ICT NN IOT NN |B2B NN | CB NN | DC NN | RC NN |  CW NN | EW NN |SM NN | ITSEC NN | NETGURU NN KANKRY 256x256 facebook cube 256x256 linkedin cube 256x256 twitter cube 256x256 youtube cube

Gartner Magic Quadrant 2016 pro oblast SIEM nástrojů

V průběhu roku 2016 sice nedošlo k revoluční změně technologie, ať už zahrnutí paralelní architektury hardware k efektivnějšímu využití v korelačních strojích, posun k Big Data technologiím, změna interpretace informací od dosud užívaného textového kontextu ke grafické vizualizaci informací. Přesto inovace opět posunuly SIEM nástroje k novým detekčním a analytickým funkcionalitám, kterými jsou:

* Pokročilá datová analytika – umět zpracovat i jiné datové zdroje, než pouhé log data. Již vyžadováno zpracovat i jiné formy zdrojů, jako jsou NetFlow či síťové pakety. Dříve to bylo řešeno externími aplikacemi externě integrovaných do SIEM přes log data nebo přes strukturované události. Nyní to přední výrobci SIEM nabízí jako interní funkcionalitu.

* Kontextově obohacené události – umět zpracované log data v události zkombinovat s kontextovými informacemi jako jsou uživatelé, ICT komponenty a jejich zranitelnosti, potenciální nebo již proběhlé hrozby. Obvykle to bylo v dřívějších SIEM systémech zajištěno až systémovým integrátorem úpravami dat v pre-procesing fázi a implementací dodatečných korelačních scénářů či specifických reportů.

* Analýza chování uživatelů a komponent (UEBA, User and Entity Behavior Analytics) – detekce a lokalizace anomálních odchylek od průměrného nebo standardního trendu je v bezpečnosti používána delší dobu. Nyní bývá interní součástí detekčních funkcí SIEM, což výrazně zlepšuje detekční schopnost pro sledování chování uživatelů a sledování provozně bezpečnostních parametrů ICT komponent. Uživatelé se obecně umějí chovat značně nevyzpytatelně, a detekce „přirozené stupidity“ uživatelů nebyla silnou stránkou žádného software, ani toho vybaveného silnou „umělou inteligencí“. S nárůstem počtu připojovaných koncových komponent (vzrůstá trend připojených notebooků, smart-device) se detekční algoritmy, sledující anomální chování, synergicky používají i k lokalizaci problémových komponent. A logicky lokalizaci jejich vlastníků (taky problémových).

* Efektivnější normalizace dat – umět korelovat a analyzovat data z různě dostupných zdrojů pro sledování datové sítě, chování uživatelů, chování komponent sledovaného prostředí, pro naplnění souladu s legislativou či specifické účely vyšetřování na základě analýz historických trendů, dotazů na specifické informační vazby.

Magic Quadrant (téměř) beze změn

Oproti roku 2015 nám rok 2016 nepřinesl dramatické změny, kdy na top pozicích je klasická sestava top SIEM nástrojů:

1. IBM QRadar (1. Pořadí ve 2015)

2. Splunk (2. Pořadí ve 2015)

3. LogRhythm (5. Pořadí ve 2015)

4. HPE ArcSight (3. Pořadí ve 2015)

5. Intel Security (4. Pořadí ve 2015)

Produktům IBM, Splunk a LogRhythmu nahrává pro budoucnost aktuální vyspělost funkcionalit a stabilita jejich výrobců, oproti akvizičním štěpením soupeřů HP a Intel Security. Inu, když se inovuje organizační struktura, tak jdou inovace produktů a motivace k jejich zlepšování do nižších pater priorit.

Pokud uvažujete o výběru a implementaci SIEM, tak není vhodné mít Gartner Magic Quadrant za jediný etalon kvality SIEM nástrojů. Při rozhodování berte v úvahu, že Gartner každý rok mění hodnotící kritéria.

Vhodný SIEM nástroj je vždy podřízen účelu jeho nasazení. Pro velké informační systémy či značné počty korelačních scénářů může být skutečně vhodný SIEM nástroj z top 5 výše uvedených výrobců. Pro malé informační systémy a nižší potřeby Vás podrží AlienVault či MicroFocus(dříve NetIQ). Než začnete o SIEM nástroji reálně uvažovat nechte si zpracovat analýzu Log managementu, která Vám doručí pohled na množství (objem log dat) a strukturu zpracovávaných dat (typovou různost log dat a z toho patrná potřeba různosti parserů v SIEM nástroji, včetně jejich údržby a aktualizace). Pamatujte, ne všechny log data musí být zpracovány SIEM nástrojem. Zvlášť ty, které neobsahují žádné podstatné informace.

Autor: Petr Smolník, šéfredaktor


Nejčtenější

Chyba: Žádné články k zobrazení