9种最佳SIEM工具：安全信息和事件管理指南

什么是安全信息和事件管理（SIEM）?

SIEM代表安全信息和事件管理。 SIEM产品提供对应用程序和网络硬件生成的安全警报的实时分析.

我们将在下面详细介绍每个产品，但是如果您时间有限，以下是我们最佳SIEM工具列表的摘要：

1. SolarWinds安全事件管理器（免费试用） 具有许多图形数据可视化效果的美观界面位于可在Windows Server上运行的强大而全面的SIEM工具的前面.
2. ManageEngine EventLog Analyzer（免费试用） SIEM工具，用于管理，保护和挖掘日志文件。该系统安装在Windows，Windows Server和Linux上.
3. Splunk企业安全 该工具适用于Windows和Linux，是世界领导者，因为它结合了网络分析和日志管理以及出色的分析工具.
4. OSSEC 可免费使用并充当安全信息管理服务的开源HIDS安全系统.
5. LogRhythm安全情报平台 基于AI的尖端技术为Windows和Linux提供了这种流量和日志分析工具.
6. AlienVault统一安全管理 可在Mac OS和Windows上运行的超值SIEM.
7. RSA NetWitness 极其全面，适合大型组织，但对中小企业来说有点过多。在Windows上运行.
8. IBM QRadar 在Windows环境下运行的市场领先的SIEM工具.
9. 迈克菲企业安全管理器 流行的SIEM工具贯穿您的Active Directory记录，以确认系统安全性。在Mac OS和Windows上运行.

随着越来越多的企业在线运营，整合网络安全工具和威胁检测以防止宕机变得越来越重要。不幸的是，许多不道德的网络攻击者活跃在网络上，只是在等待攻击易受攻击的系统。安全信息和事件管理（SIEM）产品已成为识别和解决网络攻击的核心部分.

该术语有点像从日志管理系统到安全日志/事件管理，安全信息管理和安全事件关联的安全软件包的总称。通常，这些功能结合在一起可提供360度保护.

尽管SIEM系统并非万无一失，但它是组织拥有明确定义的网络安全政策的关键指标之一。在十分之九的网络攻击中，表面上没有明确的证据。要检测威胁，使用日志文件会更有效。 SIEM的卓越日志管理功能使它们成为网络透明的中心枢纽.

大多数安全程序都是在微观规模上运行的，可以解决较小的威胁，但却无法把握更大的网络威胁。仅入侵检测系统（IDS）所能做的几乎不仅仅是监视数据包和IP地址。同样，您的服务日志仅显示用户会话和配置更改。 SIEM将这些系统和其他类似系统放在一起，以通过实时监视和事件日志分析提供对任何安全事件的完整概述。.

什么是安全信息管理（SIM）?

安全信息管理（SIM）是从计算机日志中收集，监视和分析与安全相关的数据。也称为日志管理.

什么是安全事件管理（SEM）?

安全事件管理（SEM）是网络事件管理的实践，包括实时威胁分析，可视化和事件响应.

SIEM vs SIM vs SEM –有什么区别?

SIEM，SIM和SEM通常可以互换使用，但有一些主要区别.

安全信息管理（SIM）安全事件管理（SEM）安全信息和事件管理（SIEM）

总览	从计算机日志收集和分析与安全相关的数据.	实时威胁分析，可视化和事件响应.	顾名思义，SIEM结合了SIM和SEM功能.
特征	易于部署，强大的日志管理功能.	部署更复杂，实时监控更出色.	部署更加复杂，功能完善.
示例工具	操作系统	NetIQ前哨	SolarWinds日志 & 事件管理器

SIEM功能

SIEM的基本功能如下：

• 日志收集
• 规范化–收集日志并将其规范化为标准格式）
• 通知和警报 –当发现安全威胁时通知用户
• 安全事件检测
• 威胁响应工作流程 –处理过去的安全事件的工作流程

SIEM记录来自用户内部工具网络的数据，并识别潜在的问题和攻击。该系统在统计模型下运行以分析日志条目。 SIEM分发收集代理并从网络，设备，服务器和防火墙中调出数据.

然后将所有这些信息传递到管理控制台，在其中可以对其进行分析以解决新出现的威胁。先进的SIEM系统使用自动响应，实体行为分析和安全协调的情况并不少见。这确保了可以通过SIEM技术监视和解决网络安全工具之间的漏洞。.

一旦必要的信息到达管理控制台，数据分析师就会查看该信息，他可以提供有关整个过程的反馈。这很重要，因为反馈有助于从机器学习和增强对周围环境的熟悉程度方面教育SIEM系统.

