“适应性极强,灵活多变”
我们在整个公司中使用Splunk Enterprise SIEM安全用于各种目的。Splunk Enterprise ESIM是一款智能工具,可以分析和关联来自网络端点、条目、病毒和弱点的实时数据,以使用指定的和内置的规则发送警报。仪表板使用简单,并提供我们所需的所有信息。Splunk Enterprise SIEM是一款多功能产品,我喜欢它是因为它的安全功能。该产品产生准确和大量的数据,帮助我们提高我们公司的安全性。
“一个易于扩展、稳定和安全的解决方案。”
lorhythm解决方案用于监视我们的大多数服务器,使用场景是为了确保没有异常发生。它增加了组织的安全感。我们对它收集的数据很有信心,我们可以通过它的指标看到是否有什么东西没有报告,所以我们可以立即知道我们的一个主要服务器是否运行正常,我们可以快速修复它。除此之外,溶液的稳定性非常好。它从每天生成数千个警报,其中大多数是心跳错误或关键组件,到每天只生成几百个警报,其中一些是诊断警报铃声,因此通过一些日常维护,LogRythm已经成为一个可靠的解决方案。
“良好的SIEM解决方案具有伟大的功能,并不断更新。”
QRadar是我工作过的最好的SIEM解决方案之一。首先,与其他SIEM解决方案相比,该解决方案的部署非常容易。流的集成,加上事件,使其独特于其他SIEM解决方案。日志源与QRadar的集成非常容易,当前版本具有DSM编辑器特性,这使得我们很容易编写自定义解析器。QRadar的处理能力非常强,CRE工作没有任何问题。我们还可以集成几个第三方应用程序,这也是一个额外的优势。传统的仪表盘不吸引人,然而,新的Pusle仪表盘提供了一个伟大的可见性。此外,传统的用户界面也不太吸引人,但有一个叫做分析师工作流的应用程序,它也被分类了。这个产品的一个重要缺点是供应商支持,一些技术人员实际上没有详细检查问题,只是简单地要求我们升级产品,响应时间也不是很好。
“保护设备的最佳方式”
McAfee端点安全集中管理所有与稳定性相关的问题,如病毒、威胁、防火墙和web攻击。授予具有singMcAfee端点安全的企业解决方案集中管理所有与稳定性相关的问题,如病毒、威胁、防火墙和web攻击。授予具有单个处理程序和多个解决方案的企业解决方案。它在行动中立即并始终如一地搜索病毒。它有一个井然有序的行政机构。Le处理程序和多重分辨率。它在行动中立即并始终如一地搜索病毒。它有一个井然有序的行政机构。
“在一个强大的分析引擎上高度自定义的事件分类”
Splunk的价值在于易于扩展。虽然这不是绝对的,但有很多机会可以定制ES / Splunk来支持自定义工作流和丰富内容。您可以根据数据中的任何属性或条件生成安全警报。评估、过滤和可视化很容易结合在一起(这是分析平台的一个基本属性,如果这个功能太难工作,它就会缺乏使用)。是否有想要监视、检测、分类或调查的奇怪数据?也许是自定义数据,没有社区或供应商开发解决方案?Splunk使其易于摄入;然而,同样重要的是,它使分析人员能够轻松地使用支持强大命令的SPL进行分析。为了在其他厂商的分析平台上复制Splunk的功能,我们不得不编写自定义的python脚本或bash脚本,将数据传递给其他工具,这一过程并不适用于每个SOC。就现有的Splunk平台的优势而言,通过SPL访问事件信息和安全事件的能力,在问题浮出水面时执行和创建临时和按需自定义分析,并将过滤后的数据传递给Splunk的命令,这使得在我们的日常操作中取代Splunk的想法令人生畏。 While Splunks "compatibility" is not the main reason why we love the solution, it is a huge selling point to others. Splunk base, and the community behind it, offers significant value. However, most SIEMs compatibility is strong these days. While it's one reason for their success, some organizations may get more value out of the extensibility rather than near "out of the box" integrations.
