12款顶级SIEM工具比较与评级

安全信息和事件管理(SIEM)工具是大多数公司网络防御的核心部分。使用本指南可以帮助您寻找到最符合您需求的SIEM选项。

SIEM可以说是网络安全专业人员的“蓝领级”工具，因为审计、审查和管理事件日志并不具备任何独到的魅力，但它却是构建安全企业网络的一个必不可少的层面。它可以作为所有数据收集和分析活动的集中点，可对系统日志和网络信息提供智能分析。一旦SIEM配置正确，它便可以查找恶意行为和系统活动，在安全事件恶化成为有影响的数据泄露事件之前提醒企业的安全事件团队。

如今，网络安全已经逐步走向成熟，无数工具(机器学习支持的防火墙，强化的Web应用程序服务器，云服务等)的衍生进一步加剧了企业网络攻击的难度。以全局、“自上而下”的方式监控每个层、服务和设备，对于为日志事件提供上下文而言至关重要。此外，将自动修复任务应用于事件日志也助力许多此类SIEM工具提升到了另一个级别。

鉴于事件日志的性质，它们通常会成为渴望掩盖其活动踪迹的恶意用户的二次攻击面。SIEM工具通常会通过将事件日志转移到为任务构建的服务器或服务中，来为事件日志提供额外的保护层，从而提供一种防止编辑或删除，甚至创建备份副本的方法。

以下是Gartner PeerInsights评选的12款顶级SIEM工具，以及来自同行评审的评级摘要：

1. AlienVault统一安全管理平台(AlienVault Unified Security Management)

AlienVault的统一安全管理(USM)平台提供了在各种系统中监控、分析和管理系统事件的工具。其声称能够从网络中的任何地方发现威胁，而不仅仅通过防火墙，且能够将发现的威胁以“杀伤链”(KILL CHAIN)的不同阶段进行归类。

AlienVault USM不仅仅是一个SIEM解决方案。除了监控进而管理事件日志外，该平台还提供用于漏洞评估和入侵检测(包括网络和基于主机)的工具，为可能不具备这些功能的客户提供附加价值。除此之外，AlienVault还提供OSSIM(开源安全信息和事件管理)服务，顾名思义，它是一个开源的SIEM解决方案，且可能是更受欢迎的开源SIEM平台之一。OSSIM将本地日志存储和关联功能与众多开源项目结合在一起，以构建完整的SIEM。OSSIM中包含的开源项目列表包括FProbe，Munin，Nagios，NFSen / NFDump，OpenVAS，OSSEC，PRADS，Snort，Suricata和TCPTrack。

Gartner PeerInsights评分：4.3星;

目标受众：各种规模的IT商店;

显著特点：捆绑为具有入侵检测和漏洞评估工具的多层安全套件;

定价：AlienVault主要提供3种售价标准——基础版：1,075美元/月起;优质版：2,595美元/月起，按年度结算;最高级：根据保留期、数据量以及对PCI兼容日志存储的支持类型进行具体定价;

2. Elastic Logstash

Elastic并不提供真正的SIEM平台(如果您的组织需要PCI兼容性，可以前往查看其他工具)，但Logstash作为一个日志聚合器，可以收集和处理来自几乎任何数据源的数据，它可以过滤、处理、关联并且通常增强它收集的任何日志数据。尤其是Elastic还提供了诸如Beats之类的工具来移动数据，Beats包括各种轻量级日志传送，负责收集数据并通过Logstash将其发送到堆栈;Elasticsearch是存储引擎，用于帮助解析大量数据;而Kibana则是堆栈中的可视化层，用于处理可视化和分析问题。

Logstash可能是该列表中最灵活的工具，但它也存在一些关键问题。毫无疑问，Elastic的Stack平台非常强大，其日志处理、存储和可视化功能在功能上都是无与伦比的。然而，对于SIEM而言，ELK Stack至少在其原始开源格式中缺少一些关键组件。首先，没有内置的报告或警报功能。这是一个已知的痛点，不仅对于尝试将堆栈用于安全性的用户而且对于更常见的用例来说也是如此——例如IT操作。警报可以通过使用X-Pack(Elastic的商业产品)或通过添加开源安全附件来添加。其次，也没有可以使用的内置安全规则。这使得堆栈在处理资源和运营成本方面成本更高。

Gartner PeerInsights评分：4.3星;

目标受众：各种规模的客户，尤其是具有DevOps功能的客户;

显著特点：开源和极其灵活的平台;

定价：开源且免费，基于具体规模和使用情况提供企业支持和商业订阅定价模式;

3. Exabeam安全管理平台(Exabeam Security Management Platform)

在我们此次列举的12款解决方案中，Exabeam赢得了最高的Gartner PeerInsights评分，至于原因也是显而易见的。对于初学者而言，Exabeam的安全管理平台可以为您的事件日志带来大数据工具集，提供性能和分析优势。Exabeam Data Lake可以支持尽可能多的数据，且其定价也是基于用户数量而非数据量而定，此外，Exabeam还可以使用机器学习等技术为用户提供多种分析策略。