Los 7 mejores SIEM de próxima generación: actualizado en 2022
Un SIEM explora los datos de registro para identificar actividades sospechosas. El SIEM de próxima generación obtiene datos externos y aprovecha las experiencias de otros sistemas de TI para detectar nuevos vectores de ataque tan pronto como comienzan a implementarse.
SIEM de próxima generación utilice el aprendizaje automático y otras técnicas basadas en inteligencia artificial para reducir el tiempo de detección de actividades maliciosas. Se llama Análisis del comportamiento de usuarios y entidades (UEBA) . Esto vigila toda la actividad en un sistema para determinar lo que se considera 'comportamiento normal'. Las desviaciones de esta norma hacen saltar las alarmas. La estrategia utiliza un método de clasificación para centrarse en amenazas potenciales para un seguimiento más profundo. Las mejoras incorporadas en los métodos de detección aceleran la primera identificación de un ataque de día cero . Esa información sobre amenazas se carga inmediatamente en el grupo de inteligencia sobre amenazas y otros SIEM de próxima generación en todo el mundo la descargan para tomar medidas inmediatas.
Aquí está nuestra lista de los siete mejores SIEM de próxima generación:
- ManageEngine Log360 ELECCIÓN DEL EDITOR Este paquete local integra una fuente de inteligencia sobre amenazas, que agrega capacidades de próxima generación a este eficaz sistema de detección de amenazas. Se ejecuta en Windows Server. Inicie una prueba gratuita de 30 días.
- Logpoint (OBTENGA UNA DEMOSTRACIÓN GRATUITA) Un SIEM de procesamiento de registros medidos basado en la nube con UEBA y una fuente CTI. Accede a la demostración gratuita.
- me iré Esto mejoró su sistema SIEM con UEBA desarrollado internamente y la adquisición de SkyFormation, que recopila datos de eventos de seguridad de terceros desde plataformas en la nube y crea un CTI a partir de ellos. Este es un servicio basado en la nube.
- LogRitmo Este sistema, un SIEM líder desde 2003, se ha trasladado a la nube y se ha convertido en Next-Gen. También puede obtener este SIEM como dispositivo o software para instalar en Windows Server.
- Plataforma de conocimiento Rapid7 Clasificada como XDR, esta plataforma en la nube tiene todos los elementos de un SIEM de próxima generación.
- Hélice del ojo de fuego Una plataforma de operaciones de seguridad que incluye SIEM, UEBA e inteligencia sobre amenazas. Este es un sistema basado en la nube.
- Registro centinela Uno de los actores más pequeños del mercado, este SIEM de próxima generación basado en la nube es sólido en el cumplimiento de estándares.
Habiendo descubierto ya las realidades del desarrollo y comercialización de un SIEM de próxima generación, no debería sorprender que los mejores SIEM de próxima generación sean todos productos de esas marcas de ciberseguridad de renombre. SIEM basados en la nube ofrecen la distribución más rápida de inteligencia sobre amenazas y también incluyen el tiempo de servidor necesario para procesar grandes volúmenes de datos de registro.
Los mejores SIEM de próxima generación
Conseguir un buen SIEM de próxima generación es una tarea que requiere mucho tiempo. Los elementos clave que hacen que un SIEM sea de “próxima generación” son su grupo de inteligencia sobre amenazas y UEBA. Sin embargo, ¿cómo se sabe si cada implementación es buena? Cualquier empresa de software puede crear un sistema de notificación central, pero su poder depende totalmente de la accesibilidad del servicio y del tamaño de su comunidad contribuyente.
Aunque existen estándares abiertos neutrales para los proveedores Inteligencia de amenazas cibernéticas (CTI) , las bases de datos no propietarias tienen dificultades para despegar. Los principales proveedores de SIEM se aseguran de proporcionar un CTI para sus herramientas NextGen y codifican más o menos el acceso al CTI en su servicio. Entonces, la selección de CTI es un poco tribal y significa que, en general, los grandes actores de la industria de la ciberseguridad tienen la ventaja.
