SIEM工具不足
在上市10年后,产品在报告、可用性和高级关联功能方面应该会更好
我们在一个活动的生产环境中部署了所有SIEM(安全信息和事件管理)产品,并在几个月的时间里运行它们。我们都对其中一些工具的功能深度印象深刻,但对它们还需要走多远感到沮丧。
“你应该检查你的日志!”
虽然摩西的灵位上并没有写上这条诫命,但这条诫命存在于几乎所有it标准、审计方法和it机构必须记录其遵循的联邦法规中。在法规遵从性表格上勾选特定复选框会迫使IT承认其系统和应用程序正在生成事件日志,它正在保存该数据,并且正在不断地对其进行审查。
我们如何测试SIEM产品
事实上,大多数IT人员确实会在某个时间点(通常是在糟糕的事情发生后)查看日志。但是全天候监控日志?所有条目?每周每天的每一分钟?嗯…不。当然,除非您部署了安全信息和事件管理(SIEM)平台。在这种情况下,勾选“是”checkbox可能更接近事实。SIEM平台可帮助从分布式a、B和C点到集中式C点获取日志和事件数据,帮助存储、监控、报告、在时机成熟时清除这些数据,并最终提供有效管理it运营所需的态势感知危险
但他们能做到吗?
一句话:有点。这是一个拥挤的市场,充满了许下许多多承诺的玩家。不幸的是,在这个时候,没有一个玩家能够完全交付整个软件包。我们目前跟踪了十几家在SIEM领域提出索赔的供应商,我们邀请了他们中的一部分参与我们的测试。检查站,环境影响系数网络,高塔,Q1实验室,NetIQ和TriGeo都同意参与,而ArcSight,思科和RSA由于种种原因,所有人都拒绝了。(比较产品.)
我们在一个实时的生产环境中部署了所有产品,并在几个月的时间内运行了它们。我们都对其中一些工具所具有的功能的深度印象深刻,也对它们还需要走多远感到沮丧。用户界面笨重,报告不完整,数据解析问题仍然存在,当试图弄清楚我们的系统到底发生了什么时窗户在环境方面,大多数产品都让我们挠头。(然而,有人可能会说,这也太多了。)微软的别人的错。)
我们发现来自Q1实验室、High Tower和TriGeo的产品始终是最有用的。最终,Q1实验室的QRadar几乎没有脱颖而出。虽然它的用户界面仍然需要一些工作,但它是我们测试的SIEM工具的瑞士军刀。它相当好地完成了我们测试所需的所有任务。
事实上,如果我们能够使用High Tower的用户界面,将其与NetIQ的事件管理器网格工具相结合,利用TriGeo与Splunk的集成进行日志聚合,并引入Q1实验室的关联引擎,那么我们将拥有一个非常棒的产品。然而,在目前的形式下,这些产品仍然是非常棒的还有很多改进的余地。
然而,选择正确的SIEM产品几乎完全是基于一个组织试图实现的用例。例如,如果你是一个没有专门团队的中型企业安全分析师们,您的需求和成本敏感度与大型跨国公司的需求和成本敏感度相差很大。您很可能需要大量现成的功能,而大量定制可能不在议程上。
同样地,如果你部署一个SIEM工具最主要的原因是可以点击“是的”我评论日志审计复选框和你没有看花很多时间在票务、工作流和先进的相关逻辑,你的需求不会与一个全功能的安全操作中心(SOC)。一些组织可能需要一个票据和工作流系统来将事件数据剪切和粘贴到事件“包”中,而其他组织可能只需要显示一组指标和漂亮图表的报告。也许数据的那一天会到来存储目前,这些产品对这些功能的覆盖范围仍然存在很大差异。
如果你是一个中小型企业,很难击败TriGeo和High Tower的易于部署、易于使用、简单定价和功能丰富的产品。TriGeo有一个更好的特别查询机制,其中High Tower设计良好的用户界面使使用它成为一个更愉快的体验。
NetIQ的安全管理器将吸引已经在IT运营方面使用NetIQ AppManager产品的大客户。其模块化方法允许可扩展性和部署定制。然而,它的部署有点像野兽。基于NetIQ的每服务器定价模型,您的环境越大你要付更多的钱。
EIQ的SecureVue为中型企业提供了一组很好的特性,具有实际有用的可视化组件,并提供了非常有用的功能,用于收集设备配置信息以进行变更控制监控。但是,它的用户界面、事件减少功能和报告特性都需要一些工作,而且非常昂贵。
CheckPoint的产品是一个相对较新的进入者,并且毫无疑问会成为现有检查点客户的短列表,但是缺少一些在更成熟的产品中可以找到的功能,比如资产加权和跨设备报告。
不断发展的空间
从IT标准来看,SIEM领域中的工具并不新鲜。基本的日志解析和警报已经存在了几十年,许多人认为来自公司的第一个商业SIEM产品是NetForensics,智能战术和电子安全(现在)诺维尔)20世纪90年代末上市。然而,即使十年后,这些产品也绝不是完全成熟的。
查看这些产品的历史,您会发现许多产品都是从很少的组件开始的。有些报告引擎没有任何实时用户界面。其他人有实时用户界面,但没有事件减少引擎。仅支持更多防火墙和ids,而其他人则专注于操作系统中心的事件。
今天,这些产品已经发展到包括通用组件,而不考虑产品的传统。这些组件包括数据采集机制、数据存储和归档系统、事件解析和规范化机制、报告机制、查询机制,通常还有某种实时分析模块。该列表完成后,我们的测试表明,这些模块在不同产品中的成熟度差异很大,预先警告的买家会考虑哪些功能对他们的组织最重要。(看到相关的故事.)
