SIEM cuadrante magico de Gartner

La adopción generalizada de la tecnología SIEM es impulsado por las necesidades tanto de seguridad y cumplimiento. Para el descubrimiento del ataque dirigido se requiere la actividad de usuario efectivo, acceso a datos y la monitorización de la actividad de la aplicación. Los vendedores ahora están probando la demanda de soluciones con más amplio alcance.

Security information and event management (SIEM) 

La tecnología de gestión de eventos (SIEM) Información de seguridad y proporciona:

·         Gestión de la información de seguridad (SIM) - gestión de registros y presentación de informes de cumplimiento

·         Gestión de eventos de seguridad (SEM) - seguimiento en tiempo real y gestión de incidencias para los eventos relacionados con la seguridad de las redes, dispositivos de seguridad, sistemas y aplicaciones

·      

SIM: Security information management (SIM)

 Es el término específico de la industria de la seguridad informática se refiere a la recopilación de datos (por lo general los archivos de registro, por ejemplo eventlogs) en un repositorio central para el análisis de tendencias

SEM: A security event manager (SEM)

Es una herramienta informática utilizada en redes de datos empresariales para centralizar el almacenamiento y la interpretación de los registros, o eventos, generados por otros programas que se ejecutan en la red

Criterios de evaluación

Básicamente los criterios que se deben tomar en cuenta son en función a la habilidad de poder ejecutar lo siguiente:

1.Productos y servicios:

Evalúa la habilidad del proveedor y el grabado del track  para brindar funciones en los productos para las áreas de administración, reportes de cumplimiento, admisnitracion de eventos de seguridad y la facilidad en la implementación.

2.Viabilidad en general

Incluye la evaluación de la salud financiera de la organización, el éxito financiero de toda la compañía, además de la probabilidad de que la unidad de negocio seguirá invirtiendo en el segmento de la tecnología SIEM.

3.Ejecucion  de ventas

Eavlua el éxito del proveedro de tecnología en el mercado SIEM y la capacidad de sus actividades de preventa. Esto incluye los ingresos, las tasas de crecimiento de los ingresos SIEM y la base instalada, además del soporte a las ventas la eficacia global del canal de ventas.

4.La capacidad de respuesta del mercado y el track

La experiencia del cliente es una evaluación de la función del producto o servicio dentro de los entornos de producción. La evaluación incluye la facilidad de implementación, operación, administración, estabilidad, escalabilidad y capacidad de soporte del proveedor. 

Este criterio se evalúa mediante la realización de entrevistas cualitativas de proveedor proporcionado a los clientes de referencia en combinación con los comentarios de los clientes de Gartner que están utilizando o han completado evaluaciones competitivas de la oferta SIEM.

5.Operaciones

Operaciones es una evaluación de servicio, soporte y venta de capacidades de la organización, e incluye una evaluación de las capacidades a través de múltiples geografías.

IBM

Trivoli Security Infomation an Event Manager v 2.0 (TSIEM) es un software que provee funcionalidades SIM y SEM, además permite a los consumidores a tener un punto de partida mediante la administración del logs. TSIEM brinda capacidades para el monitoreo con un uso privilegiado, reportes de cumplimiento, gestión de logs y SEM básica en tiempo real. Además TSIEM, proporciona TSOM (Trivoli Security Operations Manager) para los clientes que necesitan seguridad adicional para el centro de operaciones. La compañía muestra un creciente y grande base instalada pero la tecnología del SIM de IBM no está frecuentemente en las listas de compañías que hacen evaluaciones competitivas. Una implementación típica se centra en el monitoreo de las actividades del usuario en 100 o menos servidores.

Quest Software

Quest Softwaretiene dos tecnologías para funciones SIEM (In Trust y ChangeAuditor). El software de Quest ofrece funcionalidades complementarias al software de Quest llamado Active Directory y a los productos de administración de Windows Server.Típicas implementaciones en InTrust son para los clientes que tienen entornos de Microsoft.

Hay algo de apoyo estrecho para firewalls, pero la tecnología no tiene compatibilidad de análisis específico para dispositivos de red, tecnologías de seguridad basadas en la red y productos de software de seguridad. Búsqueda El software tiene una gran base instalada de sus tecnologías y ChangeAuditor Intrust, pero estrecha seguridad soporte origen de eventos y capacidades de monitoreo en tiempo real básicas limitan su aplicabilidad a un pequeño subconjunto de los compradores de tecnología SIEM.

