ArcSight ESM et Splunk ES
Présentation d'ArcSight
Micro Focus ArcSight Enterprise Security Manager (ESM) est un outil intégré de gestion des informations et des événements de sécurité (SIEM) conçu pour aider les organisations à détecter et prioriser les menaces de sécurité, ainsi qu'à suivre et organiser les activités de réponse aux incidents et de conformité. ArcSight ESM est intégré à l'orchestration, l'automatisation et la réponse de sécurité (SOAR) et à d'autres fonctionnalités qui rendent possible l'automatisation de la réponse aux incidents et de l'analyse des comportements. ArcSight a été reconnu comme « Choix des clients » dans le cadre du Gartner Peer Insight 2021 « Voix du client » pour SIEM.
ArcSight ESMavec son moteur de corrélation distribué, il permet aux équipes de sécurité de réduire l'exposition aux menaces et d'améliorer l'efficacité opérationnelle en détectant et en répondant aux menaces internes et externes et à d'autres indicateurs de compromission en temps réel. ArcSight ESM est particulièrement adapté aux grandes entreprises.
Ses principales caractéristiques et capacités incluent :
- La fonctionnalité d'automatisation et de reporting de conformité aide les organisations à rationaliser leurs efforts de reporting de conformité pour répondre à un large éventail d'exigences réglementaires.
- ESM prend en charge la récupération de données d'événements ou de cas à partir de l'application avec une API basée sur REST.
- ArcSight ESM prend en charge plusieurs systèmes ESM avec des capacités de basculement automatique pour des performances optimales.
- Les flux de renseignements sur les menaces fournissent des renseignements et des analyses exploitables sur les menaces provenant de sources multiples pour soutenir les efforts de réponse.
- ESM prend en charge la possibilité de modifier les configurations sur les connecteurs distants à partir de la console ArcSight, de l'agrégation, du filtrage des événements et des ajustements de l'heure des événements, entre autres.
- Les listes dynamiques en mémoire ESM, connues sous le nom de liste active, agissent comme une liste de surveillance pour surveiller le trafic suspect ou le comportement des entités dans toute règle de corrélation.
- ESM vous permet de planifier des rapports et de fournir automatiquement des résultats aux principales parties prenantes.
- Définissez facilement les événements d'intérêt à enregistrer dans des tableaux pour une recherche et un reporting extrêmement rapides sur des périodes plus longues ou en dehors de la fenêtre de conservation des événements.
Présentation de Splunk Enterprise Security (ES)
Splunk FR est un outil SIEM populaire qui permet aux équipes de sécurité d'obtenir une visibilité de bout en bout sur les activités malveillantes et les risques commerciaux dans votre environnement réseau hybride. Splunk ES est construit sur la plateforme de renseignement opérationnel Splunk et prend en charge les activités d'un centre d'opérations de sécurité (SOC) de diverses manières, telles que la surveillance et la détection des menaces, la recherche et la corrélation, la réponse aux incidents et les activités de reporting sur les données des dispositifs de sécurité et applications. À mesure que les problèmes sont identifiés, les analystes de sécurité peuvent exploiter les capacités SIEM modernes de Splunk ES pour enquêter et résoudre les menaces de sécurité sur le réseau.
Les principales fonctionnalités et capacités de Splunk ES incluent :
- Splunk ES fournit des informations prêtes à l'emploi provenant de l'équipe d'analyse du comportement des utilisateurs et des entités (UEBA) et de recherche sur les menaces de Splunk, que vous pouvez exploiter pour améliorer les efforts de détection et de réponse.
- Les tableaux de bord pour l'affichage visuel et les mesures de sécurité soutiennent votre stratégie de surveillance continue de la sécurité.
- Étudiez, corrélez, regroupez et analysez le contexte des activités dans le multi-cloud et sur site, le tout à partir d'une vue unifiée.
- Les données machine provenant du cloud et de sources sur site vous aident à bénéficier d'une visibilité complète pour une détection plus rapide des menaces malveillantes dans votre environnement.
- Splunk ES cloud SIEM offre un délai de rentabilisation plus rapide, permettant aux équipes de sécurité de se concentrer sur d'autres tâches de sécurité urgentes.
Splunk a été nommé leader dans le Magic Quadrant Gartner 2021 pour la gestion des informations et des événements de sécurité (SIEM). De nombreuses organisations dans le monde utilisent Splunk ES comme outil d'automatisation SIEM et SOC pour la surveillance des événements de sécurité, la détection et la réponse aux menaces, ainsi que d'autres cas d'utilisation d'analyses et d'opérations de sécurité. L'application peut être déployée sur site ou dans un service cloud (SaaS – cloud public ou privé) avec Splunk Cloud ou toute combinaison de ceux-ci.