SIEM软件系统一旦识别出威胁，便会与设备上的其他安全系统进行通信，以阻止有害的活动。 SIEM系统的协作性质使它们成为流行的企业级解决方案。但是，无处不在的网络威胁的兴起使许多中小型企业也考虑了SIEM系统的优点.

由于采用SIEM的成本很高，因此这种更改相对较新。您不仅必须为系统本身支付可观的金额；您需要分配一两个工作人员来进行监督。结果，较小的组织对采用SIEM的热情降低了。但这已经开始改变，因为中小型企业可以将其外包给托管服务提供商.

SIEM为什么重要?

SIEM已成为现代组织的核心安全组件。主要原因是每个用户或跟踪器都会在网络的日志数据中留下虚拟路径。 SIEM系统旨在使用此日志数据，以便深入了解过去的攻击和事件。 SIEM系统不仅可以识别发生了攻击，而且还可以让您了解发生攻击的方式和原因.

随着组织更新并升级到日益复杂的IT基础架构，近年来SIEM变得越来越重要。与流行的看法相反，防火墙和防病毒软件包不足以完全保护整个网络。即使采取了这些安全措施，零日攻击仍然可以穿透系统的防御.

SIEM通过检测攻击活动并针对网络上的过去行为进行评估来解决此问题。 SIEM系统具有区分合法使用和恶意攻击的能力。这有助于增强系统的事件防护能力，并避免损坏系统和虚拟财产.

SIEM的使用还可以帮助公司遵守各种行业网络管理法规。日志管理是审核IT网络上活动的行业标准方法。 SIEM系统提供了满足此法规要求的最佳方法，并提供了日志透明性，以便产生清晰的见解和改进.

SIEM基本工具

并非所有SIEM系统的构建都是相同的。结果，没有一种万能的解决方案。适用于一家公司的SIEM解决方案可能对另一家公司而言并不完整。在本节中，我们将分解SIEM系统所需的核心功能.

日志数据管理

如上所述，日志数据管理是任何企业级SIEM系统的核心组件。 SIEM系统需要合并来自各种不同来源的日志数据，每种来源都有其自己的分类和记录数据的方式。在寻找SIEM系统时，您需要一个能够有效规范数据的功能（如果您的SIEM系统无法很好地管理不同的日志数据，则可能需要第三方程序）.

数据标准化后，就可以量化并与之前记录的数据进行比较。然后，SIEM系统可以识别恶意行为的模式并发出通知以警告用户采取措施。分析师可以搜索此数据，该分析师可以为将来的警报定义新的条件。这有助于发展系统防御新威胁的能力.

合规报告

就便利性和法规要求而言，拥有具有广泛合规性报告功能的SIEM非常重要。通常，大多数SIEM系统都有某种机载报告生成系统，可帮助您符合合规性要求.

您需要遵循的标准要求的来源将对您所安装的SIEM系统产生重大影响。如果您的安全标准是由客户合同决定的，那么您选择哪种SIEM系统就没有太多余地了-如果它不支持必需的标准，那么您就不会再使用它了。您可能需要证明自己符合PCI DSS，FISMA，FERPA，HIPAA，SOX，ISO，NCUA，GLBA，NERC CIP，GPG13，DISA STIG或许多其他行业标准之一.

威胁情报

如果发生违规或攻击，您可以生成一份报告，详细说明其广泛发生的过程。然后，您可以使用这些数据来完善内部流程并调整网络基础架构，以确保不会再次发生这种情况。这使用SIEM技术使您的网络基础架构不断发展以应对新的威胁.

微调警报条件

能够为将来的安全警报设置标准的能力对于通过威胁情报维护有效的SIEM系统至关重要。完善警报是保持SIEM系统更新以应对新威胁的主要方法。创新的网络攻击每天都在出现，因此，使用旨在添加新安全警报的系统可以防止您落伍.

您还希望确保找到可以限制收到的安全警报数量的SIEM软件平台。如果您被警报淹没，您的团队将无法及时解决安全问题。如果不对调整警报进行细化，您将需要对从防火墙到入侵日志的大量事件进行筛选.

仪表板

如果您的仪表板后面很差，那么扩展的SIEM系统就不好了。拥有带有简单用户界面的仪表板可以更轻松地识别威胁。实际上，您正在寻找具有可视化功能的仪表板。直接使用此功能，您的分析师就可以发现显示器上是否有任何异常。理想情况下，您需要可以配置为显示特定事件数据的SIEM系统.

最好的SIEM工具

购买SIEM解决方案时，市场上有很多选择。从IBM，Intel和HE等较大的公司，到SolarWinds和Manage Engine，几乎每种规模和风格的公司都有解决方案。甚至还有免费的开源选项，尽管开源项目通常的开发预算很低，这意味着这些选项可能不是最好的.

选择SIEM工具之前，评估您的目标很重要。例如，如果您正在寻找满足法规要求的SIEM工具，则生成报告将是您的首要任务之一.

