Elenco e il confronto dei migliori strumenti SIEM gratuiti open source, Software e soluzioni con caratteristiche, prezzo e confronto:
Che cos’è SIEM?
Il sistema SIEM (Security Information and Event Management) fornisce analisi in tempo reale degli avvisi di sicurezza da parte delle applicazioni e dell’hardware di rete. Include sistemi come gestione dei log, gestione dei log di sicurezza, correlazione degli eventi di sicurezza, gestione delle informazioni di sicurezza, ecc.,
SIEM è una combinazione di Security Event Management (SEM) e Security Information Management (SIM).
Security Event Management può eseguire il monitoraggio delle minacce, la correlazione degli eventi e la risposta agli incidenti analizzando i dati di log e degli eventi in tempo reale. Security Information Management esegue la raccolta, l’analisi e la creazione di report sui dati di registro.
Rapid7 ha effettuato un sondaggio sul rilevamento e la risposta degli incidenti e più del 50% delle persone ha risposto che usano SIEM.
Come agisce SIEM?,
SIEM software raccoglie i dati di log di sicurezza generati da una varietà di fonti come sistemi host e dispositivi di sicurezza come firewall e antivirus. Il secondo passo è quello di elaborare questo registro per convertirlo in un formato standard.
Il passo successivo è quello di eseguire un’analisi per l’identificazione e la categorizzazione di incidenti ed eventi. Quindi, gli avvisi vengono generati se viene rilevato un problema di sicurezza. Lo strumento può anche fornire i report relativi a incidenti ed eventi di sicurezza.,
Secondo la ricerca condotta da AlienVault, la maggior parte delle aziende sono preoccupati per le minacce alla sicurezza cloud, 55% delle imprese sono preoccupati per il phishing e 45% per ransomware.
L’immagine qui sotto vi mostrerà i dettagli della ricerca eseguita da AlienVault:
Gli strumenti SIEM più popolari nel 2021
Di seguito sono elencati i migliori strumenti di gestione delle informazioni sulla sicurezza e degli eventi disponibili sul mercato.
Confronto dei Top SIEM Software
Ecco un confronto di alto SIEM soluzioni:
| SIEM | Meglio di | sistema operativo | Distribuzione | Prova Gratuita | Prezzo |
|---|---|---|---|---|---|
| SolarWinds | Piccole, Medie e Grandi aziende., | Windows, Linux, Mac, Solaris. | On-premise & Cloud | 30 days | Starts at $4665. |
| Datadog | Small, Medium, & Large businesses. | Windows, Mac, Linux, Debian, Ubuntu, CentOS, RedHat. | On-premise and SaaS. | Available | Security Monitoring price starts at $0.20 per GB of analyzed logs per month. |
| Splunk | Small, Medium, and Large businesses. | Windows, Linux, Mac, Solaris., | On-premises & SaaS | Splunk Enterprise: 60 days Splunk Cloud: 15 days Splunk Light: 30 days Splunk Free: Free sample for core enterprise platform. |
Get a quote. |
| McAfee ESM | Small, Medium, and Large businesses. | Windows & Mac. | On-premises, Cloud, or Hybrid | Available | Get a quote. |
| ArcSight | Small, Medium, and Large businesses. | Windows., | Appliance, Software, Cloud (AWS& Azure) | Disponibile | In base ai dati ingeriti e agli eventi di sicurezza correlati al secondo. |
Esploriamo ciascuno dei software SIEM in dettaglio!!
#1) SolarWinds SIEM Security and Monitoring
Ideale per piccole, medie e grandi imprese.
Prezzo: SolarWinds offre una prova gratuita completamente funzionale per 30 giorni. Il prezzo parte da $4665. Ti costerà una tassa una tantum.,
SolarWinds fornisce una soluzione per il rilevamento delle minacce per la rete locale tramite Log e Event Manager. Dispone di funzionalità di monitoraggio dei dispositivi USB e correzione automatica delle minacce. Log e Event Manager ha alcune nuove funzionalità come il filtro dei log, la gestione dei nodi, l’inoltro dei log, la console degli eventi e un aumento del limite di archiviazione.
Caratteristiche:
- E ‘ in grado di eseguire la ricerca avanzata e analisi forense.
- Con il rilevamento evento-tempo di attività sospette, ci sarà più veloce identificazione delle minacce.
