lista y comparación de las mejores herramientas, Software y soluciones SIEM gratuitas de código abierto con características, precio y comparación:
¿Qué es SIEM?
el sistema SIEM (Security Information and Event Management) proporciona análisis en tiempo real de alertas de seguridad por aplicaciones y hardware de red. Incluye sistemas como Gestión de Registros, gestión de registros de seguridad, correlación de eventos de Seguridad, Gestión de información de seguridad, etc.,
SIEM es una combinación de gestión de eventos de seguridad (SEM) y Gestión de información de seguridad (SIM).
Security Event Management puede realizar la supervisión de amenazas, la correlación de eventos y la respuesta a incidentes mediante el análisis del registro y los datos de eventos en tiempo real. Security Information Management realiza la recopilación, el análisis y la elaboración de informes sobre los datos de registro.
Rapid7 ha realizado una encuesta sobre detección y respuesta a incidentes y más del 50% de las personas han respondido que utilizan SIEM.
¿Cómo actúa SIEM?,
Siem software recopila los datos de registro de seguridad generados por una variedad de fuentes como sistemas host y dispositivos de seguridad como firewalls y antivirus. El segundo paso es procesar este registro para convertirlo en un formato estándar.
el siguiente paso es realizar un análisis para la identificación y categorización de incidentes y eventos. Por lo tanto, las alertas se generan si se encuentra un problema de seguridad. La herramienta también puede proporcionar los informes que están relacionados con incidentes y eventos de seguridad.,
según la investigación realizada por AlienVault, la mayoría de las empresas están preocupadas por las amenazas de seguridad en la nube, el 55% de las empresas están preocupadas por el phishing y el 45% por el ransomware.
la siguiente imagen le mostrará los detalles de la investigación realizada por AlienVault:
las herramientas SIEM más populares en 2021
enlistadas a continuación son las mejores herramientas de información de seguridad y Gestión de eventos que están disponibles en el mercado.
Comparación de la parte Superior SIEM Software
Aquí es una comparación de las mejores soluciones SIEM:
SIEM | Mejor para | OS de la Plataforma | Implementación | Prueba Gratuita | Precio |
---|---|---|---|---|---|
SolarWinds | Pequeñas, Medianas y Grandes empresas., | Windows, Linux, Mac, Solaris. | On-premise & Cloud | 30 days | Starts at $4665. |
Datadog | Small, Medium, & Large businesses. | Windows, Mac, Linux, Debian, Ubuntu, CentOS, RedHat. | On-premise and SaaS. | Available | Security Monitoring price starts at $0.20 per GB of analyzed logs per month. |
Splunk | Small, Medium, and Large businesses. | Windows, Linux, Mac, Solaris., | On-premises & SaaS | Splunk Enterprise: 60 days Splunk Cloud: 15 days Splunk Light: 30 days Splunk Free: Free sample for core enterprise platform. |
Get a quote. |
McAfee ESM | Small, Medium, and Large businesses. | Windows & Mac. | On-premises, Cloud, or Hybrid | Available | Get a quote. |
ArcSight | Small, Medium, and Large businesses. | Windows., | Appliance, Software, Cloud (AWS & Azure) | disponible | basado en datos ingeridos y eventos de seguridad correlacionados por segundo. |
Vamos a Explorar cada uno de los SIEM software en detalle!!
#1) SolarWinds Siem Security and Monitoring
mejor para pequeñas, medianas y grandes empresas.
Precio: SolarWinds ofrece una prueba gratuita totalmente funcional durante 30 días. El precio comienza en $4665. Le costará una tarifa única.,
SolarWinds proporciona una solución para la detección de amenazas para la red local a través de Log y Event Manager. Tiene características de monitoreo de dispositivos USB y remediación automática de amenazas. Log and Event Manager tiene algunas características nuevas como filtrado de Registros, administración de nodos, reenvío de Registros, consola de eventos y aumento del límite de almacenamiento.
Características:
- Puede realizar búsqueda avanzada y análisis forense.
- con la detección de actividad sospechosa en tiempo de evento, habrá una identificación más rápida de las amenazas.
