIEM de nouvelle génération.
Les flux de renseignements sur les menaces proviennent du monde entier. Toute nouvelle campagne de piratage qui émerge est signalée au pool central et ManageEngine les regroupe dans une série d'indicateurs et l'envoie à toutes les instances de Log360 en cours d'exécution dans le monde.
Le flux de renseignements sur les menaces crée des recherches prioritaires. Les systèmes SIEM doivent constamment rechercher des volumes de données et cette tâche prend du temps, avant que toutes les données ne soient examinées, de nouveaux enregistrements arrivent – ils sont sauvegardés. L’accent mis sur les modèles d’attaques probables accélère la chasse aux menaces. Cela améliore ses chances d’identifier un intrus avant tout dommage ou vol de données.
Les enregistrements que le SIEM trie sont rassemblés par des programmes d'agent fournis dans le package de Log360. Il existe des agents qui fonctionneront sur tous les principaux systèmes d'exploitation. Il existe également des agents pour les plateformes cloud, notamment AWS, Azure et Salesforce.
Les enregistrements de journaux incluent les journaux du système d'exploitation aux formats Événements Windows et Syslog, ainsi que des données extraites de logiciels tiers. Les agents peuvent communiquer avec plus de 700 applications.
Les agents envoient les messages de journal collectés au serveur où ils sont convertis dans un format neutre afin qu'ils puissent être recherchés et stockés ensemble. Le stockage des données de journal à des fins d'audit est une exigence de nombreuses normes de sécurité des données et le package Log360 fournit des rapports de conformité pour HIPAA, PCI DSS, FISMA, SOX, GDPR et GLBA.
ManageEngine Log360 s'exécute sur Serveur Windows et il est disponible pour un30 jours d'essai gratuit.
ManageEngine Log360 Commencez un essai GRATUIT de 30 jours
deux. Logpoint (ACCÈS DÉMO GRATUIT)
Point de connexion n’est pas aussi largement utilisé que les meilleurs produits de notre liste. Cependant, si le prix de l'abonnement mensuel à Rapid 7 InsightIDR était hors de votre catégorie ou si vous êtes une petite ou moyenne entreprise avec des volumes de données de journaux relativement faibles, alors le tarif au compteur de LogPoint devrait vous intéresser.
Logpoint reconnaît que de nombreuses entreprises ayant de faibles volumes de traitement de données ne seront pas intéressées par un tarif d'abonnement global pour leur SIEM nouvelle génération . Cela dit, ce système SIEM est déployé par de très grandes entreprises, dont Boeing et Airbus.
La structure tarifaire Logpoint est calculée sur une combinaison d'indicateurs de débit. Il s'agit du nombre d'événements par seconde (EPS) et de la quantité de données traitées par jour en gigaoctets. L’entreprise ne publie pas ses tarifs pour ces facteurs. Au lieu de cela, vous devez les contacter pour un devis.
Le Logpoint SIEM a intégré UEBA et sa chasse aux menaces s'appuie sur les renseignements sur les menaces recueillis à partir des incidents rencontrés par tous ses clients. Plus que les autres services de cette liste, LogPoint facilite investigations manuelles ainsi que la mise en œuvre de processus de détection automatisés.
Des réponses automatisées sont intégrées au système LogPoint et le service comprend « intégrations » qui lui permettent de s'interfacer avec d'autres produits de sécurité à la fois pour les échanges de données et pour les actions d'atténuation des menaces. Vous pouvez réserver une démo pour voir comment fonctionne Logpoint.
Logpoint Inscrivez-vous pour une démo GRATUITE
3. je vais partir
je vais partir produit des systèmes SIEM depuis 2013. Cela signifie que l’entreprise n’est pas l’une des entreprises les plus anciennes du secteur. Cependant, cette histoire était suffisamment longue pour lui donner une clientèle substantielle au moment où le mouvement NextGen est apparu. La spécialisation de l’entreprise dans le SIEM lui a également permis de concentrer ses investissements sur les marchés émergents. Prochaine génération installations.
Le système Exabeam est une plateforme cloud – comme tous les autres produits de notre liste – ce qui rend sa livraison beaucoup plus simple que les systèmes sur site. Les clients n'ont pas à se soucier de maintenir le logiciel à jour car les mises à niveau se font automatiquement en coulisses, réalisé par les techniciens Exabeam.
Bien qu'il ne s'agisse pas, à proprement parler, d'un service géré, la combinaison du personnel opérationnel chargé de la maintenance du logiciel et des serveurs sur lesquels il s'exécute, des conseils d'assistance d'experts à la demande et processus automatisés dans le logiciel signifie que vous n’avez besoin d’aucune expertise sur site pour obtenir un système SIEM entièrement opérationnel protégeant votre réseau.
Comme il s'agit d'un système basé sur le cloud, le principal goulot d'étranglement en termes de performances que vous rencontrerez avec Exabeam est votre connexion Internet . Tous les messages de journal générés par votre système doivent être téléchargés sur le serveur Exabeam. Pour les grandes opérations, cela peut signifier un débit de données important . Cependant, la plupart des opérations commerciales de nos jours dépendent fortement de la connectivité Internet. Par conséquent, maintenir votre connexion Internet active et avec une capacité suffisante est probablement déjà une priorité de service pour votre équipe informatique.
