Exabeam et LogRhythm
Les deuxje vais partiretLogRythmeexceller dans le traitement des données. Les deux sociétés ont découvert des moyens innovants pour accélérer les recherches à travers de vastes pools de données. La stratégie principale du SIEM consiste à rechercher dans les fichiers journaux signes d'intrusion dans le système. Cette forme de service de cybersécurité était donc un choix naturel pour ces deux sociétés. Les deux s'en sortent très bien.
SIEM est une combinaison de Gestion des informations de sécurité (SIM) , qui gère les fichiers journaux et les recherche, et Gestion des événements de sécurité (SEM) , qui surveille les événements en direct, principalement sur le réseau.
Tout responsable informatique à la recherche d’un SIEM rencontrera probablement ces deux services. Il faut un examen approfondi pour faire la différence entre Exabeam et LogRhythm. Alors, plongeons-nous et examinons la paire.
je vais t'expliquer
La société Exabeam a vu le jour en 2013. Elle a été fondée par des dirigeants d'Imperva et Sumo Logic et l'actionnaire majoritaire de ces deux sociétés, Shlomo Kramer, est l'un des principaux bailleurs de fonds d'Exabeam.
La stratégie fondatrice d'Exabeam était de créer une méthode de recherche très rapide parmi de grandes sources de données. L'entreprise a utilisé son outil de recherche pour créer un Analyse du comportement des utilisateurs et des entités (UEBA) outil. Le but de l'UEBA est d'évaluer les activités des utilisateurs dans un système, en recherchant un modèle de travail établi par utilisateur et pour le groupe dans son ensemble. La méthodologie est répandue dans l'industrie SIEM car elle permet de réduire les faux rapports créés par les règles de détection standard créées dans les premières années du SIEM.
Exabeam n'a pas produit d'outil SIEM au début. Au lieu de cela, l’entreprise a présenté son UEBA, qui était à l’époque un concept innovant, aux entreprises qui en avaient assez de leur SIEM qui déclenchait constamment de fausses alertes. L'Exabeam UEBA a été conçu pour être un module complémentaire à tout système SIEM existant.
Finalement, Exabeam a créé son propre SIEM, qui a été lancé en 2017. Le SIEM Exabeam est encore relativement nouveau et la société continue d'ajouter des installations supplémentaires.
Les UEBA sont désormais courantes et sont proposées par la plupart des SIEM du marché. Certains fournisseurs SIEM concurrents intègrent UEBA dans leur paquet SIEM standard tandis que d'autres le proposent sous forme de module complémentaire payant. Souvent, les producteurs de cybersécurité créent une suite de modules, connue sous le nom de « Plateforme de renseignement de sécurité »(SIP) . L'outil SIEM et l'UEBA sont généralement deux éléments d'un SIP.
Exabeam propose son UEBA dans le cadre de son package SIEM standard et comprend également un Orchestration, automatisation et réponse de la sécurité (SOAR) outil. SOAR extrait des informations supplémentaires sur les menaces des gestionnaires de droits d'accès et des pare-feu et peut envoyer des instructions à ces deux systèmes pour bloquer un compte utilisateur suspect ou empêcher le trafic provenant d'une adresse IP spécifique d'accéder au réseau.
Les principaux éléments de la suite sont :
- Le lac de données Exabeam Il s'agit d'un serveur et d'un consolidateur de fichiers journaux. Tous les messages de journal sont reçus sur le serveur Exabeam et organisés dans un format standard. Ces enregistrements sont ensuite stockés dans une base de données consultable. Le système Data Lake comprend des outils de tri et d’interrogation.
- Analyse du comportement des utilisateurs et des entités (UEBA) Comme expliqué ci-dessus, l'UEBA était le service Exabeam d'origine auquel le SIEM a ensuite été ajouté. Cela établit une référence par rapport à laquelle toutes les activités sont vérifiées. Les écarts par rapport au comportement standard sont appelésanomalies.
- Analyse avancée Exabeam Ce module recherche dans le Data Lake avec des requêtes pré-écrites. C'est la partie du système SIEM qui recherche une série d'anomalies. Habituellement, les pirates cachent leurs activités en effectuant une série d’actions qui semblent être une tâche normale pour un usage légitime. Les requêtes Exabeam recherchent Indicateurs de compromission (IOC) . Chacun d’eux est une série d’événements qui, pris ensemble, dénotent une menace.
- Je vais vous expliquer le répondeur en cas d'incident Certaines parties du système SOAR sont intégrées au module Data Lake : ce sont les actions qui collectent des données à partir de systèmes tiers collaborateurs. La partie réponse de SOAR est implémentée dans le module Incident Responder. Une réponse est un flux de travail qui est déclenché si un IOC est identifié. La réponse habituelle aux activités d'un utilisateur suspect est la suspension de ce compte dans le gestionnaire de droits d'accès. Les adresses IP à l’origine d’un trafic suspect sont mises sur liste noire dans le pare-feu.
