La adopción
generalizada de la tecnología SIEM es impulsado por las necesidades tanto de
seguridad y cumplimiento. Para el descubrimiento del ataque dirigido se requiere
la actividad de usuario efectivo, acceso a datos y la monitorización de la
actividad de la aplicación. Los vendedores ahora están probando la demanda de
soluciones con más amplio alcance.
Security information and event management (SIEM)
La tecnología de
gestión de eventos (SIEM) Información de seguridad y proporciona:
·
Gestión
de la información de seguridad (SIM) - gestión de registros y presentación de
informes de cumplimiento
·
Gestión
de eventos de seguridad (SEM) - seguimiento en tiempo real y gestión de
incidencias para los eventos relacionados con la seguridad de las redes,
dispositivos de seguridad, sistemas y aplicaciones
·
SIM: Security
information management (SIM)
Es el término específico de la
industria de la seguridad informática se refiere a la recopilación de datos
(por lo general los archivos de registro, por ejemplo eventlogs) en un
repositorio central para el análisis de tendencias
SEM: A security event manager (SEM)
Es una herramienta informática utilizada en redes de datos empresariales
para centralizar el almacenamiento y la interpretación de los registros, o
eventos, generados por otros programas que se ejecutan en la red
Criterios de evaluación
Básicamente los criterios que se deben tomar en cuenta son en función a la habilidad
de poder ejecutar lo siguiente:
1.Productos y servicios:
Evalúa la habilidad del proveedor y el grabado del track para brindar funciones en los productos para
las áreas de administración, reportes de cumplimiento, admisnitracion de
eventos de seguridad y la facilidad en la implementación.
2.Viabilidad en general
Incluye la evaluación de la salud financiera de la organización, el éxito
financiero de toda la compañía, además de la probabilidad de que la unidad de
negocio seguirá invirtiendo en el segmento de la tecnología SIEM.
3.Ejecucion de ventas
Eavlua el éxito del proveedro de tecnología en el mercado SIEM y la
capacidad de sus actividades de preventa. Esto incluye los ingresos, las tasas
de crecimiento de los ingresos SIEM y la base instalada, además del soporte a
las ventas la eficacia global del canal de ventas.
4.La capacidad de respuesta del mercado y el track
La experiencia del cliente es una evaluación de la función del producto o
servicio dentro de los entornos de producción. La evaluación incluye la
facilidad de implementación, operación, administración, estabilidad, escalabilidad
y capacidad de soporte del proveedor.
Este criterio se evalúa mediante la
realización de entrevistas cualitativas de proveedor proporcionado a los
clientes de referencia en combinación con los comentarios de los clientes de
Gartner que están utilizando o han completado evaluaciones competitivas de la
oferta SIEM.
5.Operaciones
Operaciones es una evaluación de servicio, soporte y venta de capacidades
de la organización, e incluye una evaluación de las capacidades a través de
múltiples geografías.
IBM
Trivoli Security Infomation an Event Manager v 2.0 (TSIEM) es un software
que provee funcionalidades SIM y SEM, además permite a los consumidores a tener
un punto de partida mediante la administración del logs. TSIEM brinda
capacidades para el monitoreo con un uso privilegiado, reportes de
cumplimiento, gestión de logs y SEM básica en tiempo real. Además TSIEM,
proporciona TSOM (Trivoli Security Operations Manager) para los clientes que
necesitan seguridad adicional para el centro de operaciones. La compañía
muestra un creciente y grande base instalada pero la tecnología del SIM de IBM
no está frecuentemente en las listas de compañías que hacen evaluaciones
competitivas. Una implementación típica se centra en el monitoreo de las
actividades del usuario en 100 o menos servidores.
Quest Software
Quest Softwaretiene dos tecnologías para funciones
SIEM (In Trust y ChangeAuditor). El software de Quest ofrece funcionalidades
complementarias al software de Quest llamado Active Directory y a los productos
de administración de Windows Server.Típicas implementaciones en InTrust son
para los clientes que tienen entornos de Microsoft.
Hay algo de apoyo estrecho para
firewalls, pero la tecnología no tiene compatibilidad de análisis específico
para dispositivos de red, tecnologías de seguridad basadas en la red y
productos de software de seguridad. Búsqueda El software tiene una gran base
instalada de sus tecnologías y ChangeAuditor Intrust, pero estrecha seguridad
soporte origen de eventos y capacidades de monitoreo en tiempo real básicas
limitan su aplicabilidad a un pequeño subconjunto de los compradores de
tecnología SIEM.