“用户友好的安全解决方案”
几年前我们发现了这个项目,发现它是最好的替代方案。它符合我们组织的网络安全要求。成为LogPoint会员的好处之一是客户可以收到SOAR,这是一种自动化SOC分析日常任务的工具。SOC分析师不再需要验证低水平警报和清洁记录,现在SOAR可用。相反,OSC分析可能应用批判性思维来解决困难的问题,而SOAR处理简单的问题。
“最佳日志分析和事件管理工具”
Elastic ELK Stack SIEM是最好的免费软件之一,可以通过调整和共享来构建整个系统。它的多个强大功能可以帮助我们降低成本,并提高整个基础设施的安全性,对于我们的高技能IT和网络安全专家来说,使用起来非常简单。ELK是一款现代SIEM,适用于现代安全运营中心SOC,可轻松处理各种活动。与其他产品不同,Elastic ELK Stack SIEM具有全面的开箱即用功能,具有吸引力和强大的功能,可以有效地完成任务。
“易于管理安全和风险因素”
大约两年前,在我朋友的帮助下,我在我们的组织中部署了太阳风,当时它对我们非常有用。我发现Solarwinds SEM工具是最直接、最经济的事件管理解决方案。SolarWinds SEM是一款可用于许多活动的现成软件,例如威胁检测、生成分析报告、监控系统、集中日志等,这是以前从未见过的,而我们的团队很高兴与这个自动化的网络威胁情报系统合作。
“他们首先理解了整个问题,然后非常耐心地提供帮助。”
这让我很容易在长时间离开这个项目后回到这里。除了在动画方面的优势外,我还发现它比矢量图形更好(至少在说明方面,比如角色或背景)。虽然它已经积累了几十年的不直观、令人难以置信的行为,即使是基本的功能也需要长时间的变通,但Animate的矢量插图简单、直接,而且不太容易出现错误。
“让安全顾问的生活变得简单的伟大产品”
使用这个产品的经验非常棒,我最喜欢它的地方是团队在新的检测和零日攻击和发现的漏洞时发送的及时行动和警报。此外,他们对发现的漏洞有非常精确的描述和解决方案。
“有能力和高效的SIEM。”
我们公司已经使用Securonix Next-Gen SIEM有一段时间了,根据我的经验,这是一个很棒的SIEM。通过单一平台,它完美地帮助我们检测和响应高级安全威胁。它在很多情况下拯救了我们,因为它强大的人工智能(在检测攻击方面近乎完美),以及它强大而高效的工具,帮助安全分析师研究和响应问题。客户服务也很棒,他们能迅速解决消费者可能遇到的任何困难。
“简单易行的SIEM,强大的力量和雄辩的执行力”
Exabeam有一个很好的产品,简单的站立,支持团队协助粒度配置和微调不像我们想象的那样了解产品;其他支持工程师是这样的,但这确实耽误了我们一些功能的设置。也就是说,Exabeam能够简洁地向分析师展示最重要的事件,这是其他任何供应商无法比拟的。Exabeam从所有日志源获取数据,并构建一个清晰的事件可视化时间轴,这在大多数情况下消除了所有调查工作,让分析师只做决定。我们需要一个全职管理员和3个SOC分析师才能从我们的旧SIEM中获得这个价值。通过Exabeam的简单性,我们的帮助台现在是SOC分析师
“管理引擎ADAudit + -一个伟大的工具,必须为中小企业。”
Manageengine adaudit plus是一个出色的工具,它不做1000件事情,但做了20件必需的事情,而且做得很好。我们使用这个工具已经有一段时间了,在最初的理解之后,我们从这个工具中受益良多,并发现它对我们的组织有很大的价值。它有几个报告配置工具和标准模板,足以满足我们的需求。仪表板很整洁,有很多不同的排列和组合选项,可以根据我们组织的需要生成定制的和可用的格式。除了活动目录对象之外,它还具有有限的交换对象功能,这是一个额外的好处
“卓越的保安编排平台”
我们使用Splunk作为威胁监控和核心安全操作平台,作为一个聚合平台,连接我们的Splunk工具,并连接组织内外提供入口和出口连接的所有应用程序。我们使用登录平台的这一部分,这是一个公司范围内的程序,用于启用所有应用程序的登录,这些应用程序正在使用捐助者安全指标。我们的团队有足够的能力在现有的分类方法中识别出很多自动化的想法。目前的Playbooks非常简单,并提供多种集成选项,包括可视化编辑器和API,人们可以在Sandbox上快速开发想法,并立即有效地实现它。在某种程度上,流程和剧本并没有减少识别和纠正漏洞的时间,但我们能够识别出这将提高流程的效率,如果那个人真的会产生很多错误。从一个角度来看,我们相信安全编排只会在流程方面带来更好的性能
“目前可用的最佳SIEM和日志聚合工具”
我真的很惊讶像Graylog这样的产品是免费的开源的。与其他人相比,我一直是一个相对较短的系统管理员,所以我开始使用Graylog作为我们的SIEM工具。它所提供的对日志和操作的灵活性和洞察力是惊人的。我已经检查了一些其他工具,但他们似乎没有提供几乎相同的Graylog(或者他们花费吨)。来自数百万个不同地方和不同类型的数以吨计的日志,Graylog处理它们没有任何问题。
“可能是目前市场上最好的SIEM解决方案”
由于数字化转型多年来一直是我们公司的优先事项,我们也非常关注IT网络安全。如今,一个好的SIEM工具是必须的,Fortinet提供了一个。它有一个很棒的数据管理,你可以真正看到你的组织在网络安全问题上发生了什么。你可以立即看到事件,并尽快做出反应。强烈推荐!