- Rapports de conformité Le service Exabeam peut être adapté pour se conformer à l'une des nombreuses normes de protection des données. Cette adaptation influence la recherche d'IOC et ajoute également un certain nombre de formats de rapport standard. Exabeam peut vous aider à vous conformer aux normes RGPD, HIPAA, SOX et PCI DSS.
Le je vais t'expliquer est très impressionnant, mais il lui manque la surveillance en direct du trafic réseau qui est une caractéristique clé de tout système SIEM. Les moniteurs de données de trafic réseau fournissent la partie SEM du SIEM. Exabeam réduit cette fonction à un simple collecteur de données et consacre tout son poids en matière de traitement des données à fournir une très bonne carte SIM. En effet, le processeur de données du blog prend en charge les fonctions SIM en traitant les entrées réseau en direct comme un type de fichier journal.
Le service est basé sur le cloud et Exabeam se coordonne avec un certain nombre de distributeurs à travers le monde qui sont en mesure de fournir des appareils réseau sur lesquels le logiciel Exabeam est préchargé.
Avantages:
- Prend en charge les workflows de réponse aux incidents, les playbooks et l'automatisation
- Offre des fonctionnalités de requête utiles pour filtrer de grands ensembles de données
- Peut être utilisé pour les rapports de conformité et les audits internes pour HIPAA, PCI DSS, etc.
Les inconvénients:
- Manque de capacités de surveillance du réseau en direct
- N'a pas été initialement conçu comme un outil SIEM
LogRhythm SIEM
LogRhythm est beaucoup plus ancien qu'Exabeam car il a été en activité depuis 2003 . Les deux fondateurs de l’entreprise possédaient une grande expertise dans l’optimisation des recherches de données et détiennent de nombreux brevets sur des méthodes innovantes de gestion de données. Ces techniques ont été appliquées aux recherches de fichiers journaux dans LogRhythm. Comme analyse du fichier journal est un élément majeur de la méthodologie SIEM, il était tout naturel que l'entreprise utilise son expertise en informatique afin de produire un SIEM efficace.
Le nom complet du système de cybersécurité est le Plateforme SIEM LogRhythm NextGen . Il comprend les modules suivants :
- NetMon Ce module fournit la partie gestion des événements système du SIEM. Il examine les en-têtes des paquets et en extrait des métriques importantes. Il est capable de catégoriser le trafic en fonction de la source et de la destination de chaque paquet. Il peut également enregistrer le protocole/l'application auquel les données du paquet se rapportent en faisant référence aux numéros de port écrits dans les en-têtes. NetMon utilise le protocole SmartFlow pour formater les informations qu'il collecte à partir des en-têtes de paquets, puis télécharge ces enregistrements vers le module analytique du SIEM. Ce service identifie les données de trafic en termes de couches de pile de protocoles deux à sept.
- SysMon Le système de collecte de données de fichiers journaux de LogRhythm SIEM. Il comporte deux éléments. L’un est un agent installé sur chaque appareil surveillé. En plus de collecter les enregistrements de journaux, l'agent examine l'activité sur l'appareil et génère sa propre forme d'enregistrement de journal. Ce processus permet au SIEM d'évaluer les activités de l'utilisateur actif sur l'appareil. L'autre partie de Sysmon est un serveur de journaux sur le serveur cloud LogRhythm. Ce serveur agit également comme coordinateur pour les agents et peut envoyer des instructions pour agir afin de mettre fin à une attaque.
- AnalytiX Il s'agit du gestionnaire de journaux de LogRhythm SIEM. Le contrôleur SysMon transmet tous les messages de journal à AnalytiX, qui les réorganise ensuite dans un format commun, les indexe et les stocke. AnalytiX comprend également un outil d'interrogation et accède aux enregistrements de journaux à la demande pour les afficher dans le tableau de bord de l'utilisateur.
- DétecterX Il s'agit du module de chasse aux menaces de LogRhythm SIEM. Il applique les règles fournies par un flux de renseignements sur les menaces sous forme de requêtes sur les données du journal. Lorsque des IOC sont détectés, le service relie les enregistrements d'événements associés et les marque comme suspects. L'alerte d'activité sera attachée à un compte utilisateur. Une activité suspecte qui n'est pas effectuée par un compte utilisateur est identifiée par l'adresse IP de l'activité.
- RépondreX Il s'agit du module d'atténuation des menaces du LogRhythm SIEM. Toutes les activités suspectes ne sont pas automatiquement transmises à RespondX. L'utilisateur peut ajuster le mécanisme de réponse aux menaces du SIEM pour réserver certains types de menaces à une enquête manuelle. La réponse automatisée aux menaces peut également être entièrement désactivée.