HP/ArcSight
En 2010, HP adquirió ArcSight - la
mayor y más visible el punto proveedor de soluciones SIEM. HP continuará
desarrollando y vender ArcSight como una solución puntual SIEM, pero también
utilizará la tecnología para proporcionar la gestión de eventos unificado para
su cartera de tecnología de seguridad. Integraciones con la tecnología HP
negocio de servicios de gestión (BSM) también se encuentran en proceso. El
objetivo es la integración de la disponibilidad operacional y eventos de
rendimiento, inventarios de activos, y los mapas de dependencias de servicio
con ArcSight, e integrar los eventos de seguridad en la infraestructura de
control operativo de HP.
Software ArcSight Enterprise
Security Manager (ESM), está orientado a grandes despliegues, SEM enfocadas;
ArcSight Express, es una oferta basada en dispositivos de ESM que está diseñado
para el mercado medio con la supervisión y presentación de informes
preconfigurados. ArcSight Logger es una línea de gestión y recolector de
aparatos de registro que se pueden implementar de forma autónoma o en
combinación con ESM. Además de la integración de los planes de HP se indica,
durante los últimos 12 meses ArcSight ha mejorado las capacidades de monitoreo
de usuarios ESM y proporcionó una nueva versión de IdentityView. Mejoras Logger
incluyen una opción de descarga de software y la introducción de una interfaz
de línea de comandos de Unix diseñado para operaciones de TI búsqueda y
presentación de informes.
Q1 Labs
Aparatos SIEM Q1 Labs proporcionan
gestión de registros, gestión de eventos, información y análisis del
comportamiento de las redes y aplicaciones. Q1 Labs continúa su rápido
crecimiento y sigue siendo muy visible en las evaluaciones de la competencia.
La compañía continúa vendiendo sus aparatos SIEM principalmente a través de
socios de canal para las grandes empresas y los mercados de tamaño medio. Q1
Labs también otorga licencias de su tecnología a Juniper Networks y Enterasys,
que implementan el software en sus propios aparatos. Sus aparatos QRadar se
pueden implementar como all-in-one soluciones para entornos más pequeños o se
puede escalar horizontalmente en entornos más grandes con la recopilación de
eventos especializados, procesamiento y aplicaciones de la consola. Una
característica distintiva de la tecnología es la recogida y tratamiento de
datos NetFlow para proveer redes y análisis de comportamiento de la aplicación.
Q1 Labs anunció recientemente la expansión de las capacidades de análisis de
comportamiento para todos los orígenes de eventos. La compañía también dio a
conocer su extensión Risk Manager que analiza la configuración de seguridad y
de red, eventos y datos de flujo para construir una topología que se utiliza
para identificar las brechas de seguridad y riesgos. La compañía planea
introducir dispositivos virtuales. Los planes a largo plazo incluyen la
introducción de funciones forenses red.
RSA (EMC)
RSA (EMC), también conocida como la División de Seguridad de EMC, vende el
enVision aparato, que ofrece una combinación de SEM, SIM y gestión de
registros. RSA (EMC) tiene una de las mayores bases instaladas SIEM, pero
enVision se ha convertido en la tecnología SIEM desplazados con mayor
frecuencia, debido principalmente a problemas de rendimiento de la consulta y
el informe ad hoc. Para implementaciones más pequeñas, un solo dispositivo
puede proporcionar recopilación de registros, gestión de eventos y presentación
de informes. Para implementaciones más grandes, los aparatos se pueden
configurar para funciones especializadas (colector, gestión, análisis) y la
escala horizontal. RSA (EMC) ha mejorado sus capacidades de SEM en los últimos
años, y está en el medio de un gran esfuerzo para integrar enVision con la
cartera de tecnología de EMC. EMC ha completado la integración con la
tecnología de RSA Data Loss Prevention (DLP), y la tecnología GRC de RSA
Archer, y está trabajando en la integración con la solución de análisis de
seguridad de red NetWitness recientemente adquirida. La compañía también está
trabajando en una extensión para apoyar un mejor rendimiento para consultas ad
hoc sobre una gran tienda de acontecimiento
Symantec
Symantec normalmente vende su
tecnología SIEM a sus clientes protección de puntos finales existentes.
Symantec Security Information Manager (SSIM) se entrega como un dispositivo de
software y proporciona SIM, SEM y el registro de las capacidades de gestión.