Si no tiene tiempo para investigar completamente todo SIEM de próxima generación sector, opte por los grandes nombres que evolucionaron a partir de SIEM sólidos. Los proveedores de software de seguridad bien establecidos han invertido grandes presupuestos en el desarrollo de UEBA. Aunque a menudo los grandes avances en tecnología son impulsados por entrantes innovadores en el mercado, UEBA requería una gran cantidad de efectivo para desarrollarse y sólo las marcas más importantes y establecidas podían permitirse ese desembolso.
1. ManageEngine Log360 (PRUEBA GRATUITA)
AdministrarEngine Log360 es un sistema local que realiza la recopilación y consolidación de registros, la búsqueda de amenazas y la notificación de amenazas. El sistema recibe información de inteligencia sobre amenazas de ManageEngine, lo que lo convierte en un SIEM de próxima generación.
La información de inteligencia sobre amenazas se recopila de todo el mundo. Cualquier nueva campaña de piratas informáticos que surja se informa al grupo central y ManageEngine lo empaqueta en una serie de indicadores y lo envía a todas las instancias de Log360 que se están ejecutando en el mundo.
La fuente de inteligencia sobre amenazas crea búsquedas priorizadas. Los sistemas SIEM tienen que buscar constantemente entre volúmenes de datos y esa tarea lleva tiempo; antes de que se examinen todos los datos, llegan nuevos registros de los que se hace una copia de seguridad. Centrarse en los posibles patrones de ataque acelera la búsqueda de amenazas. Esto mejora sus posibilidades de identificar a un intruso antes de que se produzca cualquier daño o robo de datos.
Los registros que clasifica SIEM se recopilan mediante programas de agentes que vienen en el paquete de Log360. Hay agentes que se ejecutarán en todos los principales sistemas operativos. También hay agentes para plataformas en la nube, incluidos AWS, Azure y Salesforce.
Los registros incluyen registros del sistema operativo en los formatos Windows Events y Syslog y también datos extraídos de software de terceros. Los agentes pueden comunicarse con más de 700 aplicaciones.
Los agentes envían mensajes de registro recopilados al servidor donde se convierten a un formato neutral para que puedan buscarse y almacenarse juntos. El almacenamiento de datos de registro para auditoría es un requisito de muchos estándares de seguridad de datos y el paquete Log360 proporciona informes de cumplimiento para HIPAA, PCI DSS, FISMA, SOX, GDPR y GLBA.
ManageEngine Log360 se ejecuta en Servidor de windows y está disponible por unPrueba gratuita de 30 días.
ManageEngine Log360 Inicie una prueba GRATUITA de 30 días
dos. Logpoint (ACCESO A LA DEMOSTRACIÓN GRATUITA)
Punto de registro no se usa tan ampliamente como los productos principales de nuestra lista. Sin embargo, si el precio de suscripción mensual de Rapid 7 InsightIDR estaba fuera de su alcance o si es una pequeña o mediana empresa con volúmenes de datos de registro relativamente bajos, entonces la tarifa medida de LogPoint debería interesarle.
Logpoint reconoce que muchas empresas con bajos volúmenes de procesamiento de datos no estarán interesadas en una tarifa de suscripción general para sus SIEM de próxima generación . Dicho esto, este sistema SIEM lo implementan algunas empresas muy grandes, incluidas Boeing y Airbus.
La estructura de precios de Logpoint se calcula sobre una combinación de indicadores de rendimiento. Estos son el número de eventos por segundo (EPS) y la cantidad de datos procesados por día en gigabytes. La empresa no publica sus tarifas para estos factores. En su lugar, debe comunicarse con ellos para obtener una cotización.