从数据获取机制开始,所有产品都提供(至少)一个syslog侦听器来接收传入的事件。但是,syslog侦听器的成熟度以及解析传入事件流的相应机制有很大的不同。例如,NetIQ的产品在接收Windows事件的方式上不够灵活,其收集syslog数据的机制也非常环保。我们必须将用于Cisco ASA设备的NetIQ侦听器放在一个系统上,将用于Snort IDS的另一个NetIQ侦听器放在另一个系统上,因为侦听器不能处理来自多种设备类型的数据流。如果网络包含数十种基于syslog的设备类型,那么这种方法将带来一场噩梦。NetIQ表示,它将在今年晚些时候发布的下一个修订版中解决这个缺点。
相比之下,更成熟的听众和解析器从检查站,高塔和Q1实验室允许你简单点你的设备,任何设备,设备和SIEM平台将自动接受提要,识别的格式,并找出哪些事件来自设备的类型(例如,来自Cisco ASA防火墙和Linux主机的基于syslog的事件)。如果您碰巧已经有了集中的syslog实现,那么这将非常有用,因为您可以使用syslog-ng (syslog-下一代)之类的东西“中继”所有入站的syslog消息。“欺骗源”配置指令。但是,即使没有集中式的syslog实现,能够将所有设备指向单个syslog目的地也有助于简化设备部署。
这些产品的其他数据采集功能包括对协议的支持,如CheckPoint的OPSEC LEA,针对已建立的安全供应商(如国际空间站和麦克菲,以及可在主机上运行的专有代理,以获取基于非系统日志的事件数据,如漏洞扫描程序数据和Windows事件日志中的数据。Q1实验室和eIQ的产品支持最广泛的安全设备和平台,但各组织希望收集其自身的兼容性要求n编制他们的SIEM评估短名单。
我们测试的所有SIEM产品都提供了一种数据存储机制。大多数都有一个通用关系数据库,如Microsoft SQL Server或神谕在幕后,但使用简化的专有数据库进行大容量事件存储的趋势正在增长。令人信服的论点是,人们不需要现代关系数据库的所有功能,因此最好进行精简并专门为性能而构建。例如,Q1实验室使用专有数据库,而High Tower使用嵌入式MySQL部署,NetIQ使用MS SQL和平面文件的组合。我们怀疑专有方法很可能在大规模部署中胜出,但时间会证明这一点。
另一个需要考虑的数据存储问题是大小。就在几年前,将tb或更多的数据存储到单个设备上还是一个很大的挑战,但随着平均处理器能力的提高、存储成本的降低以及向优化数据库的转移,tb级的数据存储在SIEM世界中越来越常见。虽然我们的测试没有将任何数据库推到超过512GB,但很明显,您放入这些东西的数据越多,查询时间可能就越长。但是查询时间也是特定于产品的。例如,我们使用High Tower的产品搜索文本字符串的一些特别查询需要几分钟才能返回Q1 Labs产品更快的地方。高塔公司承认这是一个众所周知的问题,并声称将在今年夏天解决这个问题。
使用现代硬件,大多数组织在1TB的数据下不会遇到巨大的性能问题。但是,对于那些被大数据集或复杂查询负载诱惑的组织,我们强烈建议开始进行比我们在本测试中所做的更高级的性能测试,理想情况下在进行任何pu之前执行这些测试履行承诺。
除了在数据库后端存储规范化事件外,大多数产品还提供存储未修改日志项副本的选项。一些供应商甚至提供了散列机制来帮助解决证据可采性问题。我们无法找到一个基于日志的证据完全因为缺少散列而被拒绝的案例(我们询问的供应商也没有一家能够引用案例),但这是一些组织仍在讨论的一个可能的SIEM要求。考虑到对满足组织需求至关重要的所有其他功能领域,这并不是我们测试的首要任务,但我们不是律师,因此您需要咨询法律顾问,了解如何解决此问题。
最后,几乎所有产品都有某种报告和分析引擎——从High Tower产品中发现的极其基本的报告到Q1实验室中的定制报告引擎,再到TriGeo集成日志聚合工具Splunk和商业智能分析工具QlikVie中发现的更独特的功能w、 在本文后面,我们将更深入地研究报告以及与之相关的其他功能——取证工具和实时分析度量。
部署的现实
对于任何技术来说,安装问题都可能是一个潜在的头痛问题,但在SIEM世界中,有一些场景确实加剧了这一痛苦。交付模式(软件与设备)确实有所不同。我们的高塔部署——一个设备——在大约20分钟内完成。High Tower拥有最简单的安装流程,Q1实验室、TriGeo和eIQ紧随其后。设备交付模式可能是大多数SIEM部署的方式,我们测试的所有产品(NetIQ除外)都带有设备选项。由于NetIQ依赖大量必须预装的软件,所以NetIQ在最霸道的安装过程中占据了一席之地也就不足为奇了;在你开始安装NetIQ之前,你需要一天的时间来准备一系列令人眼花缭乱的微软组件。