Examen et alternatives McAfee SIEM
McAfee est bien connu en tant que producteur de logiciels antivirus. Cependant, l’entreprise a dû évoluer et introduire de nouveaux systèmes de protection informatique afin de rester sur le marché. La solution McAfee SIEM n'est pas un produit unique. L'élément principal de la famille McAfee SIEM s'appelle Gestionnaire de sécurité McAfee Enterprise .
La liste complète des composants McAfee SIEM est la suivante :
- Gestionnaire de sécurité McAfee Enterprise
- Récepteur d'événements McAfee
- Moteur de corrélation avancé McAfee
- Gestionnaire de journaux McAfee Enterprise
- Recherche dans les journaux McAfee Enterprise
- Moniteur de données d'application McAfee
- Stockage à connexion directe McAfee
- McAfee Intelligence mondiale sur les menaces
Ces différents modules canalisent les données d'entrée provenant de plusieurs sources vers Enterprise Security Manager.
Que fait le SIEM ?
SIEM signifie Gestion des informations de sécurité et des événements . Il s'agit d'une combinaison de deux stratégies de détection des menaces. Les systèmes de détection d'intrusion basés sur l'hôte (HIDS) examinent les fichiers journaux à la recherche de signes d'activité anormale. Gestion des informations de sécurité (SIM) est un HIDS. Les systèmes de détection d'intrusion basés sur le réseau (NIDS) surveillent le trafic réseau pour détecter les intrusions. Gestion des événements de sécurité (SEM) est une stratégie NIDS. SIEM est la combinaison de SIM et SEM.
L’avantage du SEM est qu’il fonctionne sur des données live. Cependant, les moniteurs de réseau ne fonctionnent que sur un seul point du réseau et surveillent tout le trafic qui passe. Si le contenu de chaque paquet circulant est crypté, le système SEM ne doit travailler que sur les données d'en-tête du paquet. SEM n'est pas en mesure de comparer des événements situés à différents endroits du réseau et sur des appareils distincts.
SIM est capable de voir modèles d'activité sur tous les appareils. Cependant, les méthodologies SIM produisent de meilleurs résultats avec plus de données sources. Comme les informations d'entrée pour SIM sont écrites dans des journaux, les meilleurs résultats SIM viennent avec le temps. Un gros problème de SIM est qu’il détecte les intrusions a posteriori – ce n’est pas immédiat.
SIEM combine les atouts du SIM et du SEM . Même le SIEM, avec ses techniques variées, n’est pas capable de bloquer les intrusions. Il s'agit de la deuxième ligne de défense et vise à éliminer les activités malveillantes qui ont réussi à échapper aux défenses de périphérie et de frontière.
À propos de Mcafee
McAfee a été créé en 1987 sous le nom Associés McAfee . La société est devenue Intel Security Group en 2014, puis McAfee, LLC en 2017. McAfee a été le premier producteur de logiciels antivirus commerciaux et a remporté des succès précoces, faisant de l'entreprise une cible de rachat attrayante. Le fondateur excentrique, John McAfee, s'est retiré de l'entreprise en 1994, vendant toutes ses actions. Après une série de rachats, l'entreprise est rachetée par Intel en 2014. McAfee est ensuite redevenu une société indépendante en 2017, Intel conservant toujours une participation importante.
À mesure que les activités des pirates informatiques deviennent plus sophistiquées, le modèle antivirus traditionnel est devenu incapable de protéger pleinement un système informatique. La notion d’« intrusion » dans un système informatique implique qu’un pirate informatique pénètre dans un réseau et établisse une occupation à long terme, appelée « Menace persistante avancée (APT) .»
McAfee a investi dans un logiciel d'apprentissage automatique qui utilise des techniques d'IA pour identifier les activités anormales sans avoir besoin de se référer à une base de données de signatures d'activité.
Gestionnaire de sécurité McAfee Enterprise
Le McAfee Enterprise Security Manager (ESM) est le module principal de McAfee SIEM, comprend la console principale du système et relie tous les flux de données fournis par les collecteurs de journaux et les moniteurs de trafic.
La vue principale de la console se concentre sur les événements mais les vues des appareils sont également accessibles. La console de l'ESM permet d'accéder aux fonctionnalités de recherche et d'analyse.
Modules McAfee SIEM
Même si Enterprise Security Manager constitue le cœur du système SIEM, une grande partie du travail de traitement des données est effectuée en dehors de cette unité.
Récepteur d'événements McAfee
Le Récepteur d'événements McAfee est un système divisé pour la collecte de journaux. Un agent réside sur chaque appareil surveillé. Il est capable de stocker les données collectées localement au cas où le réseau serait indisponible. Le système de collecte central communique avec tous les agents pour recevoir des données de leur part.
Le contrôleur central fait office de serveur de journaux. Il reformate les données reçues dans une présentation standard, permettant à tous les enregistrements d'être stockés ensemble. Les événements associés sont marqués afin de pouvoir être regroupés par des recherches analytiques ultérieures. C'est ce qu'on appelle une corrélation logarithmique.