El Logpoint SIEM ha integrado UEBA y su búsqueda de amenazas se basa en inteligencia de amenazas recopilada de incidentes experimentados por todos sus clientes. Más que los otros servicios de esta lista, LogPoint facilita investigaciones manuales así como implementar procesos de detección automatizados.
Hay respuestas automatizadas integradas en el sistema LogPoint y el servicio incluye ' integraciones ”que le permiten interactuar con otros productos de seguridad tanto para intercambios de datos como para acciones de mitigación de amenazas. Puede reservar una demostración para ver cómo funciona Logpoint.
Regístrese en Logpoint para una demostración GRATUITA
3. me iré
me iré fabrica sistemas SIEM desde 2013, lo que significa que la empresa no es una de las empresas más antiguas del sector. Sin embargo, esa historia fue lo suficientemente larga como para darle una base sustancial de clientes cuando surgió el movimiento NextGen. La especialización de la compañía en SIEM también le dio un enfoque que le permitió concentrar la inversión en mercados emergentes. Próxima generación instalaciones.
El sistema Exabeam es una plataforma en la nube – como todos los demás productos de nuestra lista – lo que hace que su entrega sea mucho más sencilla que los sistemas locales. Los clientes no necesitan preocuparse por mantener el software actualizado porque las actualizaciones ocurren automáticamente detrás de escena, realizado por técnicos de Exabeam.
Aunque, estrictamente hablando, no se trata de un servicio administrado, la combinación de personal de operaciones que mantiene el software y los servidores en los que se ejecuta, asesoramiento de soporte experto a pedido y procesos automatizados dentro del software significa que no necesita ninguna experiencia en el sitio para obtener un sistema SIEM completamente operativo que proteja su red.
Como es un sistema basado en la nube, el principal cuello de botella de rendimiento que experimentará con Exabeam es tu conexión a internet . Todos los mensajes de registro generados por su sistema deben cargarse en el servidor de Exabeam. Para operaciones grandes, eso puede significar un gran rendimiento de datos . Sin embargo, la mayoría de las operaciones comerciales hoy en día dependen en gran medida de la conectividad a Internet, por lo que mantener su conexión a Internet activa y con capacidad suficiente probablemente ya sea una prioridad de servicio para su equipo de TI.
Las cargas de datos son administradas por un programa de agente en el sitio y las transmisiones son protegido por cifrado . En el servidor, el sistema Exabeam recibe, consolida e indexa todos los mensajes de registro, haciendo estadísticas de rendimiento disponible en el panel del sistema y compila datos de amenazas en vivo a medida que los mensajes de registro pasan a través del servidor de registro basado en la nube.
Usos de Exabeam UEBA , por lo que su evaluación de la actividad base es diferente para cada cliente. También puede agregar su propia base de datos de señales de advertencia agrupando las experiencias de todos sus clientes. En 2019, Exabeam compró una empresa llamada formación del cielo . Esa empresa recibe experiencia en detección de amenazas de 30 plataformas en la nube de terceros y la utiliza para crear una base de datos CTI . La inteligencia de amenazas de SkyFormation complementa los indicadores de amenazas recopilados por Exabeam. Este gran conjunto de CTI hace que el caza de amenazas Las capacidades de Exabeam son muy poderosas.
La rápida potencia de procesamiento y la gran capacidad de los servidores de Exabeam hacen que la búsqueda en grandes volúmenes de datos de registro sea muy sencilla. El servicio se despliega triaje en su estrategia de caza de amenazas, comparando indicadores de ataque con su línea de base de actividad establecida para ese cliente que se ajusta constantemente a través de apoyado en máquinas . Cuando se identifica un punto de partida probable de una amenaza, este incidente se considera mostrado en el tablero y se activa el seguimiento de actividad enfocado de Exabeam, buscando la siguiente acción conocida de un ataque típico que comienza con el incidente detectado. Si se detecta ese paso posterior, también se muestra en la identificación de amenazas pantalla en el tablero y aumenta la probabilidad de que se produzca un ataque en curso.
