Administrador De Red

Revisión y alternativas de McAfee SIEM

Revisión y alternativas de McAfee SIEM



McAfee es un conocido productor de software antivirus. Sin embargo, la empresa tuvo que evolucionar e introducir nuevos sistemas de protección informática para mantenerse en el mercado. La solución McAfee SIEM no es un producto único. El elemento principal de la familia McAfee SIEM se llama Gerente de seguridad empresarial de McAfee .

La lista completa de los componentes de McAfee SIEM es:



  • Gerente de seguridad empresarial de McAfee
  • Receptor de eventos de McAfee
  • Motor de correlación avanzado de McAfee
  • Administrador de registros empresariales de McAfee
  • Búsqueda de registros de McAfee Enterprise
  • Monitor de datos de aplicaciones de McAfee
  • Almacenamiento adjunto directo de McAfee
  • Inteligencia global sobre amenazas de McAfee

Estos diferentes módulos canalizan datos de entrada desde varias fuentes hasta Enterprise Security Manager.

¿Qué hace SIEM?

SIEM significa Información de seguridad y gestión de eventos. . Es una combinación de dos estrategias de detección de amenazas. Los sistemas de detección de intrusiones basados ​​en host (HIDS) examinan los archivos de registro en busca de signos de actividad anómala. Gestión de información de seguridad (SIM) es un HIDS. Los sistemas de detección de intrusiones basados ​​en red (NIDS) vigilan el tráfico de la red en busca de intrusiones. Gestión de eventos de seguridad (SEM) es una estrategia NIDS. SIEM es la combinación de SIM y SEM.



La ventaja de SEM es que funciona con datos en vivo. Sin embargo, los monitores de red sólo operan en un punto de la red y vigilan todo el tráfico que pasa. Si el contenido de cada paquete de viaje está cifrado, todo lo que tiene que trabajar el sistema SEM son los datos del encabezado del paquete. SEM no puede comparar eventos en diferentes ubicaciones de la red y en dispositivos separados.

SIM puede ver patrones de actividad entre dispositivos. Sin embargo, las metodologías SIM producen mejores resultados con más datos de origen. Como la información de entrada para la SIM se escribe en registros, los mejores resultados de la SIM se obtienen con el paso del tiempo. Un gran problema de la tarjeta SIM es que detecta la intrusión en retrospectiva: no es inmediata.

cosechadoras SIEM Los puntos fuertes de SIM y SEM . Ni siquiera SIEM, con sus variadas técnicas, es capaz de bloquear la intrusión. Esta es la segunda línea de defensa y tiene como objetivo eliminar las actividades maliciosas que han logrado burlar las defensas perimetrales y fronterizas.

Sobre Mcafee

McAfee fue creada en 1987 como Asociados de McAfee . La empresa se convirtió en Intel Security Group en 2014 y luego en McAfee, LLC en 2017. McAfee fue el primer productor de software antivirus comercial y obtuvo éxitos tempranos, lo que convirtió a la empresa en un objetivo de adquisición atractivo. El excéntrico fundador, John McAfee, se retiró de la empresa en 1994 y vendió todas sus acciones. Después de una serie de adquisiciones, la empresa fue comprada por Intel en 2014. McAfee se convirtió nuevamente en una empresa independiente en 2017 y Intel aún mantiene una gran participación accionaria.

A medida que las actividades de los piratas informáticos se vuelven más sofisticadas, el modelo antivirus tradicional se volvió incapaz de proteger completamente un sistema de TI. El concepto de 'intrusión' en un sistema de TI implica que un pirata informático acceda a una red y establezca una ocupación a largo plazo, lo que se denomina 'intrusión'. Amenaza persistente avanzada (APT) .”

McAfee ha invertido en software de aprendizaje automático que utiliza técnicas de inteligencia artificial para identificar actividades anómalas sin necesidad de consultar una base de datos de firmas de actividades.

Gerente de seguridad empresarial de McAfee

El Administrador de seguridad empresarial de McAfee (ESM) es el módulo principal de McAfee SIEM, incluye la consola principal del sistema y reúne todas las fuentes de datos que suministran los recopiladores de registros y los monitores de tráfico.

La vista principal de la consola se centra en eventos, pero también se puede acceder a las vistas de dispositivos. La consola del ESM permite el acceso a las funciones de búsqueda y análisis.

Módulos McAfee SIEM

Si bien Enterprise Security Manager es el núcleo del sistema SIEM, gran parte del trabajo de procesamiento de datos se realiza fuera de esa unidad.

Receptor de eventos de McAfee

El Receptor de eventos de McAfee Es un sistema dividido para la recopilación de registros. Un agente reside en cada dispositivo monitoreado. Puede almacenar los datos recopilados localmente en caso de que la red no esté disponible. El sistema central de recogida se comunica con todos los agentes para recibir datos de ellos.

El controlador central actúa como servidor de registros. Reformatea los datos recibidos en un diseño estándar, lo que permite almacenar todos los registros juntos. Los eventos relacionados están marcados para que puedan agruparse mediante búsquedas analíticas en el futuro. Esto se llama correlación logarítmica.