Moteur de corrélation avancé McAfee
Le Moteur de corrélation avancé (ACE) s'appuie sur le travail du récepteur d'événements. Il recherche dans les enregistrements de journaux antérieurs pour voir si les messages de journal récemment classés concernent un événement déjà en cours et qui a été identifié par des messages antérieurs.
L'ACE marque les nouveaux enregistrements afin qu'ils puissent être liés aux anciens messages de journal. Le groupe de messages identifié ne relie pas les enregistrements similaires ; il utilise plutôt un système de règles qui repère les indicateurs du même événement qui se manifeste par différentes actions à différents endroits.
Gestionnaire de journaux McAfee Enterprise
Le Gestionnaire de journaux d'entreprise (ELM) est un gestionnaire de fichiers journaux et son objectif est de fournir les fonctionnalités de gestion de fichiers journaux obligatoires requises par les normes de sécurité. Il crée des fichiers journaux pour les messages de journal entrants à la fois comme source de données pour Security Event Manager et pour le reporting des normes de sécurité des données.
Alors que les normes exigent que les journaux bruts soient enregistrés et accessibles, le Security Event Manager ne s'intéresse qu'à certains enregistrements mettant en évidence des activités inhabituelles, de sorte que certains messages des journaux seront dupliqués et stockés dans différents formats. ELM peut être configuré pour utiliser des installations de stockage locales ou distantes. L'ELM est un module optionnel du système SIEM. Enterprise Security Manager est capable de fonctionner sans la présence d'Enterprise Log Manager.
Recherche dans les journaux McAfee Enterprise
Recherche de journaux McAfee Enterprise (ELS) est basé sur Elasticsearch. Il s'agit d'un composant du système McAfee SIEM mais il peut également fonctionner comme un utilitaire autonome. Cette fonction de recherche peut fonctionner sur les fichiers composés par McAfee Advanced Correlation Engine et Enterprise Log Manager, ainsi qu'examiner les enregistrements d'événements et identifier une éventuelle intrusion ou un vol de données. L'ELS est intégré à la console d'Enterprise Security Manager et est destiné aux requêtes et analyses ad hoc.
Moniteur de données d'application McAfee
Le Moniteur de données d'application (ADM) fournit la partie SEM du SIEM. Cet outil fonctionne sur des données en direct et surveille tout le trafic autour du réseau. Le moniteur est capable d'examiner les e-mails et les PDF, à la recherche de chevaux de Troie intégrés et de programmes dangereux.
Le moniteur fonctionne au niveau de la couche application, il est donc capable de détecter les attaques que les pirates informatiques répartissent sur plusieurs paquets, dans l'espoir de tromper les moniteurs de réseau traditionnels. Le service fonctionne sur un port SPAN, dupliquant les flux de données plutôt que de rester en ligne. Cela élimine le risque d’introduire un décalage sur le réseau.
En plus de rechercher les tentatives d'attaque entrantes, l'ADM recherche dans le trafic sortant les événements de perte de données et les communications non autorisées. Toutes les découvertes sont auditées dans le respect des normes de protection des données.
Stockage à connexion directe McAfee
Stockage à connexion directe McAfee sert Enterprise Security Manager et Enterprise Log Manager, fournissant un contrôleur RAID, un cache en miroir et un multi-pathing IO.
McAfee Global Threat Intelligence pour ESM
Le Intelligence mondiale sur les menaces (GTI) feed est un service de base de McAfee qui prend en charge tous ses produits de sécurité. Le GTI est mis à disposition dans un format adapté à Enterprise Security Manager.
Options de configuration McAfee SIEM
McAfee Enterprise Security Manager est disponible en deux formats. Le premier est un service flexible basé sur le cloud, appelé ESM Cloud. Il s’agit probablement de l’option la plus accessible que choisiront la plupart des clients.
Il y a un essai gratuit pour ESM Cloud . L'essai se présente sous la forme d'un logiciel téléchargeable qui s'exécute sur une VM sur site plutôt que d'accéder au service cloud lui-même. La version standard sur site d'Enterprise Security Manager est une appliance. Les clients potentiels qui souhaitent évaluer ce système doivent également télécharger la version de l'appliance virtuelle proposée à titre d'essai pour ESM Cloud.
Tableau de bord
La console de l'ESM est accessible via un navigateur Web standard où il est déployé en tant que service cloud ou en tant qu'appliance. Les écrans du service occupent toute la largeur de la fenêtre du navigateur et ne réservent pas d’espace pour un menu. Le menu glisse depuis la gauche à la demande en appuyant sur un bouton dans la barre de titre de chaque écran.
L'écran principal du système affiche une liste des événements récents. D'autres options accessibles depuis le menu principal incluent un explorateur de fichiers journaux et le Recherche élastique utilitaire qui fonctionne sur les fichiers journaux.
Sans le menu en place, il est possible de voir le panneau de gauche de l'écran principal, qui répertorie tous les appareils surveillés. Un petit indicateur sur l'une des entrées de cette liste indique qu'un événement a été détecté à cet emplacement ou qu'une action doit être entreprise afin de vérifier les paramètres ou les ressources de cet appareil.