UN essai gratuit de 60 jours est disponible pour Splunk Enterprise et un essai gratuit de 14 jours est disponible pour Splunk Cloud Platform.
ArcSight ESM et Splunk ES : comment ils se comparent
Configuration système requise et déploiement
Le processus d'installation d'ArcSight ESM peut être de difficulté moyenne à très complexe selon le cas d'utilisation. L'application est conçue pour fonctionner sur un système d'exploitation Linux 64 bits tel que Red Hat Enterprise Linux (RHEL), CentOS et SUSE Linux Enterprise Server (SLES) avec un minimum de processeurs à 8 cœurs et 48 Go de RAM. ESM est sensible au système d’exploitation et à la version. ArcSight prend en charge les modèles de déploiement centralisés et distribués et peut être déployé sur site en tant qu'appliance ou logiciel, ou dans le cloud (SaaS ou PaaS, ou IaaS).
Pour des performances optimales, des ressources système plus élevées sont recommandées et le système d'exploitation doit être installé en utilisant au moins l'option Serveur Web avec des bibliothèques de compatibilité et des outils de développement supplémentaires. Une fois qu’il est opérationnel, vous pouvez commencer à ajouter des appareils à surveiller. Bien que le processus de configuration soit un peu fastidieux selon le cas d'utilisation et votre expertise. Cependant, ArcSight fournit suffisamment de documentation et d'instructions de configuration pour vous guider tout au long du processus d'installation et de configuration.
Splunk ES prend en charge les modèles de déploiement sur site, cloud et hybride. Le déploiement sur site nécessite Windows 10 64 bits, Windows Server, Linux ou macOS avec un minimum de processeurs à 16 cœurs et 32 Go de RAM pour la tête de recherche et l'indexeur. Contrairement aux exigences du système d'exploitation ArcSight ESM, Splunk ES vous offre plus de flexibilité plutôt que d'être limité à un seul type de système d'exploitation. Le processus d’installation est également assez simple et moins fastidieux. Vous pouvez déployer Splunk ES dans un déploiement d'instance unique ou un déploiement de recherche distribuée.
Splunk ES est également fourni en tant que service cloud dans la plateforme Splunk Cloud pour les clients Splunk Cloud. L'architecture de déploiement de Splunk Cloud Platform varie en fonction des données et de la charge de recherche. Les clients de Splunk Cloud Platform travaillent avec Splunk Support pour configurer, gérer et entretenir leur infrastructure cloud, ce qui rend l'ensemble du processus moins fastidieux.
Tableaux de bord et visualisations
ArcSight ESM est livré avec un tableau de bord qui vous permet de visualiser et d'analyser les menaces potentielles. Le tableau de bord intègre des informations provenant de plusieurs sources au sein de votre environnement, notamment la surveillance des événements en temps réel et la corrélation avec les données d'ArcSight ESM. ESM fournit des tableaux de bord prêts à l'emploi disponibles uniquement pour l'administrateur du tableau de bord. ArcSight permet à l'administrateur du tableau de bord de personnaliser les tableaux de bord avec les widgets associés et une vaste bibliothèque d'outils de visualisation. D’un autre côté, le tableau de bord et l’interface utilisateur ne sont pas particulièrement amusants à regarder par rapport aux interfaces plus modernes. Mais si vous regardez au-delà de cela, vous verrez que c’est bien organisé.
Splunk ES est également livré avec des tableaux de bord prédéfinis et des vues Custom Glass Table qui permettent aux équipes de sécurité de visualiser l'état de sécurité du réseau, y compris des informations sur l'état de divers domaines de sécurité, des mesures de sécurité et de performances, des indicateurs de tendance et des seuils statiques et dynamiques, entre autres. Splunk ES est également facilement personnalisable, ce qui signifie que vous pouvez apporter des modifications aux tableaux de bord et aux recherches derrière les panneaux du tableau de bord pour les rendre plus pertinents par rapport à votre organisation, votre environnement ou vos cas d'utilisation de sécurité. Dans l’ensemble, la conception moderne du tableau de bord de Splunk ES le distingue esthétiquement de ses contemporains.
Alertes et notifications
Les alertes de sécurité ArcSight ESM sont destinées à avertir les utilisateurs des menaces, à obtenir une réponse et à accélérer la résolution des problèmes. Il met en corrélation les événements et les alertes pour identifier les menaces hautement prioritaires au sein des environnements. Le moyen par défaut des alertes ArcSight ESM se fait via des notifications par courrier électronique, ce qui peut être très utile, surtout si vous avez une petite équipe. Le seul défi est que le format de l'e-mail est difficile à lire et vous oblige à rechercher les informations dont vous avez besoin pour organiser l'événement. Néanmoins, ArcSight fournit des modèles de notification personnalisés qui peuvent être configurés pour fournir des alertes adaptées à vos besoins et à votre contexte spécifiques. Cette approche aide les organisations à maintenir le temps moyen de résolution (MTTR) aussi bas que possible.
