当您想到安全信息和事件管理(SIEM)工具时,您通常会想到大型企业,这些企业拥有成千上万的设备,每天记录数百万个事件。在这种情况下,SIEM可能是真正了解如此庞大的网络的唯一方法。但较小的公司也可以从SIEM工具中获益——尤其是如果IT部门规模较小且工作过度的话。TriGeo网络安全为中小企业市场提供了一个工具,就像拥有一个安全专家。
对于企业来说,有相当多的安全信息和事件管理(SIEM)工具可以从设备日志中捕获事件信息、关联事件、向专家发出警告(他们可以对有问题的活动采取行动),并存储数百万条数据用于取证分析。企业级产品能够每天处理数千个网络设备和数百万个事件。公司安全运营中心(SOC)的安全专家全天候监视SIEM。
但如果你的社交网络相对较小,一年里你甚至没有一百万次活动呢?如果您的整个IT部门只有少数几个人,而您的公司没有SOC这种东西,该怎么办?中小型企业可以真正受益于像siemen这样的工具——就像大企业一样。这是一个市场TriGeo网络安全公司使用其TriGeo安全信息管理器(SIM)产品。
TriGeo SIM是一款SIEM设备,专为拥有5,000名或更少员工的公司而设计。它位于网络上所有其他设备的中心,并从这些设备收集日志。该设备能够在内存中进行日志分析和事件关联,这意味着分析的结果尽可能接近实时事件。当检测到安全事件时,TriGeo SIM允许自动主动响应,可以缓解仍在进行中的活动。
这里有一个来自TriGeo客户的例子——一家当地的小银行。晚上10点,关闭的银行里有人多次尝试登录网络,但都失败了。TriGeo SIM卡拼凑出一个事实,即在正常工作时间后的短时间内,从一个IP地址有多个用户登录失败,并通过手机通知了银行的IT管理员。他成功连接了网络并将银行的监控摄像头对准了试图登录的设备所在的位置。看门人坐在那里,仍然试图通过一台台式机进入网络。TriGeo SIM发送了一条命令来断开PC与网络的连接,从而在门卫侵入网络之前阻止了他的行动。
TriGeo SIM并不需要有人一直监控控制台。该工具允许您利用相关性、自动主动响应和通知,因此您可以走开并在TriGeo的帮助下完成其他工作。这对于拥有众多IT人员的小公司来说尤其好。而且,关联引擎将信息放入适当的上下文中,警报是简单的英语,因此您不需要成为安全分析师来理解安全事件。
TriGeo SIM在发货时有超过700个关联,在安装时有超过100个关联完全开启。许多相关性是为特定的业务设计的;例如,当地银行或信用社。这些相关性在金融业可能出现的情况下是独一无二的。TriGeo的客户甚至通过活跃的用户社区分享他们自己的相关规则。有300多个现成的报告,包括所有主要法规的模板,如HIPAA、PCI、SOX、GLBA等。TriGeo精心包装了这款产品,使其易于在短短几个小时内启动和运行。
在许多较小的公司中,一个人可能拥有执行几乎所有IT任务的管理特权。在这种情况下,您可能会认为不法管理员能够绕过TriGeo的日志记录和分析,窃取敏感数据或实施其他有害行为。不是这样的。即使具有特权的管理员也不能操作源日志或更改审计跟踪。因此,他在控制台中所做的任何事情都将被完全审计并报告。
TriGeo SIEM的一个独特之处在于它可以一直工作到端点。这允许您在桌面监视和操作活动;例如,用户试图将敏感数据下载到USB u盘。TriGeo SIEM可以检测到这样的动作,而它正在发生和禁用USB端口不干预。
您不必是一家拥有广泛网络的大公司,也可以从SIEM工具中获益。每个网络管理员都希望能够更好地了解自己的网络上正在发生的事情,以及对事件的自动通知和响应。TriGeo SIM可以解决中端市场组织的具体问题,而无需为解决方案收取企业级价格。
Linda Musthaler, Essential Solutions Corporation首席分析师。你可以通过mailto:LMusthaler@essential-iws.com给她写信。
关于Essential Solutions Corp:基本的解决方案研究信息技术的实用价值,以及它如何使个体工人和整个组织更有生产力。基本解决方案为计算机行业和企业客户提供咨询服务,帮助定义和实现IT的潜力。