- Tiene preparación para el cumplimiento normativo., Para esto, es compatible con HIPAA, PCI,DSS, SOX, DISA, STIG, etc.
- mantiene la seguridad continua.
veredicto: SolarWinds es compatible con Windows, Linux, Mac y Solaris. Según los comentarios, SolarWinds no tiene una suite de seguridad completa, pero proporciona buenas características y capacidades para la detección de amenazas. Puede ser una buena solución para las Pymes.
#2) Datadog
Datadog Security Monitoring le ayuda a proteger su pila de tecnología a través de la detección de amenazas en tiempo real., Configure integraciones de seguridad clave en minutos; aplique reglas de detección OOTB sin un lenguaje de consulta y correlacione las señales de seguridad para investigar actividades sospechosas.
el monitoreo de seguridad de Datadog unifica a los desarrolladores, las operaciones y los equipos de seguridad en una sola plataforma. Un único panel muestra contenido de devops, métricas de negocio y contenido de seguridad. Detecte amenazas en tiempo real e investigue alertas de seguridad en las métricas de su infraestructura, los rastros distribuidos y los registros.,
Características principales:
- Con más de 400 + integraciones respaldadas por proveedores, el monitoreo de seguridad de Datadog le permite recopilar métricas, registros y rastros de toda su pila, así como de sus herramientas de seguridad.
- Las reglas de detección de Datadog le brindan una forma poderosa de detectar amenazas de seguridad y comportamientos sospechosos dentro de todos los registros ingeridos, en tiempo real.
- Puede comenzar a detectar amenazas en minutos con reglas predeterminadas listas para usar para técnicas de atacantes generalizadas.,
- edite y personalice cualquier regla con nuestro sencillo editor de reglas, para satisfacer las necesidades específicas de su organización, sin necesidad de lenguaje de consulta.
- rompa los silos entre los desarrolladores, la seguridad y los equipos de operaciones con la supervisión de seguridad de Datadog.
#3) Splunk Enterprise SIEM
ideal para Pequeñas, Medianas y Grandes empresas.
Precio: una prueba gratuita está disponible para el producto, pero el período de prueba difiere según el producto. Proporciona una muestra gratuita para la plataforma empresarial principal. Puede obtener una cotización de ellos., Según las revisiones, la licencia empresarial costará $6000 por 500 MB por día para una licencia perpetua. La licencia de término también está disponible por $2000 por año.
Splunk proporciona operaciones de seguridad mejoradas, como paneles personalizables, investigador de activos, análisis estadístico y revisión, clasificación e investigación de incidentes. Cuenta con características de gestión de alertas, puntuaciones de riesgo, etc. Proporciona servicios de seguridad a los sectores públicos, servicios financieros y atención médica.
Características:
- Puede trabajar con cualquier dato de la máquina, incluso si es de la nube o en las instalaciones.,
- acciones y flujos de trabajo automatizados para una respuesta rápida y precisa.
- tiene la capacidad de secuenciación de eventos.
- detección rápida de amenazas maliciosas.
veredicto: con el fin de proporcionarle información útil y predictiva, Splunk hace uso de la IA y el aprendizaje automático. Los paneles y las visualizaciones son personalizables. Según los comentarios de los clientes, es una herramienta costosa y, por lo tanto, es mejor para las empresas.
sitio web: Splunk
#4) McAfee ESM
precio: la prueba gratuita también está disponible. Puede obtener una cotización para sus detalles de precios., Según las revisiones en línea, el precio es de VM 39995 para VM y 4 47994 para precios de hardware comparables.
McAfee ESM le proporcionará visibilidad en tiempo real de las actividades del sistema, las redes, las bases de datos y las aplicaciones.
Proporciona varios productos relacionados con la seguridad, como McAfee Investigator, Advanced Correlation Engine, Application Data Monitor, Enterprise Log Manager, Event Receiver, Global threat intelligence for Enterprise Security Manager y Enterprise Log Search. Obtendrá datos procesables de McAfee ESM.