Splunk ES fournit une bibliothèque d'alertes qui informe de manière proactive les équipes de sécurité des événements de sécurité, des comportements malveillants, de la disponibilité des ressources, des informations d'utilisation et d'autres problèmes potentiels lorsque les données dépassent certains seuils. Le service peut être configuré pour délivrer des alertes en temps réel via des requêtes e-mail ou HTTPS POST. Les alertes peuvent être configurées à différents niveaux de granularité en fonction de diverses conditions telles que les seuils de données, la reconnaissance de modèles comportementaux et les conditions basées sur les tendances. Les alertes peuvent également être configurées pour lancer une application ou une action personnalisée. La fonctionnalité d’alerte haute fidélité unique basée sur le risque de Splunk déclenche des alertes lorsque le risque dépasse les seuils, éliminant ainsi la fatigue des alertes.
Rapports et API
ArcSight ESM vous permet de générer et d'exporter des rapports prêts à l'emploi sur le tableau de bord. Les rapports peuvent également être personnalisés pour répondre à des exigences réglementaires spécifiques. Sa fonctionnalité API permet une intégration étendue dans les environnements SOC. Avec ce niveau de flexibilité, il n’y a aucune limite au nombre d’éléments qu’ESM peut surveiller.
D'autre part, Splunk ES fournit une variété de rapports intégrés conçus pour répondre à des exigences réglementaires spécifiques telles que la conformité PCI DSS et autres. Splunk ES prend également en charge l'intégration avec d'autres outils tiers grâce à ses fonctionnalités complémentaires. La fonctionnalité complémentaire ServiceNow Security Operations permet par exemple à Splunk de créer des incidents et des événements liés à la sécurité dans ServiceNow.
Licences et plans tarifaires
En matière de tarification et de licence, ArcSight propose un modèle flexible pour répondre aux besoins de chacun. Cela inclut la tarification basée sur l'ingestion, la tarification des événements par seconde (EPS), le gigaoctet par jour. Cependant, ArcSight ne propose pas d'essai gratuit ni de version gratuite et les détails des tarifs ne peuvent être obtenus que sur demande auprès de Micro Focus.
Splunk propose deux plans tarifaires à ses clients : la tarification de la charge de travail et la tarification de l'ingestion.
- Tarification de la charge de travailLe modèle de licence de charge de travail offre une allocation de licence basée sur la capacité informatique consommée par votre infrastructure ou vos charges de travail de recherche et d'analyse.
- Tarifs d'ingestionLe modèle de licence d'ingestion est basé sur la consommation de volume de données calculée en fonction de l'ingestion de données en Go/jour (quantité de données que vous envoyez dans votre installation Splunk par jour).
Ces options de tarification s'appliquent aux licences à terme sur site. La période de licence peut être une licence annuelle ou pluriannuelle. Votre licence est accompagnée d'un support comprenant des mises à jour logicielles et un support client pour les licences temporaires sur site.
Remarques finales
ArcSight ESMest un outil SIEM moderne et puissant conçu pour les grandes entreprises. Les MSP et les organisations engagées à minimiser les incidents de sécurité et à maintenir le délai moyen de résolution (MTTR) aussi bas que possible trouveront cette solution très attrayante. Cependant, selon le cas d'utilisation, l'application peut être un peu coûteuse et difficile à installer et à configurer. Mais une fois ce problème dépassé, vous apprécierez la puissance que cela apporte aux activités de votre centre d’opérations de sécurité (SOC).
De la même manière,Splunk FRest positionné pour répondre aux besoins de sécurité et de conformité des organisations hautement réglementées. Les clients de Splunk ES peuvent détecter et répondre efficacement aux incidents de sécurité, et rationaliser les rapports de conformité sur une plateforme unique et unifiée avec un rapport signal/bruit minimal (faux positifs) sans avoir besoin de changer d'outil. Cela fait gagner un temps considérable à votre équipe. Cependant, tout comme ArcSight ESM, l'application est plus adaptée aux grandes entreprises. Cela signifie que les PME disposant d’un faible budget de sécurité devraient chercher ailleurs.
Dans l'ensemble, ArcSight ESM et Splunk ES sont deux leaders des applications SIEM de nouvelle génération.
Les organisations peuvent tirer parti de technologies modernes telles que Security Orchestration Automation and Response (SOAR), User and Entity Behaviour Analytics (UEBA), analyses basées sur le cloud et apprentissage automatique intégrés à ces applications pour automatiser les activités SOC et autres détections, analyses et incidents de sécurité. procédures de réponse.