ArcSight, QRadar e Splunk: Qual o Melhor SIEM?

Veja um comparativo executivo destas soluções

ArcSight, QRadar e Splunk: Qual o Melhor SIEM? O Blog Minuto da Segurança foi atrás desta reposta e achou algumas referências importantes para o início da conversa.

ArcSight, IBM QRadar  e Splunk são três das principais soluções de Segurança e Gerenciamento de Eventos (SIEM). todas fizeram a lista eSecurity Planet dos 10 principais produtos SIEM, e todas  oferecem funcionalidade core do SIEM forte, mas diferem de várias maneiras, incluindo mercados-alvo e facilidade de uso. Embora o ArcSight seja rico em recursos e altamente personalizável, ele vem com uma curva de aprendizado íngreme. O QRadar pode ser mais fácil de usar, mas vários recursos exigem a compra de ferramentas adicionais,  O Splunk obtém notas altas para facilidade de uso, mas implementá-lo em escala pode ser um desafio.

O que se segue são algumas características-chave e análise de cada solução segundo o site eSecurity Planet.

ArcSight

O ArcSight Enterprise Security Manager (ESM), que a Micro Focus adquiriu da HPE em setembro de 2017, é um SIEM, plataforma de gerenciamento e gerenciamento de dados que combina arquitetura aberta para dados de segurança, correlação em tempo real e uma abordagem orientada para análise. A solução é composta por três camadas principais: ArcSight ESM para coleta e distribuição de dados, ArcSight Data Platform (ADP) para detecção de ameaças e ArcSight Investigar para investigação / análise.

Sonny Dasgupta, líder de marketing de produtos Micro Focus para operações de segurança, chama ArcSight ESM “uma solução SIEM completa, que coleta dados em escala empresarial, enriquece dados com expertise em segurança, usa análise para encontrar ameaças desconhecidas e detecta ameaças à medida que começam a ocorrer“.

Pontos fortes e fracos:

Antes da aquisição da Micro Focus, a ArcSight já possuía uma grande base instalada de clientes e uma ampla gama de serviços profissionais de terceiros e suporte disponível para o produto. A solução é altamente personalizável e pode ser integrada em uma ampla variedade de ambientes SOC.

Ainda assim, o Gartner observa que o produto está passando por várias mudanças com a introdução do ADP, Investigate e outros componentes, em alguns casos resultando em duplicação de dados. Além disso, o licenciamento pode ser complicado, com preços baseados em volume por ADP, preços baseados em velocidade para ESM e preços baseados em usuários para a UBA.

Os clientes que convertem de modelos de licenciamento mais antigos para novas licenças e a arquitetura ADP disseram à empresa de pesquisa que experimentaram desafios com a complexidade e o custo da conversão da licença. Em resposta, a Micro Focus fez alterações ao seu modelo de licenciamento, incluindo a adição de uma opção de preço sem restrições de dados.

 

IBM QRadar

O IBM QRadar detecta automaticamente todas as fontes de dados de log de segurança e o novo tráfego de rede resultante da chegada de novos recursos na rede e reduz milhões de dados em uma lista gerenciável de investigações necessárias com a ajuda de um mecanismo avançado de regras de correlação e tecnologia de análise de perfil comportamental. O QRadar vem com mais de 400 módulos de suporte, com outros disponível no IBM Security App Exchange.

O diretor da IBM de inteligência de segurança que oferece gerenciamento e estratégia Chris Meenan disse por e-mail que a empresa vê o tempo de gerenciamento demandado pelo QRadar e sua facilidade de uso como diferenciadores-chave. “A solução é rápida e fácil de implantar, tornando o valor mais imediatamente impactante para as equipes“, disse ele. “A facilidade de uso também significa que é uma solução consciente de recursos que requer menos pessoas para executar a solução, para que eles possam se concentrar em outras tarefas críticas“.