HP/ArcSight

En 2010, HP adquirió ArcSight - la mayor y más visible el punto proveedor de soluciones SIEM. HP continuará desarrollando y vender ArcSight como una solución puntual SIEM, pero también utilizará la tecnología para proporcionar la gestión de eventos unificado para su cartera de tecnología de seguridad. Integraciones con la tecnología HP negocio de servicios de gestión (BSM) también se encuentran en proceso. El objetivo es la integración de la disponibilidad operacional y eventos de rendimiento, inventarios de activos, y los mapas de dependencias de servicio con ArcSight, e integrar los eventos de seguridad en la infraestructura de control operativo de HP.

Software ArcSight Enterprise Security Manager (ESM), está orientado a grandes despliegues, SEM enfocadas; ArcSight Express, es una oferta basada en dispositivos de ESM que está diseñado para el mercado medio con la supervisión y presentación de informes preconfigurados. ArcSight Logger es una línea de gestión y recolector de aparatos de registro que se pueden implementar de forma autónoma o en combinación con ESM. Además de la integración de los planes de HP se indica, durante los últimos 12 meses ArcSight ha mejorado las capacidades de monitoreo de usuarios ESM y proporcionó una nueva versión de IdentityView. Mejoras Logger incluyen una opción de descarga de software y la introducción de una interfaz de línea de comandos de Unix diseñado para operaciones de TI búsqueda y presentación de informes.

Q1 Labs

Aparatos SIEM Q1 Labs proporcionan gestión de registros, gestión de eventos, información y análisis del comportamiento de las redes y aplicaciones. Q1 Labs continúa su rápido crecimiento y sigue siendo muy visible en las evaluaciones de la competencia. La compañía continúa vendiendo sus aparatos SIEM principalmente a través de socios de canal para las grandes empresas y los mercados de tamaño medio. Q1 Labs también otorga licencias de su tecnología a Juniper Networks y Enterasys, que implementan el software en sus propios aparatos. Sus aparatos QRadar se pueden implementar como all-in-one soluciones para entornos más pequeños o se puede escalar horizontalmente en entornos más grandes con la recopilación de eventos especializados, procesamiento y aplicaciones de la consola. Una característica distintiva de la tecnología es la recogida y tratamiento de datos NetFlow para proveer redes y análisis de comportamiento de la aplicación. Q1 Labs anunció recientemente la expansión de las capacidades de análisis de comportamiento para todos los orígenes de eventos. La compañía también dio a conocer su extensión Risk Manager que analiza la configuración de seguridad y de red, eventos y datos de flujo para construir una topología que se utiliza para identificar las brechas de seguridad y riesgos. La compañía planea introducir dispositivos virtuales. Los planes a largo plazo incluyen la introducción de funciones forenses red.

RSA (EMC)

RSA (EMC), también conocida como la División de Seguridad de EMC, vende el enVision aparato, que ofrece una combinación de SEM, SIM y gestión de registros. RSA (EMC) tiene una de las mayores bases instaladas SIEM, pero enVision se ha convertido en la tecnología SIEM desplazados con mayor frecuencia, debido principalmente a problemas de rendimiento de la consulta y el informe ad hoc. Para implementaciones más pequeñas, un solo dispositivo puede proporcionar recopilación de registros, gestión de eventos y presentación de informes. Para implementaciones más grandes, los aparatos se pueden configurar para funciones especializadas (colector, gestión, análisis) y la escala horizontal. RSA (EMC) ha mejorado sus capacidades de SEM en los últimos años, y está en el medio de un gran esfuerzo para integrar enVision con la cartera de tecnología de EMC. EMC ha completado la integración con la tecnología de RSA Data Loss Prevention (DLP), y la tecnología GRC de RSA Archer, y está trabajando en la integración con la solución de análisis de seguridad de red NetWitness recientemente adquirida. La compañía también está trabajando en una extensión para apoyar un mejor rendimiento para consultas ad hoc sobre una gran tienda de acontecimiento

Symantec

Symantec normalmente vende su tecnología SIEM a sus clientes protección de puntos finales existentes. Symantec Security Information Manager (SSIM) se entrega como un dispositivo de software y proporciona SIM, SEM y el registro de las capacidades de gestión. Symantec ha integrado SSIM con su punto final, tecnologías GRCM y DLP de TI Protección de Seguridad (SEP). Symantec también ha logrado la oferta de servicios que utilizan el aparato suave para la recolección y análisis de datos sobre el terreno. Además, SSIM se actualiza dinámicamente con la amenaza y la vulnerabilidad contenido de los datos de la investigación de seguridad DeepSight de Symantec y el área de seguridad gestionada. Durante los últimos 12 meses, las mejoras de Symantec han incluido el apoyo para la implementación en un entorno VMware, mejoras en el análisis de la actividad del usuario, y las mejoras en el control de la política de archivo / restauración. Los planes de desarrollo incluyen la introducción de un sin cargo arquitectura colección unificada para todos los productos de Symantec.

