ITIL 是一个相对广泛且非常全面的 IT 服务管理框架。它最初来自英国,旨在为政府和私营企业服务,是一套高度结构化的流程、建议和实践。它被分成几个特定的​​领域,安全管理只不过是它的许多方面之一。但由于安全是一个如此重要的话题——尤其是考虑到现代威胁场景以及组织如何不断成为肆无忌惮的黑客的目标——我们决定看看一些最好的 ITIL 安全管理工具。 Best-ITIL-Security-Management-Software 在进入 ITIL 安全管理的特定领域之前,我们将首先更详细地解释什么是 ITIL。接下来,我们将介绍安全信息和事件管理的概念,描述它的组成,并解释它如何与 ITIL 安全管理相关联。我们最终将进入有趣的部分,并快速回顾一些最好的 ITIL 安全管理工具,描述每个工具的最佳特性和功能。

简而言之

ITIL 曾经代表信息技术基础设施库,早在 80 年代就开始作为英国政府中央计算机和电信局 (CCTA) 的一项努力,旨在为政府和部门的 IT 服务管理制定一套建议和标准实践。私营部门也是如此。它起源于一系列书籍,每本都涵盖了 IT 服务管理中的特定实践,并围绕基于流程模型的控制和管理操作视图构建。 最初由 30 多卷组成,后来有所简化,将服务分组,将卷数减少到 5 卷。它仍在不断发展,最新版本的基础书籍于去年 2 月出版,ITIL 将 IT 服务管理的各种要素分组付诸实践,ITIL 安全管理只是其中之一。

关于 ITIL 安全管理

至于安全管理 ITIL 流程,它“描述了信息安全在管理组织中的结构化匹配”。它主要基于现在称为 ISO/IEC 27001 的信息安全管理系统 (ISMS) 的操作规范。 显然,安全管理的主要目标是确保足够的信息安全。反过来,信息安全的主要目标是保护信息资产免受风险,从而保持其对组织的价值。通常,这表现为确保其机密性、完整性和可用性,但也具有相关属性或目标,例如真实性、责任性、不可否认性和可靠性。 安全管理有两个主要方面。首先也是最重要的是安全要求,这些要求可以在服务水平协议 (SLA) 中定义,也可以在合同、法规以及内部或外部政策中指定的其他要求。它的第二个方面就是保证管理和服务连续性的基本安全性。它与第一个方面有些相关,因为需要为信息安全实现简化的服务级别管理。 虽然 ITIL 安全管理是一个广泛的概念,但它在软件工具的上下文中受到更多限制。在谈论安全管理工具时,可以想到几种类型的工具。然而,一种类型似乎比其他类型更有趣:安全信息和事件管理 (SIEM) 工具。

引入安全信息和事件管理 (SIEM)

在最简单的形式中,安全信息和事件管理是管理安全信息和事件的过程。具体而言,SIEM 系统不提供任何真正的保护。例如,这不同于主动阻止病毒感染受保护系统的防病毒软件。SIEM 的主要目的是让网络和安全管理员的工作更轻松。典型的 SIEM 系统只是从各种系统收集信息——包括网络设备和其他检测和保护系统。然后它关联所有这些信息,组合相关事件,并以各种方式对有意义的事件做出反应。SIEM 系统还包括某种形式的报告,更重要的是,还包括仪表板和警报子系统。

SIEM 系统中有什么

SIEM 系统因供应商而异。然而,它们中的许多组件似乎都包含一定数量的组件。它们不会全部包含所有这些组件,并且当它们包含时,它们的功能可能会有所不同。让我们更详细地回顾一下 SIEM 系统的一些最重要和最常见的组件。

日志收集与管理

毫无疑问,日志收集和管理是 SIEM 系统最重要的组成部分。没有它,就没有 SIEM。SIEM 系统要做的第一件事是从各种不同的来源获取日志数据。它可以拉取它——例如,使用本地安装的代理——或者不同的设备和系统可以将它推送到 SIEM 工具。 由于每个系统都有自己的数据分类和记录方式,因此 SIEM 工具的下一个任务是规范化数据并使其统一,无论数据来自何处。该步骤的完成方式主要因接收数据的原始格式而异。 一旦规范化,记录的数据通常会与已知的攻击模式进行比较,以尽早识别恶意行为。数据也可以与之前收集的数据进行比较,从而帮助建立一个基线,进一步加强异常活动检测。

事件响应

检测事件是一回事,但一旦检测到事件,就必须启动一些响应过程。这就是 SIEM 工具的事件响应模块的全部内容。事件响应可以采用多种形式。在其最基本的实现中,将在系统的仪表板上生成一条警报消息。也可以生成电子邮件或 SMS 警报作为主要响应。 然而,最好的 SIEM 系统更进一步,它们通常可以启动某种补救过程。同样,这可以采取多种形式。最好的系统有一个完整的事件响应工作流系统,可以定制,提供您需要的响应类型。事件响应不必是统一的,不同的事件——或不同类型的事件——可以触发不同的流程。顶级 SIEM 工具可以让您完全控制事件响应工作流程。