另一方面，如果要使用SIEM系统来保护免受新兴攻击的侵扰，则需要具有高功能标准化和广泛的用户定义通知功能的系统。下面我们看一下市场上一些最好的SIEM工具.

1. SolarWinds安全事件管理器（免费试用）

操作系统： 视窗

在入门级SIEM工具方面, SolarWinds安全事件管理器 （扫描电镜）是市场上最具竞争力的产品之一。 SEM体现了SIEM系统所期望的所有核心功能，并具有广泛的日志管理功能和报告功能。 SolarWinds详细的实时事件响应使其成为希望利用Windows事件日志来主动管理其网络基础架构以应对未来威胁的人们的绝佳工具.

关于SEM的最好的事情之一是其详细而直观的仪表板设计。可视化工具的简单性使用户易于识别任何异常。作为一种受欢迎的奖励，该公司提供24/7全天候支持，因此如果您遇到错误，可以与他们联系以获取建议.

编辑的选择

具有各种日志管理功能的市场上最具竞争力的SIEM工具之一。实时事件响应可以轻松地主动管理您的基础架构，详细而直观的仪表板使其成为市场上最容易使用的仪表板之一。有了24/7支持，这是SIEM的明确选择.

下载： 在SolarWinds.com上全功能的30天免费试用

官方网站： https://www.solarwinds.com/security-event-manager/

作业系统： 视窗

2. ManageEngine EventLog Analyzer（免费试用）

操作系统： Windows和Linux

的 ManageEngine EventLog分析器 是 SIEM工具 因为它专注于管理日志并从中收集安全性和性能信息.

该工具能够收集Windows事件日志和Syslog消息。然后它将这些消息整理成文件, 旋转到新文件 在适当的位置并将这些文件存储在有意义的目录中，以便于访问。然后，EventLog Analyzer可以保护这些文件免遭篡改.

不过，ManageEngine系统不仅仅是日志服务器。它有 分析功能 这将通知您未经授权访问公司资源。该工具还将评估关键应用程序和服务的性能，例如Web服务器，数据库，DHCP服务器和打印队列。.

EventLog Analyzer的审核和报告模块对于证明数据保护标准的遵从性非常有用。报告引擎包括符合以下要求的格式 PCI DSS, FISMA, GLBA, SOX, HIPAA, 和 ISO 27001.

ManageEngine生产了三个版本的EventLog Analyzer，其中包括一个免费版本，该版本从多达五个来源收集日志。 ManageEngine提供Premium Edition的30天免费试用。还可以使用基于网络的版本（称为分布式版本）进行30天的免费试用。.

ManageEngine EventLog Analyzer下载30天免费试用版

3. Splunk企业安全性

操作系统： Windows和Linux

Splunk 是全球最受欢迎的SIEM管理解决方案之一。与众不同的是，它已将分析纳入其SIEM的心脏。当系统搜寻潜在漏洞时，可以实时监视网络和机器数据。企业安全性的“通知”功能显示可由用户改进的警报.

在响应安全威胁方面，用户界面非常简单。进行事件审查时，用户可以从基本概述开始，然后单击以浏览过去事件的深入注释。同样，资产调查员可以很好地标记恶意行为并防止将来受到损害。您需要与供应商联系以获取报价，因此很显然，这是针对大型组织而设计的平台.

4. OSSEC

操作系统： Windows，Linux，Unix和Mac

OSSEC 是领先的基于主机的入侵防御系统（HIDS）。 OSSEC不仅是非常好的HIDS，而且可以免费使用。 HIDS方法可与SIM系统执行的服务互换，因此OSSEC也适合SIEM工具的定义.

该软件专注于日志文件中可用的信息，以寻找入侵的证据。除读取日志文件外，该软件还监视文件校验和以检测篡改。黑客知道日志文件可以揭示它们在系统中的存在并跟踪其活动，因此许多高级入侵恶意软件都会更改日志文件以删除该证据。.

作为一款免费软件，没有任何理由不在网络上的许多位置安装OSSEC。该工具仅检查驻留在其主机上的日志文件。该软件的程序员知道不同的操作系统具有不同的日志记录系统。因此，OSSEC将检查Windows和Syslog记录上的事件日志和注册表访问尝试，以及Linux，Unix和Mac OS设备上的根访问尝试。该软件中的高级功能使其能够通过网络进行通信，并将在一个位置中标识的日志记录合并到中央SIM日志存储中.

尽管OSSEC是免费使用的，但它是由趋势科技（Trend Micro）商业运营拥有的。该系统的前端可以作为单独的程序下载，但效果不是很好。大多数OSSEC用户将其数据作为前端和分析引擎传递给Graylog或Kibana.