Motor de correlación avanzado de McAfee

El Motor de correlación avanzado (ACE) se basa en el trabajo del receptor de eventos. Busca en registros anteriores para ver si los mensajes de registro recién presentados pertenecen a un evento que ya está en progreso y ha sido identificado por mensajes anteriores.

El ACE marca nuevos registros para que puedan vincularse con mensajes de registro más antiguos. El grupo de mensajes identificado no vincula registros similares; más bien utiliza un sistema de reglas que detecta indicadores del mismo evento que se manifiesta a través de diferentes acciones en diferentes lugares.

Administrador de registros empresariales de McAfee

El Administrador de registros empresariales (ELM) es un administrador de archivos de registro y su propósito es proporcionar las instalaciones obligatorias de administración de archivos de registro requeridas por los estándares de seguridad. Crea archivos de registro para los mensajes de registro entrantes como fuente de datos para Security Event Manager y para informes de estándares de seguridad de datos.

Si bien los estándares requieren que los registros sin procesar se guarden y sean accesibles, Security Event Manager solo está interesado en ciertos registros que resaltan actividades inusuales, por lo que algunos mensajes de registro se duplicarán y almacenarán en diferentes formatos. ELM se puede configurar para utilizar instalaciones de almacenamiento locales o remotas. El ELM es un módulo opcional en el sistema SIEM. Enterprise Security Manager puede funcionar sin la presencia de Enterprise Log Manager.

Búsqueda de registros de McAfee Enterprise

Búsqueda de registros empresariales de McAfee (ELS) Está basado en Elasticsearch. Es un componente del sistema McAfee SIEM pero también puede funcionar como una utilidad independiente. Esta función de búsqueda puede operar en los archivos compuestos por McAfee Advanced Correlation Engine y Enterprise Log Manager y también examinar registros de eventos e identificar posibles intrusiones o robo de datos. ELS está integrado en la consola de Enterprise Security Manager y está diseñado para consultas y análisis ad hoc.

Monitor de datos de aplicaciones de McAfee

El Monitor de datos de aplicaciones (ADM) proporciona la parte SEM de SIEM. Esta herramienta opera con datos en vivo y monitorea todo el tráfico en la red. El monitor puede examinar correos electrónicos y archivos PDF, en busca de troyanos integrados y programas peligrosos.

El monitor opera en la capa de aplicación, por lo que es capaz de detectar ataques que los piratas informáticos dividen en paquetes, con la esperanza de engañar a los monitores de red tradicionales. El servicio opera en un puerto SPAN, duplicando los flujos de datos en lugar de permanecer en línea. Esto elimina el peligro de introducir retrasos en la red.

Además de buscar intentos de ataque entrantes, el ADM busca en el tráfico saliente eventos de pérdida de datos y comunicaciones no autorizadas. Todos los descubrimientos se auditan de conformidad con las normas de protección de datos.

Almacenamiento adjunto directo de McAfee

Almacenamiento adjunto directo de McAfee sirve a Enterprise Security Manager y Enterprise Log Manager, proporcionando un controlador RAID, caché reflejada y múltiples rutas de E/S.

McAfee Global Threat Intelligence para ESM

El Inteligencia de amenazas globales (GTI) feed es un servicio central de McAfee que respalda todos sus productos de seguridad. El GTI está disponible en un formato adecuado para Enterprise Security Manager.

Opciones de configuración de McAfee SIEM

McAfee Enterprise Security Manager está disponible en dos formatos. El primero es un servicio flexible basado en la nube, llamado ESM Cloud. Esta es probablemente la opción más accesible por la que optarán la mayoría de los clientes.

Hay una prueba gratuita para ESM Cloud . La prueba se realiza en forma de software descargable que se ejecuta en una máquina virtual local en lugar de acceder al servicio en la nube real. La versión local normal de Enterprise Security Manager es un dispositivo. Los clientes potenciales que quieran evaluar este sistema también deben descargar la versión del dispositivo virtual que se ofrece como prueba para ESM Cloud.

Panel

Se accede a la consola del ESM a través de un navegador web estándar si se implementa como un servicio en la nube o como un dispositivo. Las pantallas del servicio ocupan todo el ancho de la ventana del navegador y no reservan espacio para un menú. El menú se desliza desde la izquierda a pedido con solo presionar un botón en la barra de título de cada pantalla.

Solución McAfee ESM SIEM

La pantalla principal del sistema muestra una lista de eventos recientes. Otras opciones a las que se puede acceder desde el menú principal incluyen un explorador de archivos de registro y el búsqueda elástica utilidad que opera en archivos de registro.

Sin el menú en su lugar, es posible ver el panel izquierdo de la pantalla principal, que enumera todos los dispositivos monitoreados. Una pequeña bandera en una de las entradas de esa lista indica que se ha detectado un evento en esa ubicación o que se debe tomar alguna acción para verificar la configuración o los recursos de ese dispositivo.