报告

有日志收集和管理以及有事件响应系统是一回事,但您还需要另一个重要元素:报告。即使您可能还不知道,您还是需要报告;干净利落。您组织的高管将需要他们亲眼看到他们在 SIEM 系统上的投资正在获得回报。但这还不是全部,您可能还需要出于一致性目的的报告。当您的 SIEM 系统可以生成合规性报告时,遵守 PCI DSS、HIPAA 或 SOX 等标准会容易得多。 报告可能不是每个 SIEM 系统的核心,但它们仍然是其基本组件之一。实际上,报告是竞争系统之间的主要区别因素之一。报告就像糖果,永远不会嫌多。在评估系统时,查看可用的报告及其外观,并记住最好的系统会让您创建自定义报告。

仪表板

大多数 SIEM 工具的最后一个重要组件是仪表板。它很重要,因为它是您了解 SIEM 系统状态的窗口,并且通过扩展,了解您的 IT 环境的安全性。我们可以说带有 S 的仪表板,就像某些系统中可能有多个仪表板一样。不同的人有不同的优先级和兴趣,网络管理员的完美仪表板将不同于安全管理员的仪表板。同样,高管也需要一个完全不同的仪表板。 虽然我们不能仅根据它们提供的仪表板数量来评估 SIEM 系统,但您需要选择一个具有所需仪表板的系统。这绝对是您在评估供应商时要牢记的事情。就像报告一样,最好的工具可以让您根据自己的喜好构建自定义仪表板。

使用 SIEM 作为 ITIL 安全管理工具

在 ITIL 框架的上下文中,无论安全管理的概念多么复杂。它实际上总结了一个主要目标:确保数据安全。尽管整个 IT 安全管理范例有几个不同的方面,但就您可以使用的软件工具而言,似乎没有 ITIL 安全管理软件包。另一方面,各种软件发行商提供的无数工具旨在确保您的数据安全。 我们还看到了 SIEM 工具如何实现类似的保护数据安全的目标。在我们看来,正是这一共同目标使它们成为 IT 安全管理的最佳工具类型之一。但是请记住,ITIL 安全管理的实践远远超出了 SIEM,尽管它们是一个很好的起点,但它们只是解决方案的一部分,尽管是一个重要的解决方案。

最好的 ITIL 安全管理工具

由于我们已经确定最好的 ITIL 安全管理工具确实是 SIEM 工具,因此我们在市场上寻找最好的工具。我们从一些最知名的组织中找到了各种各样的工具。我们列表中的所有工具都具有您期望从安全管理工具获得的所有主要功能。选择最适合您的特定需求的通常是个人品味的问题。或者,也许其中一种工具具有吸引您的独特功能。

1. SolarWinds 安全事件管理器(免费试用)

SolarWinds 是网络监控领域的通用名称。它的旗舰产品称为 Network Performance Monitor,是可用的最佳 SNMP 监控工具之一。该公司还以其众多免费工具而闻名,例如高级子网计算器或免费 SFTP 服务器。 谈到 SIEM,SolarWinds 的产品是 SolarWinds Security Event Manager。该工具以前称为 SolarWinds Log & Event Manager,最好将其描述为入门级 SIEM 工具。然而,它是市场上最好的入门级系统之一。该工具几乎具有您对 SIEM 系统的所有期望。这包括出色的日志管理和关联功能以及令人印象深刻的报告引擎。 SolarWinds-Security-Event-Manager-Screenshot 免费试用: SolarWinds 安全事件管理器 官方下载链接: [https ://www.solarwinds.com/security-event-manager/registration](http://https ://www.solarwinds.com/security-event-manager/registration) 该工具还拥有出色的事件响应功能,无可挑剔。例如,详细的实时响应系统将积极应对每一个威胁。由于它基于行为而非签名,因此您可以免受未知或未来的威胁和零日攻击。 除了令人印象深刻的功能集之外,SolarWinds Security Event Manager 的仪表板可能是它最好的资产。凭借其简单的设计,您可以轻松找到使用该工具的方法并快速识别异常情况。该工具的起价约为 4500 美元,物超所值。如果您想试用它并了解它在您的环境中如何工作,可以下载功能齐全的免费 30 天试用版。