Les téléchargements de données sont gérés par un programme d'agent sur site et les transmissions sont protégé par cryptage . Sur le serveur, le système Exabeam reçoit, consolide et indexe tous les messages de journal, ce qui rend statistiques de débit disponible dans le tableau de bord du système et compilant des données en direct sur les menaces au fur et à mesure que les messages de journal transitent par le serveur de journaux basé sur le cloud.
Exabeam utilise UEBA , son évaluation de l'activité de base est donc différente pour chaque client. Elle est également capable d'agréger sa propre base de données de signes avant-coureurs en mutualisant les expériences de l'ensemble de ses clients. En 2019, Exabeam rachète une société baptisée FormationCiel . Cette entreprise bénéficie de l'expérience de détection des menaces de 30 plates-formes cloud tierces et l'utilise pour créer un Base de données CTI . Les renseignements sur les menaces de SkyFormation complètent les indicateurs de menaces rassemblés par Exabeam. Ce grand pool de CTI rend le chasse aux menaces capacités d'Exabeam très puissantes.
La puissance de traitement rapide et la grande capacité des serveurs Exabeam facilitent grandement la recherche dans de grands volumes de données de journaux. Le service se déploie triage dans sa stratégie de chasse aux menaces, en comparant les indicateurs d'attaque avec sa base d'activité établie pour ce client qui est constamment ajustée grâce à apprentissage de la machine . Lorsqu'un point de départ probable d'une menace est identifié, cet incident est affiché dans le tableau de bord et le suivi d'activité ciblé d'Exabeam entre en jeu, recherchant la prochaine action connue d'une attaque typique qui commence par l'incident détecté. Si cette étape ultérieure est détectée, elle est également affichée dans le identification des menaces écran dans le tableau de bord et la probabilité d’une attaque en cours augmente.
Cette rétroaction par étapes d'Exabeam résout l'un des gros problèmes de la stratégie SIEM, à savoir que le reporting sur les événements associés notifiés via des messages de journal est un système de réponse retardée. Cela fonctionne sur données historiques . La fonctionnalité de chasse aux menaces d'Exabeam apporte cette méthode de détection à quasi-vivant .
Exabeam propose également Orchestration, automatisation et réponse de la sécurité (SOAR) , qu'il appelle Intervenant en cas d'incident . Celui-ci interagira avec Active Directory, les serveurs de messagerie et les pare-feu pour geler les comptes qui semblent avoir été supprimés. compromis ou bloquer l'accès aux communications provenant d'adresses IP suspectes.
Exabeam possède tous les éléments d'un SIEM réussi, mais son Flux de renseignements sur les menaces d'exception le pousse au numéro un selon notre estimation.
je vais partir combine l'expérience du service Exabeam SIEM avec le flux innovant de renseignements sur les menaces SkyFormation. Les utilisateurs d'Exabeam bénéficient des contributions en matière de détection des menaces d'autres clients Exabeam ainsi que de celles de la communauté d'utilisateurs de plus de 30 autres plateformes de sécurité. Exabeam a fait évoluer son service d'un système SIEM sur site vers une plate-forme de sécurité basée sur le cloud qui offre à ses clients une détection rapide des menaces et des réponses automatisées.
Quatre. LogRythme
LogRythme produit une solution SIEM depuis 2003, l'entreprise possède donc une expertise approfondie dans le domaine. Son système est désormais basé sur le cloud avec toutes les efficacités que cela implique. Elle a également acquis l'UEBA, la CTI et la SOAR pour en faire un SIEM de nouvelle génération .
LogRhythm comprend son propre module de surveillance du réseau qui ajoute des stratégies de détection supplémentaires aux recherches de journaux qu'il effectue. Dans ce service, que LogRhythm qualifie Détection et réponse réseau (NDR) , le système applique l'apprentissage automatique pour établir une base de référence des modèles de trafic attendus, réduisant ainsi les rapports de faux positifs et réduisant le volume de données qui doivent être téléchargées sur le serveur LogRhythm pour traitement.
LogRhythm appelle sa plateforme la pile XDR – XDR signifie détection et réponse étendues. Les couches de cette pile sont :
- AnalytiX – Le noyau de recherche de journaux du SIEM.
- DétecterX – L’application du renseignement sur les menaces.
- RépondreX – L'élément SOAR du système qui arrête les activités malveillantes.
En plus de souscrire à cette offre groupée, les clients peuvent choisir deux modules complémentaires pour améliorer les performances. Ceux-ci sont:
- Utilisateur XDR – Un module UEBA qui pré-filtre les messages du journal pour le téléchargement.
- BrumeNet – Un système de détection d’intrusion basé sur le réseau.