“它涉及识别和检测威胁,比如对安全事件的反应。”
我们喜欢网关上的这个工具,因为它允许我们捕获网络信息并将其传输给安全和网络工作人员。这样,我们就可以看到并检测威胁,从而减轻威胁。我喜欢友好、直观的界面和管理和配置安全规则的直截了当。
“适合所有级别工程师的伟大SIEM工具”
作为一名安全工程师,我有机会使用和管理多个SIEM解决方案。在我使用过的技术中,最简单易用的是Sumo Logic。我们所处的领域需要快速创建针对各种威胁行为者的检测。多亏了Sumo Logic,与我过去使用的类似供应商相比,我们能够更方便地创建检测用例和威胁搜索仪表板。
常见问题
SIEM工具由安全和风险管理领导者使用,通过以下方式支持攻击检测、调查、响应和合规解决方案的需求:
实时收集安全事件日志和遥测数据,用于威胁检测和合规用例。
实时和随时间分析遥测数据,以检测攻击和其他感兴趣的活动。
调查事件,以确定其潜在的严重性和对业务的影响。
就这些活动编写报告。
存储相关事件和日志。
SIEM技术提供核心SIM(安全信息管理)和SEM(安全事件管理)功能,以及各种高级特性和互补的解决方案和功能。核心函数的一些例子是:
数据聚合:实时收集安全事件日志和遥测数据,用于威胁检测和合规用例。
事件的实时分析,用于安全监控;用户和实体行为的高级分析;查询和长期分析,用于历史分析。
支持事件调查和管理。
报告(例如,法规遵从性需求)。
SIEM技术收集和分析网络、设备、系统和应用产生的事件日志。主要数据源一直是基于时间序列的日志数据,但也有高级SIEM解决方案实时监控日志,并使用其他类型的数据(例如Active Directory [AD]、配置管理数据库[CMDB]、漏洞管理数据、人力资源信息和威胁情报)来添加关于用户、IT资产、数据、应用程序、威胁和漏洞的上下文。
购买和部署SIEM产品的成本导致组织探索其他安全分析技术和替代方法来检测和响应攻击。这些替代方案包括:
事件收集和分析平台:事件收集和分析产品可以提供SIEM和非安全性用例,同时还可以提供更简单的成本分配方法。不过,SIEM产品的全部功能可能并不可用。
扩展检测和响应产品:扩展的检测和响应平台在产品中为愿意致力于供应商定义和供应商管理的威胁检测和响应解决方案的组织提供自动化的不干涉功能。
托管检测和响应服务:托管检测和响应服务的提供者调查、验证和响应安全事件,而不是将它们升级给客户。
Peer Insights评审员分享了他们实施SIEM解决方案的经验,并强调了他们会给其他潜在客户的建议。以下是一些最受欢迎的建议:
为SIEM解决方案进行需求分析,并获得执行人员的支持。
基于SIEM需求分析用例和许可,并通过详尽的poc评估多个供应商。
在集成之前构建组织的数据并创建SIEM体系结构。
通过征求供应商的帮助来扩大实施,并专门的内部团队来推动采用。
通过为最终用户投资培训课程来培养SIEM技能。