Características:
- alertas priorizadas.,
- con análisis avanzados y contexto enriquecido, será más fácil detectar y priorizar las amenazas.
- Presentación dinámica de datos. Será un dato procesable para investigar, contener, remediar y adaptar para importar alertas y patrones.
- Los datos serán monitoreados y analizados desde una amplia infraestructura de seguridad heterogénea.
- tiene interfaces abiertas para la integración bidireccional.
veredicto: McAfee es una de las herramientas populares de SIEM. Confirma la seguridad del sistema corriendo a través de sus registros de active directory. Es compatible con Windows y Mac OS.,
sitio Web: McAfee ESM
#5) Micro Focus ArcSight
ideal para Pequeñas, Medianas y Grandes empresas.
Precio: Micro Focus ofrece una prueba gratuita para ArcSight. Le costará según la cantidad de datos ingeridos y los eventos de seguridad correlacionados por segundo.
ArcSight Enterprise Security Manager tiene características de correlación distribuida y vista de clúster.
es bueno en la ingestión de fuentes, ya que admite más de 500 tipos de dispositivos para analizar los datos. Está disponible a través del dispositivo, el software, AWS y Microsoft Azure.,
Características:
- proporciona una correlación distribuida combinando el motor de correlación SIEM con la tecnología de clúster distribuido.
- Se puede integrar con varias plataformas de aprendizaje automático e inteligencia.
- hace uso de agentes o conectores. Soporta más de 300 conectores.
veredicto: Micro Focus ArcSight es una solución escalable para cumplir con los exigentes requisitos de seguridad. Es bueno para bloquear amenazas y para el rendimiento (100000 EPS).
sitio web: Micro Focus ArcSight
#6) LogRhythm
mejor para organizaciones medianas.,
precio: puede obtener una cotización Para un dispositivo de alto rendimiento, una solución de software y un programa de licencias empresariales. Según los comentarios en línea, el precio comienza en $28000.
LogRhythm proporciona una solución SIEM de próxima generación para problemas como flujos de trabajo fragmentados, fatiga de alarmas, detección de amenazas segmentada, falta de automatización, falta de métricas para comprender la madurez y falta de visibilidad centralizada. Tiene opciones flexibles de almacenamiento de datos.
Características:
- procesará datos no estructurados y también le proporcionará una vista uniforme y normalizada.,
- Es compatible con Windows y Linux OS.
- Es una tecnología basada en Ia.
- Es compatible con una amplia gama de dispositivos y tipos de registro.
veredicto: esta plataforma tiene todas las características y funcionalidades desde el análisis de comportamiento hasta la correlación de Registros y la IA. Según los comentarios de los clientes, tiene una curva de aprendizaje, pero el manual de instrucciones con hipervínculos a las características le ayudará a aprender la herramienta.
sitio web: LogRhythm
#7) AlienVault USM
mejor para empresas de cualquier tamaño.
Precio: AlienVault ofrece tres planes de precios es decir,, Essentials (1 1075 por mes), Standard (Standard 1695 por mes) y Premium (Premium 2595 por mes). El plan Essentials funcionará mejor para equipos de TI pequeños, el plan Estándar es para equipos de seguridad de ti y el Plan Premium es para aquellos equipos de seguridad de TI que desean cumplir con los requisitos específicos de auditoría PCI DSS.
AlienVault es la única plataforma con múltiples capacidades de seguridad. Tiene funciones para el descubrimiento e inventario de activos, evaluación de vulnerabilidades, detección de intrusiones, correlación de eventos SIEM, informes de cumplimiento, administración de Registros, alertas por correo electrónico, etc.
hace uso de sensores ligeros y agentes de punto final., Puede ser utilizado por MSSPs para adaptar sus ofertas de servicios de seguridad.
Características:
- Tiene una función de detección automática de activos para que pueda utilizarse en un entorno de nube dinámico.
- Los Endpoints se supervisarán continuamente para detectar amenazas y problemas de configuración.
- Identificación de vulnerabilidades y problemas de configuración de AWS.