McAfee ESM

Al hacer clic en el dispositivo marcado, aparece un cuadro de botones que brindan acceso a instalaciones dentro del ESM que pueden resolver la alerta que se muestra para ese dispositivo.

Alternativas a McAfee SIEM

McAfee SIEM es uno de los mejores productos SIEM del mercado. Se integra detección de virus y bloquea los intentos de descarga de malware y busca actividad humana no autorizada. El servicio incluye prevención de pérdida de datos y comunicaciones salientes sospechosas. La información de inteligencia sobre amenazas proporcionada por los laboratorios centrales de McAfee es una de las más respetadas del mundo.

Puede leer más sobre los sistemas SIEM y los mejores servicios disponibles en el mercado hoy en día en las mejores herramientas SIEM correo. Sin embargo, si no desea leer otro artículo sobre SIEM, puede ver una breve descripción de otros sistemas SIEM que vale la pena probar.

Aquí está nuestra lista de las 10 mejores alternativas de McAfee SIEM:

  1. Administrador de eventos de seguridad de SolarWinds (PRUEBA GRATUITA) Esta herramienta combina fuentes de registros y entradas de datos en vivo para detectar anomalías. El producto forma parte de un conjunto de herramientas de monitoreo de infraestructura producidas por SolarWinds. Este software se instala en Windows Server. Descargue una prueba gratuita de 30 días.
  2. CrowdStrike Falcon Insight (PRUEBA GRATUITA)Una combinación de un SIEM basado en la nube y módulos de respuesta y detección de terminales que se instalan en cada dispositivo. Este sistema recibe información de inteligencia para mejorar la búsqueda de amenazas a través de registros e informes de actividad y las unidades EDR implementan análisis de comportamiento de usuarios y entidades para detectar anomalías y bloquear ataques de día cero. Inicie una prueba gratuita de 15 días.
  3. Analizador ManageEngine EventLog (PRUEBA GRATUITA) Un SIEM parcial que ofrece funciones SIM que se pueden asociar con elRegistro360herramienta para obtener una fuente de datos de red en vivo para crear un SIEM completo. Se instala en Windows y Linux. Comience la prueba gratuita de 30 días.
  4. Monitoreo de seguridad de Datadog Un servicio basado en la nube que requiere la instalación de agentes en sitio. El administrador de registros de monitoreo de seguridad y SIEM que es un módulo de un paquete de monitoreo del sistema con alertas.
  5. FortinetFortiSIEM Un sistema SIEM integral basado en la nube que requiere la instalación de agentes en el sitio. Incluye acciones de respuesta automatizadas para cerrar la actividad maliciosa detectada.
  6. Rapid7 InsightIDR Un servicio de seguridad basado en la nube que implementa agentes en cada punto final protegido. Los agentes garantizan la continuidad de la protección en caso de que la red no esté disponible. Este servicio integra un mecanismo de respuesta automatizado.
  7. OSSEC Un sistema gratuito de detección de intrusiones basado en host de código abierto. Solo cubre la parte SIM de SIEM, pero se puede utilizar para cubrir datos de red en vivo haciendo rebotar una transmisión en vivo a través de archivos. Se instala en Windows, macOS, Linux y Unix.
  8. Plataforma SIEM LogRhythm NextGen Toma estadísticas de tráfico en vivo y mensajes de registro como entrada. Aplica aprendizaje automático basado en inteligencia artificial para reducir los falsos positivos. Tiene excelentes guías de usuario. Este paquete de software se instala en Windows y Linux.
  9. AT&T Cybersecurity AlienVault Gestión de seguridad unificada Un sistema de seguridad integral y de gran prestigio desarrollado de forma independiente que ahora es un activo de AT&T. Se ejecuta en Windows y macOS.
  10. Seguridad empresarial de Splunk Combina monitoreo de red y administración de registros para proporcionar una herramienta SIEM con utilidades de análisis de datos. El software local se instala en Windows y Linux.

Preguntas frecuentes sobre McAfee SIEM

¿Durante cuánto tiempo se almacenan los registros sin procesar en McAfee SIEM?

El período de retención de datos para los datos de registro sin procesar en McAfee SIEM depende de usted. El período de tiempo que se conservan los registros sin comprimir puede ser de 365 días, 90 días o 30 días y tiene una gran influencia en el precio que paga por el servicio.

¿Cómo se agrega una fuente de datos en McAfee SIEM?

Para agregar una fuente de datos al sistema McAfee SIEM, debe abrir el panel de Enterprise Security Manager (ESM). Debe configurar un receptor de eventos y luego configurarlo. El acceso a este sistema de configuración se realiza a través de un botón en el tablero que parece una flecha circular que apunta hacia su centro. Este es el ícono Obtener eventos y flujos y una vez que ingresa a ese sistema, se guía el proceso de agregar una fuente de datos y descargar un recopilador.

¿Cómo se realiza una captura de paquetes en McAfee SIEM?

McAfee SIEM no tiene una herramienta nativa para captura de paquetes. En lugar de ello, es necesario emitir un tcpdump comando en una sesión de terminal y dirige la salida a un archivo.

^