- RéseauXDR Il s'agit d'un module optionnel qui améliore les performances de NetMon. Il est capable de surveiller plusieurs points du réseau et de noter les activités illogiques des utilisateurs, comme par exemple le même compte générant du trafic à partir de plusieurs emplacements. NetworkXDR utilise l'apprentissage automatique pour créer un profil d'activité réseau normale afin que DetectX dispose d'une base de référence plus fiable par rapport à laquelle comparer l'activité du trafic de passage et identifier les comportements anormaux.
- UtilisateurXDR Ceci est un autre module optionnel. Il effectue l'UAEBA pour améliorer la précision de l'identification des menaces et réduire les faux rapports.
LogRhythm excelle dans SIM avec des méthodes de recherche de données brevetées spécialisées et innovantes. La surveillance du réseau fournit également un bon service SEM, qui peut être encore amélioré par le système NetworkXDR.
Avantages:
- Utilise des assistants simples pour configurer la collecte de journaux et d'autres tâches de sécurité, ce qui en fait un outil plus convivial pour les débutants
- Interface élégante, hautement personnalisable et visuellement attrayante
- Tire parti de l’intelligence artificielle et de l’apprentissage automatique pour l’analyse du comportement
- Fait un excellent travail de traitement des données en direct
Les inconvénients:
- J'aimerais voir une option d'essai
- La corrélation des données pourrait être améliorée
Exabeam SIEM et LogRhythm SIEM
LogRhythm possède de bien meilleures fonctionnalités de surveillance des données en direct qu'Exabeam. Cependant, l'approche Exabeam crée une approche plus intégrée de la corrélation des événements en fusionnant les données du réseau avec son pool de données de journal.
Les deux services peuvent prétendre être meilleurs que tous leurs concurrents en matière de recherche de journaux.
Alternatives à Exabeam SIEM et LogRhythm SIEM
Bien qu'Exabeam et LogRhythm proposent d'excellents systèmes SIEM, ils ne sont pas les seuls acteurs dans le domaine. Il existe également d'autres systèmes SIEM très compétents, vous pouvez en savoir plus Meilleurs outils SIEM poste. Si vous n'avez pas le temps de lire ce guide, voici notre liste des dix meilleures alternatives à Exabeam SIEM et LogRhythm SIEM.
- Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT) Cet outil se concentre sur la gestion des journaux pour l’analyse des données de sécurité et n’inclut aucune analyse du réseau de données en direct. Le logiciel s'installe sur Windows Server. Commencez un essai gratuit de 30 jours.
- Analyseur de journaux d'événements ManageEngine (ESSAI GRATUIT) Il s'agit d'un analyseur de journaux, donc en réalité, ce n'est qu'une carte SIM et non un SIEM. Il peut être associé à un module compagnon, appelé Log360, pour obtenir une surveillance du réseau en direct. Il s'installe sur Windows et Linux. Accédez à un essai gratuit de 30 jours.
- Surveillance de la sécurité Datadog Il s'agit d'un service basé sur le cloud qui fait partie d'une suite de modules de surveillance et de gestion de l'infrastructure. Il peut être souscrit en tant que service autonome.
- Gestionnaire de sécurité McAfee Enterprise La caractéristique remarquable de ce SIEM est un flux de renseignements sur les menaces de haute qualité. La marque McAfee s'est réorganisée et propose désormais des outils de cybersécurité exceptionnels basés sur l'IA, dont cette solution SIEM. Il s'installe sur Windows et macOS.
- Fortinet FortiSIEM Un système SIEM puissant basé sur le cloud qui comprend une gamme de stratégies de détection, telles que UEBA, et met en œuvre des réponses de défense automatisées.
- Rapid7 InsightIDR Un service de sécurité SIEM complet basé sur le cloud qui peut continuer à fonctionner même lorsque la connexion réseau est interrompue, grâce aux agents de périphérique qui doivent être installés sur chaque équipement du site. modules d'agents. Les fonctionnalités remarquables incluent un système UEBA et une réponse automatisée aux menaces.
- OSSEC Un système de détection d'intrusion gratuit et open source basé sur l'hôte qui fournit des fonctions SIM. Le système est capable d'accepter une gamme de sources d'entrée de données, y compris un flux de données réseau en direct fourni par un moniteur réseau tiers. Il s'installe sur Windows, macOS, Linux et Unix.
- IBM QRadar Un ensemble d'outils de cyberdéfense organisés en une plateforme de renseignement de sécurité. Les éléments du SIP incluent un SIEM. Les méthodes de protection déployées par ce système incluent l'analyse des vulnérabilités, un flux de renseignements sur les menaces, l'analyse du trafic en direct et des fonctions de gestion des journaux. Il fonctionne sur Windows Server.
- AT&T Cybersecurity Gestion unifiée de la sécurité AlienVault Un outil SIEM indépendant de longue date acheté par AT&T. Le nouveau régime apporte un gros budget au développement d’Alien Vault. Il fonctionne sous Windows et macOS.