- Ha conformità alle normative prontezza., Per questo, supporta HIPAA, PCI, DSS, SOX, DISA, STIG, ecc.
- Mantiene la sicurezza continua.
Verdetto: SolarWinds supporta Windows, Linux, Mac e Solaris. Secondo le recensioni, SolarWinds non ha una suite di sicurezza completa, ma fornisce buone funzionalità e funzionalità per il rilevamento delle minacce. Può essere una buona soluzione per le PMI.
#2) Datadog
Datadog Security Monitoring ti aiuta a proteggere il tuo stack tecnologico attraverso il rilevamento delle minacce in tempo reale., Imposta le integrazioni di sicurezza chiave in pochi minuti; applica le regole di rilevamento OOTB senza un linguaggio di query e correla i segnali di sicurezza per indagare su attività sospette.
Datadog Security Monitoring unifica gli sviluppatori, le operazioni e i team di sicurezza in un’unica piattaforma. Un unico dashboard visualizza i contenuti devops, le metriche aziendali e i contenuti di sicurezza. Rileva le minacce in tempo reale e analizza gli avvisi di sicurezza sulle metriche dell’infrastruttura, sulle tracce distribuite e sui log.,
Caratteristiche principali:
- Con oltre 400 integrazioni supportate dai fornitori, il monitoraggio della sicurezza Datadog consente di raccogliere metriche, log e tracce dall’intero stack e dagli strumenti di sicurezza.
- Le regole di rilevamento di Datadog offrono un modo efficace per rilevare minacce alla sicurezza e comportamenti sospetti all’interno di tutti i log ingeriti, in tempo reale.
- Puoi iniziare a rilevare le minacce in pochi minuti con le regole predefinite predefinite per le tecniche di attacco diffuse.,
- Modifica e personalizza qualsiasi regola con il nostro semplice editor di regole, per soddisfare le esigenze specifiche della tua organizzazione – nessun linguaggio di query richiesto.
- Suddividi i silos tra sviluppatori, sicurezza e team operativi con Datadog Security Monitoring.
#3) Splunk Enterprise SIEM
Ideale per piccole, medie e grandi imprese.
Prezzo: Una prova gratuita è disponibile per il prodotto, ma il periodo di prova differisce secondo il prodotto. Fornisce un campione gratuito per la piattaforma aziendale principale. È possibile ottenere un preventivo da loro., Secondo le recensioni, la licenza enterprise avrà un costo di $6000 per 500 MB al giorno per una licenza perpetua. La licenza di termine è disponibile anche per $2000 all’anno.
Splunk offre operazioni di sicurezza migliorate come dashboard personalizzabili, investigatore delle risorse, analisi statistiche e revisione degli incidenti, classificazione e indagini. Ha caratteristiche di gestione degli avvisi, punteggi di rischio, ecc. Fornisce servizi di sicurezza ai settori pubblici, ai servizi finanziari e all’assistenza sanitaria.
Caratteristiche:
- Può funzionare con qualsiasi dato macchina, anche se proviene dal cloud o in locale.,
- Azioni automatizzate e flussi di lavoro per una risposta rapida e precisa.
- Ha la capacità di sequenziamento degli eventi.
- Rilevamento rapido di minacce dannose.
Verdetto: Al fine, per fornire intuizioni attuabili e predittivi, Splunk fa uso di AI e Machine Learning. Dashboard e visualizzazioni sono personalizzabili. Secondo le recensioni dei clienti, è uno strumento costoso e quindi è meglio per le imprese.
Sito web: Splunk
#4) McAfee ESM
Prezzo: è disponibile anche la versione di prova gratuita. È possibile ottenere un preventivo per i suoi dettagli sui prezzi., Secondo le recensioni online, il prezzo è $39995 per VM e 4 47994 per prezzi hardware comparabili.
McAfee ESM fornisce visibilità in tempo reale per le attività su sistemi, reti, database e applicazioni.
Fornisce vari prodotti relativi alla sicurezza come McAfee Investigator, Advanced Correlation Engine, Application Data Monitor, Enterprise Log Manager, Event Receiver, Global threat intelligence per Enterprise Security Manager e Enterprise Log Search. Otterrete dati utilizzabili da McAfee ESM.
Caratteristiche:
- Avvisi prioritari.,
- Con analisi avanzate e contesto ricco, sarà più facile rilevare e dare priorità alle minacce.