- Se implementará más rápido, funcionará de forma más inteligente y automatizará la búsqueda de amenazas.
veredicto: AlienVault USM (Unified Security Management) es la plataforma para la detección de amenazas, la respuesta a incidentes y la gestión del cumplimiento., Se puede implementar en las instalaciones, en la nube o en un entorno híbrido. Se implementará más rápido, funcionará de manera más inteligente y automatizará la búsqueda de amenazas.
sitio web: AlienVault USM
#8) RSA NetWitness
mejor para medianas y grandes empresas.
precio: puede obtener una cotización para sus detalles de precios. Según las revisiones en línea, el precio inicial será de $857 por mes para una licencia a término. Estas tarifas son para la empresa típica.,
esta plataforma hace uso de varias fuentes de datos como RSA NetWitness logs, RSA NetWitness Network, RSA NetWitness Endpoint, RSA NetWitness UEBA y Orchestrator.
para una respuesta definitiva, proporciona capacidades de orquestación y automatización a los analistas. Para ello, se conecta con los incidentes a lo largo del tiempo e identificará el alcance de un ataque. Ayudará a los analistas a erradicar las amenazas antes de que afecten al negocio.
Características:
- utilizando la inteligencia de amenazas y el contexto empresarial, realiza el enriquecimiento de datos en tiempo real.,
- este enriquecimiento de datos en tiempo real ayudará a los analistas durante la investigación al hacer que los datos de seguridad sean más útiles.
- Puede extraer automáticamente metadatos relevantes para amenazas mediante el uso de algoritmos especializados.
- proporciona una gestión completa de incidentes.
- proporciona flexibilidad en la implementación, ya que se puede implementar como un solo dispositivo o múltiples, parcial o totalmente virtualizado, y en las instalaciones o en la nube.
veredicto: esta plataforma le proporcionará beneficios de visibilidad inigualable, respuesta definitiva y detección avanzada de amenazas., Para metadatos extensos, trabaja con diferentes fuentes para extraer metadatos relevantes para amenazas en más de 200 campos de metadatos.
sitio web: RSA NetWitness
#9) EventTracker
mejor para pequeñas, medianas y grandes empresas.
EventTracker es la plataforma con múltiples capacidades como Siem& administración de Registros, detección de amenazas& respuesta, evaluación de vulnerabilidades, análisis de comportamiento de usuarios y entidades, orquestación y automatización de seguridad y cumplimiento.
Tiene cuadros de mando personalizables y flujos de trabajo automatizados., Proporciona vistas escalables para pantallas pequeñas y pantallas SOC.
Características:
- generará alertas basadas en reglas en tiempo real.
- realiza el procesamiento y la correlación en tiempo real que será útil para el análisis de comportamiento y la correlación.
- Se incluyen 1500 informes de seguridad y cumplimiento predefinidos.
- proporciona un solo panel de vidrio para SOC, pantalla responsiva optimizada y búsqueda elástica más rápida.
- le permitirá preconfigurar las alertas para múltiples condiciones de seguridad y operativas.,
veredicto: la solución se puede utilizar en múltiples industrias como finanzas & banca, legal, Educación Superior, Venta minorista, atención médica, etc. Se puede implementar en la nube o en las instalaciones.
sitio Web: EventTracker
#10) Securonix
ideal para pequeñas, medianas y grandes empresas.
Precio: obtenga una cotización.
Securonix es la plataforma Siem de próxima generación para recopilar datos a escala, detectar amenazas avanzadas y remediarlas rápidamente. Es una plataforma escalable basada en Hadoop. Se entregará en la nube como un servicio., Le permitirá exportar los datos visualizados en formatos de datos estándar.
Características:
- Respuesta inteligente a incidentes.
- tiene capacidades para análisis de comportamiento de usuarios y entidades, búsqueda de amenazas, orquestación de seguridad, automatización y respuesta.
- para la respuesta a incidentes inteligente y automatizada, utiliza el bot de respuesta Securonix.