LogLogic

LogLogic proporciona su registro de la línea central de gestión de dispositivo, y una serie de extensiones basadas en dispositivos: Administrador de eventos de seguridad (control en tiempo real y correlación), Base de datos de seguridad (control de la actividad de base de datos y la protección de bases de datos), y Director de Cumplimiento (dashboards de cumplimiento y flujos de trabajo ).

Desde el último Cuadrante Mágico de SIEM, LogLogic ha lanzado Framework Colección Universal, que ofrece un nuevo protocolo para el transporte seguro de los datos de registro. Otro de los componentes, las etiquetas de registro, ofrece a los usuarios y socios con la posibilidad de definir el formato de cualquier secuencia de eventos. Las etiquetas de registro proporciona la capacidad de integración con fuentes de datos no soportados - una capacidad importante para la integración de la capa de aplicación que trae LogLogic a la paridad con muchos competidores. La compañía también dio a conocer mejoras en su componente de flujo de trabajo, e introdujo soporte básico para el análisis de NetFlow. Los planes de desarrollo incluyen mejoras de escalabilidad y capacidades que permiten el uso de las funciones de SEM en entornos virtualizados y de nube externa LogLogic SIM.

Novell

En febrero de 2011, los accionistas de Novell aprobaron la adquisición de la empresa por Attachmate. Al igual que con cualquier adquisición de este tipo y en esta primera etapa, existen incógnitas sobre la financiación de la sociedad adquirente de los planes de desarrollo en las diversas líneas de productos, porque de Valores de EE.UU. y los reglamentos Exchange Commission (SEC) han puesto restricciones en Attachmate y Novell en términos de planificación anticipada hasta que se cierre el trato. Attachmate también es propietaria de NetIQ, otro proveedor que ofrece la tecnología SIEM. Novell vende su software Sentinel y Sentinel Log Manager a los clientes de sus soluciones IAM, así como a otras empresas y proveedores de servicios. Más recientemente, Novell ha desarrollado un canal de integradores de sistema que puede vender para el centro de compras de seguridad. Sentinel se integra con los productos de IAM de Novell. La opción de Despliegue Rápido Sentinel, por primera vez en 2009, ofrece un ejemplo de un solo sistema de Sentinel con reglas de correlación predefinidas, cuadros de mando y flujos de trabajo.

Capacidades de gestión de eventos de Sentinel siendo un punto fuerte, pero las mejoras previstas en la capacidad de cobertura y presentación de informes de aplicación aún no se han introducido. Sentinel proporciona integración con SAP para el control de la actividad de administración de usuarios, pero la integración general de la aplicación no es tan fuerte como en los productos de la competencia. Novell proporciona cobertura para el control de PCI-DSS y presentación de informes con un paquete de soluciones que proporciona la correlación y la presentación de informes predefinidos.

NitroSecurity

Durante los últimos 12 meses, NitroSecurity ha ampliado su canal de ventas, y se ha hecho más visible en las evaluaciones de la competencia. Line NitroView de la compañía de electrodomésticos combina funciones SEM SIM y con los monitores de la red en línea, que implementan la inspección profunda de paquetes para obtener los datos y el contexto de aplicación y el contenido de los eventos de seguridad. Además, la compañía ofrece la tecnología DAM integrado y continúa sus IDS / IPS de negocio con una plataforma común para SIEM e IPS. Durante los últimos 12 meses, NitroSecurity adquirió la propiedad intelectual de la tecnología LogMatrix SIEM y está integrando su correlación estadística y capacidades de perfilado en la plataforma NitroView. También hubo una versión principal de la función de apoyo del sistema de control industrial, control con el apoyo específico de origen de sucesos para los sistemas de adquisición de datos (SCADA) y control de supervisión dentro de la industria de generación de energía. Los planes de desarrollo incluyen la integración con la tecnología de red de IPS para apoyar la aplicación de bloqueo basado en el análisis de eventos NitroView.