- Presentazione dinamica dei dati. Sarà un dato utilizzabile per indagare, contenere, correggere e adattare per l’importazione di avvisi e modelli.
- I dati saranno monitorati e analizzati da un’ampia infrastruttura di sicurezza eterogenea.
- Ha interfacce aperte per l’integrazione bidirezionale.
Verdetto: McAfee è uno dei popolari strumenti SIEM. Conferma la sicurezza del sistema eseguendo i record di Active directory. Supporta Windows e Mac OS.,
Sito web: McAfee ESM
#5) Micro Focus ArcSight
Ideale per piccole, medie e grandi imprese.
Prezzo: Micro Focus offre una prova gratuita per ArcSight. Ti costerà in base alla quantità di dati ingeriti e agli eventi di sicurezza correlati al secondo.
ArcSight Enterprise Security Manager ha caratteristiche di correlazione distribuita e vista cluster.
È buono in fonti ingestione in quanto supporta più di 500 tipi di dispositivi per l’analisi dei dati. È disponibile tramite l’appliance, il software, AWS e Microsoft Azure.,
Caratteristiche:
- Fornisce una correlazione distribuita combinando il motore di correlazione SIEM con la tecnologia cluster distribuita.
- Può essere integrato con vari machine learning e piattaforma di intelligence.
- Fa uso di agenti o connettori. Supporta più di 300 connettori.
Verdetto: Micro Focus ArcSight è una soluzione scalabile per soddisfare i requisiti di sicurezza esigenti. È bravo a bloccare le minacce e per le prestazioni (100000 EPS).
Sito web: Micro Focus ArcSight
#6) LogRhythm
Migliore per le organizzazioni di medie dimensioni.,
Prezzo: È possibile ottenere un preventivo per un’appliance ad alte prestazioni, una soluzione software e un programma di licenze aziendali. Come per le recensioni online, il prezzo parte da $28000.
LogRhythm fornisce una soluzione SIEM di nuova generazione per problemi come flussi di lavoro frammentati, affaticamento degli allarmi, rilevamento delle minacce segmentato, mancanza di automazione, mancanza di metriche per comprendere la maturità e mancanza di visibilità centralizzata. Ha opzioni di archiviazione dati flessibili.
Caratteristiche:
- Elaborerà i dati non strutturati e fornirà anche una visualizzazione coerente e normalizzata.,
- Supporta sistemi operativi Windows e Linux.
- Si tratta di una tecnologia basata su AI.
- Supporta una vasta gamma di dispositivi e tipi di log.
Verdetto: Questa piattaforma ha tutte le caratteristiche e le funzionalità di analisi comportamentale per registrare correlazione e AI. Secondo le recensioni dei clienti, ha una curva di apprendimento, ma il manuale di istruzioni con collegamenti ipertestuali alle funzionalità ti aiuterà a imparare lo strumento.
Sito web: LogRhythm
#7) AlienVault USM
Migliore per tutte le imprese di dimensioni.
Prezzo: AlienVault offre tre piani tariffari, ovvero, Essentials (Essentials 1075 al mese), Standard ($1695 al mese) e Premium (Premium 2595 al mese). Il piano Essentials funzionerà al meglio per i piccoli team IT, il piano standard è per i team di sicurezza IT e il piano Premium è per quei team di sicurezza IT che desiderano soddisfare specifici requisiti di audit PCI DSS.
AlienVault è l’unica piattaforma con molteplici funzionalità di sicurezza. Dispone di funzionalità per l’individuazione e l’inventario delle risorse, la valutazione delle vulnerabilità, il rilevamento delle intrusioni, la correlazione degli eventi SIEM, i report di conformità, la gestione dei log, gli avvisi via email, ecc.
Si avvale di sensori leggeri e agenti endpoint., Può essere utilizzato da MSSP per personalizzare le loro offerte di servizi di sicurezza.
Caratteristiche:
- Ha una funzione di rilevamento automatico delle risorse in modo che possa essere utilizzato in un ambiente cloud dinamico.
- Gli endpoint verranno costantemente monitorati per minacce e problemi di configurazione.
- Identificazione di vulnerabilità e problemi di configurazione AWS.
- Implementerà più velocemente, funzionerà in modo più intelligente e automatizzerà la caccia alle minacce.