Cliquer sur le périphérique marqué fait apparaître une boîte de boutons qui donnent accès aux fonctionnalités de l'ESM qui peuvent résoudre l'alerte affichée pour ce périphérique.
Alternatives à McAfee SIEM
McAfee SIEM est l'un des meilleurs produits SIEM du marché. Il intègre détection de virus et bloque les tentatives de téléchargement de logiciels malveillants ainsi que la recherche d'activités humaines non autorisées. Le service inclut la prévention des pertes de données et des communications sortantes suspectes. Le flux de renseignements sur les menaces fourni par les laboratoires centraux de McAfee est l’un des plus appréciés au monde.
Vous pouvez en savoir plus sur les systèmes SIEM et les meilleurs services disponibles sur le marché aujourd'hui dans les meilleurs outils SIEM poste. Cependant, si vous ne souhaitez pas lire un autre article sur SIEM, vous pouvez consulter une brève description d’autres systèmes SIEM qui valent la peine d’être essayés.
Voici notre liste des 10 meilleures alternatives McAfee SIEM :
- Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT) Cet outil combine des sources de journaux et des entrées de données en direct pour détecter les anomalies. Le produit fait partie d'une suite d'outils de surveillance d'infrastructure produits par SolarWinds. Ce logiciel s'installe sur Windows Server. Téléchargez un essai gratuit de 30 jours.
- CrowdStrike Falcon Insight (ESSAI GRATUIT)Une combinaison d'un SIEM basé sur le cloud et de modules de détection et de réponse des points de terminaison installés sur chaque appareil. Ce système reçoit un flux de renseignements pour améliorer la chasse aux menaces via des enregistrements de journaux et des rapports d'activité et les unités EDR mettent en œuvre des analyses de comportement des utilisateurs et des entités pour détecter les anomalies et bloquer les attaques du jour zéro. Démarrez un essai gratuit de 15 jours.
- Analyseur de journaux d'événements ManageEngine (ESSAI GRATUIT) Un SIEM partiel offrant des fonctions SIM pouvant être associées auLog360outil pour obtenir un flux de données réseau en direct afin de créer un SIEM complet. Il s'installe sur Windows et Linux. Commencez un essai gratuit de 30 jours.
- Surveillance de la sécurité Datadog Un service basé sur le cloud qui nécessite l'installation d'agents sur site. Le gestionnaire de journaux de surveillance de la sécurité et SIEM qui est un module d'un package de surveillance du système avec des alertes.
- Fortinet FortiSIEM Un système SIEM complet basé sur le cloud qui nécessite l'installation d'agents sur site. Il comprend des actions de réponse automatisées pour arrêter les activités malveillantes détectées.
- Rapid7 InsightIDR Un service de sécurité basé sur le cloud qui déploie des agents sur chaque point de terminaison protégé. Les agents assurent la continuité de la protection en cas d'indisponibilité du réseau. Ce service intègre un mécanisme de réponse automatisé.
- OSSEC Un système de détection d'intrusion basé sur l'hôte open source et gratuit. Il ne couvre que la partie SIM du SIEM, mais peut être utilisé pour couvrir les données du réseau en direct en faisant rebondir un flux en direct via des fichiers. Il s'installe sur Windows, macOS, Linux et Unix.
- Plateforme SIEM LogRhythm NextGen Il prend en entrée les statistiques de trafic en direct et les messages de journal. Il applique l’apprentissage automatique basé sur l’IA pour réduire les faux positifs. Il dispose d’excellents guides d’utilisation. Ce progiciel s'installe sous Windows et Linux.
- AT&T Cybersecurity Gestion unifiée de la sécurité AlienVault Un système de sécurité très apprécié et complet développé de manière indépendante qui est désormais un atout d'AT&T. Il fonctionne sous Windows et macOS.
- Sécurité d'entreprise Splunk Il combine la surveillance du réseau et la gestion des journaux pour fournir un outil SIEM avec des utilitaires d'analyse de données. Installations de logiciels sur site sous Windows et Linux.
FAQ McAfee SIEM
Combien de temps les journaux bruts sont-ils stockés dans McAfee SIEM ?
La période de conservation des données brutes des journaux dans McAfee SIEM dépend de vous. La durée de conservation des journaux non compressés peut être de 365 jours, 90 jours ou 30 jours et cela a une grande influence sur le prix que vous payez pour le service.
Comment ajouter une source de données dans McAfee SIEM ?
Afin d'ajouter une source de données au système McAfee SIEM, vous devez ouvrir le tableau de bord d'Enterprise Security Manager (ESM). Vous devez configurer un récepteur d'événements, puis le configurer. L'accès à ce système de configuration se fait via un bouton du tableau de bord qui ressemble à une flèche circulaire pointant vers son centre. Il s'agit de l'icône Obtenir les événements et les flux et une fois que vous entrez dans ce système, le processus d'ajout d'une source de données et de téléchargement d'un collecteur est guidé.
Comment effectuer une capture de paquets dans McAfee SIEM ?
McAfee SIEM ne dispose pas d'outil natif pour la capture de paquets. Au lieu de cela, vous devez émettre un tcpdump commande dans une session de terminal et dirigez la sortie vers un fichier.