OSSEC的行为由“策略”决定，“策略”是要在日志文件中查找的活动签名。这些策略可从用户社区论坛免费获得。倾向于只使用完全受支持的软件的企业可以订阅趋势科技的支持包.

5. LogRhythm安全智能平台

操作系统： Windows和Linux

对数节奏 长期以来，他们已成为SIEM解决方案领域的先驱。从行为分析到日志关联和人工智能，该平台应有尽有。该系统与各种设备和日志类型兼容。在配置设置方面，大多数活动都是通过Deployment Manager进行管理的。例如，您可以使用Windows主机向导筛选Windows日志.

这使缩小网络上发生的事情变得容易得多。最初，用户界面确实具有学习曲线，但是广泛的说明手册会有所帮助。锦上添花的是，使用说明书实际上提供了指向各种功能的超链接，以帮助您进行旅行。该平台的价格标签使其成为希望实施新安全措施的中型组织的不错选择.

6. AlienVault统一安全管理

操作系统： Windows和Mac

作为此清单上价格更具竞争力的SIEM解决方案之一, AlienVault 是非常有吸引力的产品。它的核心是具有内置入侵检测，行为监控和漏洞评估的传统SIEM产品。 AlienVault拥有您期望的针对此规模平台的机载分析.

AlienVault平台更独特的方面之一就是开放威胁交换（OTX）。 OTX是一个Web门户，允许用户上载“危害指标”（IOC）以帮助其他用户标记威胁。就常识和威胁而言，这是一个很好的资源。该SIEM系统的低价格使其非常适合希望升级其安全基础架构的中小型企业.

7. RSA NetWitness

操作系统： 红帽企业Linux

RSA NetWitness 是市场上较常见的SIEM选项之一。如果您正在寻找完整的网络分析解决方案，那么RSA Netwitness就是您的最佳选择。对于大型组织，这是市场上最广泛的工具之一。但是，如果您要寻找易于使用的产品，则可能需要在其他地方查找.

不幸的是，与该列表中的其他产品相比，初始设置可能会非常耗时。话虽如此，全面的用户文档将帮助您完成设置过程。安装指南并不能为您提供所有信息，而是可以为您提供足够的信息来将它们组合在一起.

8. IBM QRadar

操作系统： 红帽企业Linux

在过去的几年左右的时间里，IBM对SIEM的回答已将自己确立为市场上最好的产品之一。该平台提供了一套日志管理，分析，数据收集和入侵检测功能，以帮助保持网络基础架构的正常运行。所有日志管理都通过一种工具进行： QRadar日志管理器. 在分析方面，QRadar是近乎完整的解决方案.

该系统具有可以模拟潜在攻击的风险建模分析。这可用于监视网络上的各种物理和虚拟环境。 IBM QRadar是此列表中最完整的产品之一，如果您正在寻找通用的SIEM解决方案，它是一个不错的选择。这个行业标准的SIEM系统的多种功能使其成为许多大型组织的行业标准.

9. McAfee企业安全管理器

操作系统： Windows和Mac

迈克菲企业安全管理器 就分析而言，被视为最佳的SIEM平台之一。用户可以通过Active Directory系统在各种设备上收集各种日志。在规范化方面，McAfee的关联引擎可以轻松地编译不同的数据源。这使得检测安全事件何时发生变得更加容易.

在支持方面，用户可以访问McAfee Enterprise技术支持和McAfee业务技术支持。如果愿意，用户可以选择每年两次由支持客户经理访问其站点。 McAfee的平台面向寻求完整安全事件管理解决方案的中型公司.

实施SIEM

无论您选择将哪种SIEM工具集成到您的业务中，缓慢采用SIEM解决方案都是很重要的。没有实现SIEM系统的快速途径。将SIEM平台集成到您的IT环境中的最佳方法是逐步将其引入。这意味着逐个采用任何解决方案。您应该既具有实时监视功能又具有日志分析功能.

这样做使您能够评估您的IT环境并调整采用过程。逐步实施SIEM系统将有助于您检测是否使自己容易受到恶意攻击。最重要的是要确保您清楚地了解使用SIEM系统时要实现的目标.

在本指南中，您会看到各种不同的SIEM提供程序提供了截然不同的最终产品。如果您想找到最适合您的服务，请花一些时间研究可用的选项，并找到与您的组织目标相符的选项。在初始阶段，您需要为最坏的情况做准备.

为最坏的情况做准备意味着您已经准备好应对最严峻的攻击。最终，过度保护免受网络攻击总比未得到充分保护要好。选择了要使用的工具后，请承诺进行更新。 SIEM系统仅与其更新一样好。如果您无法及时更新日志并优化通知，那么当新出现的威胁来袭时，您将毫无准备.