Verdetto: AlienVault USM (Unified Security Management) è la piattaforma per il rilevamento delle minacce, la risposta agli incidenti e la gestione della conformità., Può essere distribuito on-premise, nel cloud o in un ambiente ibrido. Distribuirà più velocemente, funzionerà in modo più intelligente e automatizzerà la caccia alle minacce.
Sito web: AlienVault USM
#8) RSA NetWitness
Ideale per medie e grandi imprese.
Prezzo: È possibile ottenere un preventivo per i suoi dettagli sui prezzi. Secondo le recensioni online, il prezzo di partenza sarà di 8 857 al mese per una licenza a termine. Queste tariffe sono per l’impresa tipica.,
Questa piattaforma utilizza varie fonti di dati come RSA NetWitness logs, RSA NetWitness Network, RSA NetWitness Endpoint, RSA NetWitness UEBA e Orchestrator.
Per una risposta definitiva, fornisce funzionalità di orchestrazione e automazione agli analisti. Per questo, si collega con gli incidenti nel tempo e identificherà la portata di un attacco. Aiuterà gli analisti a sradicare le minacce prima che impatta sul business.
Caratteristiche:
- Utilizzando l’intelligence delle minacce e il contesto aziendale, esegue l’arricchimento dei dati in tempo reale.,
- Questo arricchimento dei dati in tempo reale aiuterà gli analisti durante l’indagine rendendo i dati di sicurezza più utili.
- Può estrarre automaticamente meta-dati rilevanti per le minacce facendo uso di algoritmi specializzati.
- Fornisce una gestione completa degli incidenti.
- Offre flessibilità nella distribuzione in quanto può essere distribuito come una singola appliance o multipla, parzialmente o completamente virtualizzato, e on-premise o nel cloud.
Verdetto: Questa piattaforma vi fornirà vantaggi di visibilità senza pari, risposta definitiva, e il rilevamento avanzato delle minacce., Per i metadati estesi, funziona con diverse fonti per estrarre i metadati rilevanti per le minacce in più di 200 campi di metadati.
Sito web: RSA NetWitness
#9) EventTracker
Ideale per piccole, medie e grandi imprese.
EventTracker è la piattaforma con molteplici funzionalità come SIEM& Gestione dei log, Rilevamento delle minacce& Risposta, valutazione delle vulnerabilità, analisi del comportamento degli utenti e delle entità, orchestrazione e automazione della sicurezza e conformità.
Ha piastrelle dashboard personalizzabili e flussi di lavoro automatizzati., Fornisce viste scalabili per schermi di piccole dimensioni e display SOC.
Caratteristiche:
- Genererà avvisi basati su regole in tempo reale.
- Esegue l’elaborazione in tempo reale e la correlazione che sarà utile per l’analisi del comportamento e la correlazione.
- sono inclusi 1500 report di sicurezza e conformità predefiniti.
- Fornisce un unico pannello di vetro per SOC, display reattivo ottimizzato e ricerca elastica più veloce.
- Vi permetterà di pre-configurare gli avvisi per la sicurezza multipla e condizioni operative.,
Verdetto: La soluzione può essere utilizzata in più settori come finanza & bancario, legale, istruzione superiore, vendita al dettaglio, sanità, ecc. Può essere distribuito nel cloud o in locale.
Sito web: EventTracker
#10) Securonix
Ideale per piccole, medie e grandi imprese.
Prezzo: Richiedi un preventivo.
Securonix è la piattaforma SIEM di nuova generazione per raccogliere dati su vasta scala, rilevare le minacce avanzate e rimediare rapidamente alle minacce. È una piattaforma scalabile basata su Hadoop. Sarà consegnato nel cloud come servizio., Esso vi permetterà di esportare i dati visualizzati in formati di dati standard.
Caratteristiche:
- Intelligent incident response.
- Ha funzionalità per l’analisi del comportamento degli utenti e delle entità, la caccia alle minacce, l’orchestrazione della sicurezza, l’automazione e la risposta.
- Per la risposta agli incidenti intelligente e automatizzato, si avvale di Securonix Response Bot.
- È un motore di raccomandazione e si basa sull’intelligenza artificiale.
Verdetto: Securonix è una piattaforma scalabile basata sull’apprendimento automatico., Le minacce complesse verranno trovate utilizzando l’analisi del comportamento e l’apprendimento automatico.