- Es un motor de recomendación y se basa en la inteligencia artificial.
veredicto: Securonix es una plataforma escalable basada en aprendizaje automático., Las amenazas complejas se detectarán mediante el análisis del comportamiento y el aprendizaje automático.
sitio Web: Securonix
#11) Rapid7
ideal para pequeñas, medianas y grandes empresas.
Precio: obtenga una cotización.
Insight IDR es una solución SIEM en la nube de Rapid7. Para la recopilación y búsqueda de datos, cuenta con una plataforma de información basada en la nube.
Se pueden detectar amenazas como malware, phishing y credenciales robadas. Tiene las características de análisis de comportamiento de usuarios y atacantes, administración centralizada de Registros, tecnología de engaño, monitoreo de integridad de archivos, etc., Explorará los puntos finales para la detección en tiempo real.
Características:
- proporciona análisis del comportamiento del atacante.
- Tiene gestión centralizada de Registros.
- Para el análisis del comportamiento del Usuario, se basa continuamente en la actividad saludable del usuario.
- para la detección y visibilidad de endpoints, utiliza Insight Agent.
- Creación automática de tickets correspondientes para cualquier tipo de alerta que sea creada o gestionada por Insightider.
veredicto: Rapid7 proporciona registro basado en la nube y gestión de eventos. No requerirá ningún mantenimiento continuo., Le ayudará a tomar decisiones inteligentes y rápidas al unir la búsqueda de Registros, el comportamiento del usuario y los datos de los endpoints.
sitio web: Rapid7
#12) IBM Security QRadar
mejor para: medianas y grandes empresas.
Precio: obtenga una cotización de IBM Security QRadar. Según los comentarios disponibles en línea, el precio comienza en $800 por mes. Para el dispositivo virtual de 100 EPS, el precio es de $10,700. Hay una prueba gratuita de 14 días.,
IBM Security QRadar es una plataforma SIEM líder en el mercado, que proporciona supervisión de seguridad de toda su infraestructura de TI a través de la recopilación de datos de registro, la correlación de eventos y la detección de amenazas.
QRadar le permite priorizar alertas de seguridad utilizando bases de datos de vulnerabilidades e inteligencia de amenazas y una solución de gestión de riesgos incorporada y admite la integración con antivirus, IDS/IPS y sistemas de control de acceso.,
QRadar es un núcleo SoC extensible, que se puede enriquecer con funcionalidad adicional conectando varias aplicaciones útiles disponibles en el portal IBM Security App Exchange.
Características:
- motor avanzado de correlación de reglas y tecnología de perfiles de comportamiento.
- plataforma versátil y altamente escalable con una amplia funcionalidad lista para usar y ajustes preestablecidos para diferentes casos de uso.
- Un sólido ecosistema de integraciones de IBM, proveedores externos y comunidad.,
veredicto: Ibmqradarofrece numerosas funciones para la recopilación de datos, la actividad de registro, la actividad de red y los activos. Proporciona soporte para los navegadores IE, Firefox y Chrome. Según las opiniones de los clientes, se centra en incidentes críticos.
conclusión
hemos visto las mejores herramientas SIEM, junto con su comparación y revisiones.
la mayoría de los servicios siguen un modelo de precios basado en cotizaciones y ofrecen una prueba gratuita. SolarWinds y Splunk son las mejores soluciones para SIEM., McAfee ESM es uno de los software Siem más populares y tiene características como alertas priorizadas y presentación dinámica de datos.
ArcSight ESM es bueno para la ingestión de fuentes y está disponible a través del dispositivo, el software, AWS y Microsoft Azure. IBM Security QRadar es compatible con la plataforma Linux y se centrará en incidentes críticos. LogRhythm es una tecnología basada en IA y puede procesar datos no estructurados.
AlienVault tiene múltiples capacidades de seguridad y proporcionará el descubrimiento automatizado de activos. RSA NetWitness le proporcionará una gestión completa de incidentes., EventTracker es una plataforma con múltiples capacidades y tiene características como mosaicos de paneles personalizables y flujos de trabajo automatizados.
Securonix es la plataforma Siem de próxima generación basada en Hadoop.
espero que este artículo le ayude con la selección de la herramienta Siem adecuada para su negocio.