Esta retroalimentación por etapas de Exabeam aborda uno de los grandes problemas de la estrategia SIEM, que es que informar sobre eventos relacionados que se notifican a través de mensajes de registro es un sistema de respuesta retrasada. Funciona en información histórica . La función de búsqueda de amenazas de Exabeam lleva ese método de detección a casi vivo .
Exabeam también ofrece Orquestación, automatización y respuesta de seguridad (SOAR) , que llama Respondedor de incidentes . Esto interactuará con Active Directory, servidores de correo electrónico y firewalls para congelar cuentas que parecen haber sido comprometida o bloquear el acceso a comunicaciones de direcciones IP sospechosas.
Exabeam tiene todos los elementos de un SIEM exitoso pero su fuente de inteligencia de amenazas de excepción lo lleva al número uno en nuestra estimación.
me iré combina la experiencia del servicio Exabeam SIEM con la innovadora fuente de inteligencia de amenazas SkyFormation. Los usuarios de Exabeam se benefician de las contribuciones de detección de amenazas de otros clientes de Exabeam más las de la comunidad de usuarios de más de otras 30 plataformas de seguridad. Exabeam evolucionó su servicio desde un sistema SIEM local a una plataforma de seguridad basada en la nube que brinda a sus clientes una rápida detección de amenazas y respuestas automatizadas.
Cuatro. LogRitmo
LogRitmo ha estado produciendo una solución SIEM desde 2003, por lo que la empresa tiene una amplia experiencia en el campo. Su sistema ahora está basado en la nube con todas las eficiencias que eso implica. También ha adquirido UEBA, CTI y SOAR para hacerlo un SIEM de próxima generación .
LogRhythm incluye su propio módulo de monitoreo de red que agrega estrategias de detección adicionales a las búsquedas de registros que realiza. En este servicio, que LogRhythm denomina Detección y respuesta de red (NDR) , el sistema aplica aprendizaje automático para establecer una línea de base de los patrones de tráfico esperados, reduciendo así los informes falsos positivos y reduciendo el volumen de datos que deben cargarse en el servidor LogRhythm para su procesamiento.
LogRhythm llama a su plataforma la pila XDR – XDR significa detección y respuesta extendidas. Las capas de esta pila son:
- AnalistaX – El núcleo de búsqueda de registros del SIEM.
- DetectarX – La aplicación de la inteligencia sobre amenazas.
- ResponderX – El elemento SOAR del sistema que cierra la actividad maliciosa.
Además de suscribirse a este paquete, los clientes pueden elegir dos complementos para mejorar el rendimiento. Estos son:
- Usuario XDR – Un módulo UEBA que filtra previamente los mensajes de registro para su carga.
- Red de niebla – Un sistema de detección de intrusos basado en red.
La vanguardia del servicio de LogRhythm radica en su plataforma saas . Sin embargo, también puede hacer que el sistema se ejecute en su sitio. Está disponible como un dispositivo precargado con el software LogRhythm o como un paquete de software que se carga en Servidor de windows . puedes solicitar una demostración en vivo del servicio en la nube.
5. Plataforma de conocimiento Rapid7
7 rápidos Plataforma de conocimiento es un SIEM basado en la nube. Se aplican muchos términos a este servicio, lo que resalta la confusión sobre la categorización de los servicios de ciberdefensa. La empresa llama a su servicio IDR, que significa Detección y respuesta de intrusiones . También es una forma de XDR, que significa Detección y respuesta ampliadas – un servicio que generalmente evolucionó a partir de EDR, que es un avance en antivirus y significa Detección y respuesta de terminales . Hay un elemento EDR en el paquete Insight IDR.