La pointe du service de LogRhythm réside dans son Plateforme SaaS . Cependant, vous pouvez également faire fonctionner le système sur votre site. Ceci est disponible sous forme d'appliance préchargée avec le logiciel LogRhythm ou sous forme de progiciel qui se charge sur Serveur Windows . Vous pouvez demander une démo en direct du service cloud.
5. Plateforme Rapid7 Insight
7 rapides Plateforme d'informations est un SIEM basé sur le cloud. De nombreux termes sont appliqués à ce service, ce qui met en évidence la confusion quant à la catégorisation des services de cyberdéfense. L'entreprise appelle son service un IDR, qui signifie Détection et réponse aux intrusions . C'est aussi une forme de XDR, qui signifie Détection et réponse étendues – un service qui a généralement évolué à partir d'EDR, qui est une avancée par rapport à l'antivirus et signifie Détection et réponse des points de terminaison . Il existe un élément EDR dans le package Insight IDR.
Cependant, par souci de simplicité, nous nous en tiendrons à la classification SIEM. En fait, la plateforme Insight est un SIEM de nouvelle génération parce qu'il comprend UEBA et un flux de renseignements sur les menaces . La plateforme Insight comprend un certain nombre de modules qui s'emboîtent. Cependant, vous n'avez besoin que du AperçuIDR service si vous voulez juste un SIEM NextGen. Le deuxième service le plus intéressant de la plateforme Insight que vous devriez également considérer est InsightVM , qui est un gestionnaire de vulnérabilités.
InsightIDR possède toutes les fonctionnalités intéressantes que vous attendez d’un SIEM NextGen. En tant que service cloud, il inclut une puissance de traitement rapide pour la gestion des journaux et stocke également les données des journaux pour vous. Les messages de journal sur votre système sont téléchargés sur les serveurs Rapid 7 où un consolidateur les met dans un format commun et les indexe pour des recherches rapides.
Le chasse aux menaces le service dans InsightIDR est modifié par un UEBA fonctionnalité. Cela élimine les faux positifs en ajustant la détection au comportement normal. Le flux de renseignements sur les menaces intégré à l'outil contribue à analyse du comportement des attaquants service. Cela examine tous les messages du journal à la recherche d’indications de compromission.
Un service supplémentaire très intéressant dans Insight IDR que les principaux concurrents du service n'offrent pas est son technologie de tromperie . Le service peut mettre en place des pièges et des pots de miel pour les intrus, qui attirent les malfaiteurs vers de fausses banques de données entièrement surveillées, les rendant ainsi immédiatement faciles à identifier.
InsightIDR est un peu cher, à partir de 2 157 $ par mois… oui, PAR MOIS. Ce prix signifie que le 30 jours d'essai gratuit d'InsightIDR est un cadeau gratuit très précieux.
6. Hélice FireEye
Oeil de feu est l'un des principaux fournisseurs de solutions de cybersécurité et son service SIEM s'appelle le Plateforme hélicoïdale . La plateforme FireEye Helix est un service SIEM de nouvelle génération et comprend un flux de renseignements sur les menaces qui adapte constamment ses processus de chasse aux menaces en réponse à l’évolution des stratégies d’attaque. Ainsi que UEBA , ce service comprend détection de mouvement latéral qui suit l'activité illogique ou anormale du compte utilisateur.
Comme LogPoint, Helix permet un certain degré d’intervention manuelle. Ce système offre davantage de possibilité de configurer vos propres playbooks et de spécifier précisément comment les incidents détectés doivent être gérés. Cela signifie que vous pouvez intégrer vos propres préférences dans les réponses automatisées effectuées par Helix. Les écrans du tableau de bord sont également personnalisable et il est possible de créer vos propres formats de rapport. Le système comprend des formats de personnalisation et de rapport automatiques pour conformité aux normes .
Le service Helix comprend intégrations qui vous permettent d'intégrer des adaptations pour l'échange de données et des actions d'atténuation qui se coordonnent avec d'autres applications de sécurité. Vous pouvez prendre une visite autoguidée de la plateforme Helix.
7. LogSentinelle
Si vous souhaitez en savoir plus sur un fournisseur SIEM plus récent et plus simple qui a fait un grand pas en avant dans le domaine NextGen, alors vous devriez envisager JournalSentinal . Ce service excelle dans la gestion des logs et les recherches rapides pour amener son service SIEM à l'avant-garde du marché. Cette société oriente spécifiquement ses services vers les entreprises de taille moyenne.
Ce Système SaaS est chaud sur la surveillance de l'intégrité des fichiers journaux et il comprend UEBA et un flux de renseignements sur les menaces , ce qui le caractérise comme un SIEM NextGen. Les services supplémentaires de ce plan sont analyses de phishing des e-mails , la protection des fichiers journaux VPN et la sécurité des vidéoconférences.
Le service LogSentinel ne se limite pas à collecter les fichiers journaux de votre site. Il comprend également une application Web et un système de surveillance de sites Web qui détectent changements de script et tentatives d'injection.
Offres LogSentinal un essai gratuit de son NextGen SIEM et vous pouvez leur demander une démo guidée. Il existe également une version de ce SIEM basé sur le cloud destinée aux fournisseurs de services gérés.