Pontos fortes e fracos:

A QRadar pode ser uma boa combinação para empresas de médio e grande porte que buscam a funcionalidade básica do SIEM, diz a Gartner, bem como aqueles que procuram uma plataforma unificada capaz de gerenciar uma ampla gama de monitoramento de segurança e tecnologias operacionais.

A empresa de pesquisa diz que seus clientes não mostraram muito interesse na solução BigFix da IBM para o monitoramento de endpoints e, em vez disso, voltou-se para soluções de terceiros. Da mesma forma, o Gartner diz que a funcionalidade UBA da QRadar está atrasada por trás de outros fornecedores e a ferramenta de resposta a incidentes da IBM Resilient não se integra nativamente com o QRadar.

Enquanto o fluxo de trabalho e os recursos de gerenciamento de resposta e incidente da QRadar estão acima da média, segundo Gartner, a orquestração e a automação completas só estão disponíveis através da ferramenta premium de resposta a incidentes IBM Resilient – e a funcionalidade de caça a ameaças também vem com um prêmio através do notebook IBM i2 Analyst.

Splunk

O Splunk Enterprise Security (ES) fornece aos usuários uma visão específica de segurança de dados, aprimorando recursos de detecção e otimizando a resposta a incidentes. O painel de segurança fornece uma consciência clara da situação ao monitorar os principais indicadores de segurança e métricas de segurança. Todos os aspectos da fonte de dados, indicadores-chave e exibições visuais são personalizáveis para atender às necessidades do usuário.

A biblioteca da loja de aplicativos Splunkbase inclui mais de 1.000 aplicativos e complementos da Splunk, dos parceiros da empresa e da comunidade de usuários, incluindo Splunk Security Essentials para Ransomware, G Suite para Splunk, Splunk Security Essentials para detecção de fraude e Splunk App para PCI Conformidade. A iniciativa de resposta adaptativa (Adaptive Response Initiative), um grupo de segurança liderado pela Splunk com mais de 30 parceiros, também ajuda a integrar tecnologias como segurança na nuvem, segurança de endpoint e inteligência de ameaças.

Pontos fortes e fracos:

Os usuários de Splunk têm acesso à funcionalidade de análise avançada de várias maneiras – incorporadas nas principais capacidades de pesquisa, com o Machine Learning Toolkit, pré-embalado na UBA e de provedores de aplicativos de terceiros – e o Gartner observa que o ecossistema de grandes parceiro da Splunk oferece uma ampla gama de serviços de integração e conteúdo adicional.

Ainda assim, o Gartner diz que seus clientes que implementaram o Splunk expressam consistentemente a preocupação com o modelo de licenciamento e o custo de implementação. Além disso, enquanto o Splunk UBA é atraente para usuários do Splunk que desejam adicionar a funcionalidade UBA, ele concorre com outras soluções UEBA, algumas das quais também oferecem recursos SIEM.

Os compradores que consideram o uso do Splunk para o SIEM e uma solução de terceiros para a UEBA devem validar o grau de integração das soluções e avaliar o compromisso dos respectivos fornecedores com a integração contínua”, sugere a empresa de pesquisa.

 

 

Para os leitores do Blog Minuto da Segurança que desejam ver mais sobre o assunto, o site eSecurity Planet tem vários artigos sobre SIEM e mostra a comparação destas soluções em três artigos:

 

Se gostou deste artigo, deixe seus comentários no campo  Deixe sua opinião! logo abaixo. Sua opinião nos auxiliará a melhorar cada vez mais nosso blog. Lembre-se o Blog Minuto da Segurança é feito para você otimizar o tempo necessário para você manter-se atualizado e ser uma fonte de pesquisa para os profissionais de SI.

Ajude-nos a melhorar, compartilhe através dos ícones disponíveis !

 

Veja também:

 

fonte: eSecurity Planet

por Kleber Melo -  Sócio Diretor MindSec Segurança e Tecnologia da Informação
Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Comentário

Deixe sua opinião!