Symantec ha integrado SSIM con su punto final, tecnologías GRCM y DLP de TI
Protección de Seguridad (SEP). Symantec también ha logrado la oferta de
servicios que utilizan el aparato suave para la recolección y análisis de datos
sobre el terreno. Además, SSIM se actualiza dinámicamente con la amenaza y la
vulnerabilidad contenido de los datos de la investigación de seguridad
DeepSight de Symantec y el área de seguridad gestionada. Durante los últimos 12
meses, las mejoras de Symantec han incluido el apoyo para la implementación en
un entorno VMware, mejoras en el análisis de la actividad del usuario, y las
mejoras en el control de la política de archivo / restauración. Los planes de
desarrollo incluyen la introducción de un sin cargo arquitectura colección
unificada para todos los productos de Symantec.
LogLogic
LogLogic proporciona su registro de
la línea central de gestión de dispositivo, y una serie de extensiones basadas
en dispositivos: Administrador de eventos de seguridad (control en tiempo real
y correlación), Base de datos de seguridad (control de la actividad de base de
datos y la protección de bases de datos), y Director de Cumplimiento
(dashboards de cumplimiento y flujos de trabajo ).
Desde el último Cuadrante Mágico de
SIEM, LogLogic ha lanzado Framework Colección Universal, que ofrece un nuevo
protocolo para el transporte seguro de los datos de registro. Otro de los
componentes, las etiquetas de registro, ofrece a los usuarios y socios con la
posibilidad de definir el formato de cualquier secuencia de eventos. Las
etiquetas de registro proporciona la capacidad de integración con fuentes de
datos no soportados - una capacidad importante para la integración de la capa
de aplicación que trae LogLogic a la paridad con muchos competidores. La
compañía también dio a conocer mejoras en su componente de flujo de trabajo, e
introdujo soporte básico para el análisis de NetFlow. Los planes de desarrollo
incluyen mejoras de escalabilidad y capacidades que permiten el uso de las
funciones de SEM en entornos virtualizados y de nube externa LogLogic SIM.
Novell
En febrero de 2011, los accionistas de Novell aprobaron la adquisición de
la empresa por Attachmate. Al igual que con cualquier adquisición de este tipo
y en esta primera etapa, existen incógnitas sobre la financiación de la
sociedad adquirente de los planes de desarrollo en las diversas líneas de
productos, porque de Valores de EE.UU. y los reglamentos Exchange Commission
(SEC) han puesto restricciones en Attachmate y Novell en términos de planificación
anticipada hasta que se cierre el trato. Attachmate también es propietaria de
NetIQ, otro proveedor que ofrece la tecnología SIEM. Novell vende su software
Sentinel y Sentinel Log Manager a los clientes de sus soluciones IAM, así como
a otras empresas y proveedores de servicios. Más recientemente, Novell ha
desarrollado un canal de integradores de sistema que puede vender para el
centro de compras de seguridad. Sentinel se integra con los productos de IAM de
Novell. La opción de Despliegue Rápido Sentinel, por primera vez en 2009,
ofrece un ejemplo de un solo sistema de Sentinel con reglas de correlación
predefinidas, cuadros de mando y flujos de trabajo.
Capacidades de gestión de eventos de Sentinel siendo un punto fuerte, pero
las mejoras previstas en la capacidad de cobertura y presentación de informes
de aplicación aún no se han introducido. Sentinel proporciona integración con
SAP para el control de la actividad de administración de usuarios, pero la
integración general de la aplicación no es tan fuerte como en los productos de
la competencia. Novell proporciona cobertura para el control de PCI-DSS y
presentación de informes con un paquete de soluciones que proporciona la
correlación y la presentación de informes predefinidos.
NitroSecurity
Durante los últimos 12 meses, NitroSecurity ha ampliado su canal de ventas,
y se ha hecho más visible en las evaluaciones de la competencia. Line NitroView
de la compañía de electrodomésticos combina funciones SEM SIM y con los
monitores de la red en línea, que implementan la inspección profunda de
paquetes para obtener los datos y el contexto de aplicación y el contenido de
los eventos de seguridad. Además, la compañía ofrece la tecnología DAM
integrado y continúa sus IDS / IPS de negocio con una plataforma común para SIEM
e IPS. Durante los últimos 12 meses, NitroSecurity adquirió la propiedad
intelectual de la tecnología LogMatrix SIEM y está integrando su correlación
estadística y capacidades de perfilado en la plataforma NitroView. También hubo
una versión principal de la función de apoyo del sistema de control industrial,
control con el apoyo específico de origen de sucesos para los sistemas de
adquisición de datos (SCADA) y control de supervisión dentro de la industria de
generación de energía. Los planes de desarrollo incluyen la integración con la
tecnología de red de IPS para apoyar la aplicación de bloqueo basado en el
análisis de eventos NitroView.