2. Splunk 企业安全

Splunk Enterprise Security (或通常称为 Splunk ES)可能是最流行的 SIEM 系统之一。它以其分析能力而闻名。Splunk ES 实时监控您的系统数据,查找漏洞以及异常和/或恶意活动的迹象。 Splunk-ES-Risk-Analysis 除了出色的监控,安全响应是 Splunk ES 的另一个强项。该系统使用 Splunk 所称的自适应响应框架( ARF ),该框架集成了超过 55 家安全供应商的设备。ARF 执行自动响应,加速手动任务。这会让你迅速占据上风。再加上一个简单而整洁的用户界面,您就有了一个成功的解决方案。其他有趣的功能包括显示用户可自定义警报的 Notables 功能和用于标记恶意活动并防止进一步问题的资产调查员。 Splunk ES 是真正的企业级产品,这意味着它带有企业级价格标签。遗憾的是,无法从 Splunk 的网站上轻松获得定价信息。您需要联系销售部门以获得报价。如果您想试用该产品,联系 Splunk 还可以让您享受免费试用。

3.RSA 网络见证

从 2016 年开始,NetWitness 专注于支持“深度实时网络态势感知和敏捷网络响应”的产品。在被 EMC 收购并与 Dell 合并后,NetW itness 品牌现在是该公司 RSA 分支机构的一部分。这是个好消息,因为 RSA 在 IT 安全领域是一个备受推崇的名字。 RSA NetWitness 是寻求完整网络分析解决方案的组织的理想选择。该工具集成了有关您的组织的信息,用于帮助确定警报的优先级。根据 RSA 的说法,该系统“比其他 SIEM 解决方案在更多的捕获点、计算平台和威胁情报源中收集数据”。该工具还具有高级威胁检测功能,结合了行为分析、数据科学技术和威胁情报。最后,高级响应系统拥有编排和自动化功能,有助于在威胁影响您的业务之前将其消除。 RSA-NetWitness 据其用户社区报告, RSA NetWitness 的主要缺点之一是它不是最容易设置和使用的。但是,可以使用全面的文档来帮助您设置和使用该产品。这是另一种企业级产品,通常情况下,您需要联系销售人员以获取定价信息。

4.ArcSight 企业安全管理器

ArcSight Enterprise Security Manager 有助于识别安全威胁并确定其优先级,组织和跟踪事件响应活动,并简化审计和合规活动。它曾经以惠普品牌销售,但 ArcSight 现在已并入惠普的另一家子公司 Micro Focus 。 ArcSight Enterprise Security Manager 已经存在超过 15 年,是另一个非常受欢迎的 SIEM 工具。它编译来自各种来源的日志数据并执行广泛的数据分析,寻找恶意活动的迹象。为了便于快速识别威胁,该工具允许您实时查看分析结果。 ArcSight-Command-Center 至于产品的功能,则无可挑剔。它具有强大的分布式实时数据关联、工作流自动化、安全编排和社区驱动的安全内容。ArcSight Enterprise Security Manager 还集成了其他 ArcSight 产品,例如 ArcSight Data Platform 和 Event Broker 或 ArcSight Investigate。这是另一种企业级产品,因此价格信息并不容易获得。它将要求您联系 ArcSight 销售团队以获得定制报价。

5.McAfee 企业安全管理器

McAfee 绝对是安全行业中另一个家喻户晓的名字。但是,它以其病毒防护系列产品而闻名。与此列表中的其他产品不同,McAfee Enterprise Security Manager 不仅仅是软件,它还是一种设备,您可以将其作为硬件或虚拟形式获得。 就其分析功能而言,McAfee Enterprise Security Manager 被许多人认为是最好的 SIEM 工具之一。该系统在各种设备上收集日志,其规范化能力首屈一指。关联引擎可轻松编译不同的数据源,从而更容易在安全事件发生时对其进行检测。 McAfee-Enterprise-Security-Manager 但事实上,这个 McAfee 解决方案不仅仅是其 Enterprise Security Manager。要获得完整的 SIEM 解决方案,您还需要 Enterprise Log Manager 和 Event Receiver。幸运的是,所有产品都可以打包在一个设备中。对于那些可能想在购买前试用该产品的人,可以免费试用。

6.IBM QRadar

IBM 无疑是 IT 行业最知名的品牌之一。毫不奇怪,该公司已成功建立其 SIEM 解决方案 IBM QRadar 作为市场上最好的产品之一。该工具使安全分析师能够实时检测异常、发现高级威胁并消除误报。 IBM QRadar 拥有一套日志管理、数据收集、分析和入侵检测功能。它们共同帮助您的网络基础设施保持正常运行。还有可以模拟潜在攻击的风险建模分析。 IBM-QRadar-Dashboard IBM QRadar 的一些主要功能包括在本地或云环境中部署解决方案的能力。它是一种模块化解决方案,可以随着需求的增长快速且廉价地添加更多存储或处理能力。该系统使用 IBM X-Force 的情报专业知识,并与数百种 IBM 和非 IBM 产品无缝集成。 不过, IBM 就是 IBM,您可能会为其 SIEM 解决方案支付高价。但是,如果您需要市场上最好的 SIEM 工具之一,并且需要一个由可靠组织支持的工具,那么 IBM QRadar 可能非常值得投资。


本站由 Diebug 使用 Stellar 1.29.1 主题创建。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
本站总访问量 | 本站总访客数