Sito web: Securonix
#11) Rapid7
Ideale per piccole, medie e grandi imprese.
Prezzo: Richiedi un preventivo.
Insight IDR è una soluzione cloud SIEM di Rapid7. Per la raccolta e la ricerca dei dati, dispone di una piattaforma Insight basata su cloud.
È possibile rilevare minacce come malware, phishing e credenziali rubate. Ha le caratteristiche di analisi del comportamento degli utenti e degli attaccanti, gestione centralizzata dei log, tecnologia di inganno, monitoraggio dell’integrità dei file, ecc., Esegue la scansione degli endpoint per il rilevamento in tempo reale.
Caratteristiche:
- Fornisce analisi del comportamento degli attaccanti.
- Ha una gestione centralizzata dei log.
- Per l’analisi del comportamento degli utenti, si basa continuamente sull’attività sana dell’utente.
- Per il rilevamento e la visibilità degli endpoint, utilizza Insight Agent.
- Creazione automatica di ticket corrispondenti per qualsiasi tipo di avviso creato o gestito da InsightIDR.
Verdetto: Rapid7 fornisce log cloud-based e la gestione degli eventi. Non richiederà alcuna manutenzione in corso., Ti aiuterà a prendere decisioni intelligenti e rapide unendo la ricerca dei log, il comportamento degli utenti e i dati degli endpoint.
Sito Web: Rapid7
#12) IBM Security QRadar
Ideale per: Medie e grandi imprese.
Prezzo: Richiedi un preventivo da IBM Security QRadar. Secondo le recensioni disponibili online, il prezzo parte da 8 800 al mese. Per l’appliance virtuale di 100 EPS, il prezzo è di $10.700. C’è una prova gratuita per 14 giorni.,
IBM Security QRadar è una piattaforma SIEM leader di mercato, che fornisce il monitoraggio della sicurezza dell’intera infrastruttura IT attraverso la raccolta dei dati di log, la correlazione degli eventi e il rilevamento delle minacce.
QRadar consente di assegnare priorità agli avvisi di sicurezza utilizzando database di threat intelligence e vulnerabilità e una soluzione di gestione del rischio integrata e supporta l’integrazione con antivirus, IDS/IPS e sistemi di controllo degli accessi.,
QRadar è un core SOC estensibile, che può essere arricchito con funzionalità aggiuntive collegando varie applicazioni utili disponibili sul portale IBM Security App Exchange.
Caratteristiche:
- Motore avanzato di correlazione delle regole e tecnologia di profilazione comportamentale.
- Piattaforma versatile e altamente scalabile con ampie funzionalità e preset pronti all’uso per diversi casi d’uso.
- Un solido ecosistema di integrazioni di IBM, fornitori di terze parti e comunità.,
Verdetto: ibmqradaroffre numerose funzionalità per la raccolta dei dati, attività di log, attività di rete, e le risorse. Fornisce supporto ai browser IE, Firefox e Chrome. Secondo le recensioni dei clienti, si concentra su incidenti critici.
Conclusione
Abbiamo visto i migliori strumenti SIEM, insieme al loro confronto e recensioni.
La maggior parte dei servizi seguono un modello di prezzo basato preventivo e offrono una prova gratuita. SolarWinds e Splunk sono le migliori soluzioni per SIEM., McAfee ESM è uno dei più diffusi software SIEM e dispone di funzionalità come avvisi prioritari e presentazione dinamica dei dati.
ArcSight ESM è utile per l’ingestione di fonti ed è disponibile tramite appliance, software, AWS e Microsoft Azure. IBM Security QRadar supporta la piattaforma Linux e si concentrerà su incidenti critici. LogRhythm è una tecnologia basata sull’IA e può elaborare dati non strutturati.
AlienVault dispone di molteplici funzionalità di sicurezza e fornirà il rilevamento automatico delle risorse. RSA NetWitness vi fornirà la gestione completa degli incidenti., EventTracker è una piattaforma con molteplici funzionalità e ha caratteristiche come piastrelle dashboard personalizzabili e flussi di lavoro automatizzati.
Securonix è la piattaforma SIEM di nuova generazione basata su Hadoop.
Spero che questo articolo vi aiuterà con la selezione del giusto strumento SIEM per il vostro business.