Sin embargo, en aras de la simplicidad, nos ceñiremos a la clasificación SIEM. De hecho, la plataforma Insight es un SIEM de próxima generación porque incluye UEBA y una fuente de inteligencia sobre amenazas . Insight Platform incluye una serie de módulos que encajan entre sí. Sin embargo, sólo necesitas el InsightIDR servicio si solo desea un SIEM NextGen. El segundo servicio más interesante de Insight Platform que también debes considerar es InsightVM , que es un administrador de vulnerabilidades.
InsightIDR tiene todas las excelentes funciones que espera de un SIEM de próxima generación. Como servicio en la nube, incluye potencia de procesamiento rápido para la gestión de registros y también almacena los datos de registro por usted. Los mensajes de registro en su sistema se cargan en los servidores de Rapid 7 donde un consolidador los pone en un formato común y los indexa para búsquedas rápidas.
El caza de amenazas El servicio en InsightIDR es modificado por un UEBA característica. Esto elimina los falsos positivos ajustando la detección al comportamiento normal. La información de inteligencia sobre amenazas en la herramienta contribuye a una análisis del comportamiento del atacante servicio. Esto busca en todos los mensajes de registro indicios de compromiso.
Un servicio agregado realmente bueno en Insight IDR que los principales rivales del servicio no ofrecen es su tecnología de engaño . El servicio puede configurar trampas y trampas para intrusos, que atraen a los malhechores hacia almacenes de datos falsos totalmente monitoreados, haciéndolos inmediatamente fáciles de identificar.
InsightIDR es un poco caro, desde $ 2157 por mes... sí, POR MES. Ese precio significa que el Prueba gratuita de 30 días de InsightIDR es un obsequio muy valioso.
6. Hélice del ojo de fuego
ojo de fuego es uno de los principales proveedores de soluciones de ciberseguridad y su servicio SIEM se llama plataforma helicoidal . La plataforma FireEye Helix es un servicio SIEM de próxima generación e incluye una fuente de inteligencia sobre amenazas que adapta constantemente sus procesos de búsqueda de amenazas en respuesta a la evolución de las estrategias de ataque. Así como UEBA , este servicio incluye detección de movimiento lateral que rastrea la actividad ilógica o anormal de la cuenta del usuario.
Al igual que LogPoint, Helix permite cierto grado de intervención manual. Hay más capacidad en este sistema para configurar sus propios playbooks y especificar con precisión cómo se deben gestionar las incidencias detectadas. Eso significa que puede introducir sus propias preferencias en las respuestas automáticas realizadas por Helix. Las pantallas del salpicadero también son personalizable y es posible crear sus propios formatos de informes. El sistema incluye adaptación automática y formatos de informes para cumplimiento de normas .
El servicio Helix incluye integraciones que le permiten conectar adaptaciones para el intercambio de datos y acciones de mitigación que se coordinan con otras aplicaciones de seguridad. Puedes tomar una visita autoguiada de la plataforma Helix.
7. Registro centinela
Si desea saber más sobre un proveedor SIEM más nuevo y eficiente que ha dado un gran salto adelante en el campo NextGen, entonces debería considerar RegistroSentinal . Este servicio se destaca en la gestión de registros y búsquedas rápidas para llevar su servicio SIEM a la vanguardia del mercado. Esta empresa dirige sus servicios específicamente a las medianas empresas.
Este sistema saas está de moda en el monitoreo de la integridad de los archivos de registro e incluye UEBA y un información de inteligencia sobre amenazas , que lo distinguen como un SIEM NextGen. Los servicios adicionales en este plan son escaneos de phishing de correos electrónicos , protección de archivos de registro de VPN y seguridad de videoconferencias.
El servicio LogSentinel no se limita a recopilar archivos de registro de su sitio. También incluye una aplicación web y un sistema de monitoreo de sitios web que detecta cambios de guion e intentos de inyección.
Ofertas LogSentinal una prueba gratuita de su NextGen SIEM y puede solicitarles una demostración guiada. También existe una versión de este SIEM basado en la nube para uso de proveedores de servicios administrados.