Splunk vs. QRadar:两大主流SIEM产品对比

IBM 和 Splunk 提供的 SIEM 解决方案均为业界一流,但各有千秋。

SIEM 面世至今已走过了十几个年头的发展历程,是将安全信息管理 (SIM) 和安全事件管理 (SEM) 功能结合到一个安全管理系统中的现代安全管理工具。SIM 收集、分析和报告日志数据;SEM 实时分析日志及事件数据,提供威胁监测、事件关联和事件响应。鉴于其不间断实时监控的特性,SIEM 如今已是大型企业不可或缺的技术。

SIM 和 SEM 均提供安全警报按需分析功能,可摄入多种应用及网络硬件产生的安全警报。能够将这两种功能合二为一的安全提供商便抢占了拓展新业务的先机。

企业 SIEM 的主要功能包括:多源数据摄入;数据解释;威胁情报馈送合并;警报关联;分析;概述;自动化;以及潜在威胁汇总。

IBM QRadar vs. Splunk: 业界最佳正面比拼

IBM QRadar 和 Splunk 是现有最好的两种 SIEM 解决方案,后者在近十年来的大部分时间里一直处于市场领导者地位。但是,这两种产品各有千秋,各自为潜在买家带来不同方面的显著成效。两种 SIEM 解决方案均提供强大的核心 SIEM 产品,但在使用威胁情报和与第三方及其他安全工具集成方面存在差异。

总体上讲,IBM QRadar 旨在与其他 IBM 产品(如 Watson AI)优化集成,而作为独立软件制造商的 Splunk 可以更轻松地与系统内其他组件进行交互。

以下是对这两个解决方案的主要功能介绍及分析,正面对比 IBM QRadar 与 Splunk。

IBM QRadar

1. QRadar 带来什么

IBM 的 SIEM 工具集 QRadar 专为大型企业设计,由用于构建企业级威胁检测及响应系统的可靠平台构成。也包含用于较小型用例的大量蓝图与模板。QRadar 部署广泛,服务提供商众多,可辅助公司企业采购、运行、调整及监控他们的部署。

含有多组件的IBM QRadar Security Intelligence Platform(安全情报平台)是围绕 IBM QRadar SIEM 构建。IBM QRadar Vulnerability Manager(漏洞管理器)使用虚拟机数据上下文化事件数据。IBM QRadar Network Insights(网络流量分析)提供基于 QFlow 的应用程序可见性。

IBM QRadar User Behavior Analytics(用户行为分析)是处理某些内部人威胁用例的免费用户行为分析 (UBA) 模块。IBM QRadar Incident Forensics(事件取证)提供取证调查支持。IBM QRadar Advisor with Watson(认知安全分析)为已识别威胁提供自动化根源研究。

2. 考虑采用 QRadar 的几大理由

  • 有 IBM 强大品质保障做支撑,安全投资提案更容易获得首席财务官 (CFO) 的首肯。
  • QRadar 提供多功能、全覆盖的 SIEM 平台,可为各类型用例奉上多种现成(模板化)内容供选择。管理员安装时不必从头开始。
  • QRadar 与其他 IBM 安全产品组合增值集成(如 IBM QRadar Advisor with Watson、IBM Resilient 和免费的 UBA 模块),还有可通过 IBM QRadar 市场便捷访问的第三方(社区、安全及 IT 供应商)开发内容,整个生态系统稳固坚实。
  • Watson AI 本身就是一大卖点。
  • IBM QRadar User Behavior Analytics(用户行为分析)是处理某些内部人威胁用例的免费用户行为分析 (UBA) 模块。IBM QRadar Incident Forensics(事件取证)提供取证调查支持。IBM QRadar Advisor with Watson(认知安全分析)为已识别威胁提供自动化根源研究。蓝色巨人还提供 IBM Security App Exchange——IBM QRadar 客户可由此下载由 IBM 或第三方开发的内容,用以扩展 IBM QRadar 的覆盖范围或价值主张。
  • 包含对网络数据监控的强大支持,拥有大量应用程序流签名以解析流数据。

3. QRadar 如何部署

IBM QRadar SIEM 可作为硬件虚拟设备和软件包提供,具体取决于客户的事件速度(覆盖范围内所有数据源的每秒事件 (EPS) 数量)。也可以作为 IBM 托管的软件即服务 (SaaS) SIEM 从云端获取。

4. QRadar 定价机制如何

IBM QRadar Security Intelligence Platform 中附加组件的定价取决于其各自的指标(例如,IBM QRadar Network Insights 的流数量,或者 IBM QRadar Vulnerability Manager 覆盖的资产数量)。QRadar Network Insights 仅可以硬件设备的形式向数据中心提供。

5. 可供采纳的建议

IBM QRadar 与其他 IBM 组件协同使用效果最佳。

IBM QRadar 中的选项卡和模块之间观感不一致,用户体验可能落后于一些较新的竞争对手。据称 IBM 正在努力改进这一点。

该平台中的风险评分以攻击规模显示,需要一定程度的安全过程成熟度才好实施。风险评分无需定制。

分析师表示,IBM 在集成、部署和服务/支持上比 Splunk 等其他 SIEM 领头羊得分略低。SIEM 参考客户在服务和支持方面给 IBM 的打分低于平均值。IBM 透露称,最近已增加服务和支持人手。

6. 谁在用:中大型企业

7. 如何部署:选项有云服务订阅、虚拟设备和实体服务器

8. eWEEK 综合评分: 4.8/5.0

Splunk 安全产品组合

1. Splunk 带来什么

Splunk 不仅名字酷炫,其 SIEM 系统的业内评价也很高。想跨 SIEM 和其他 IT 用例共享架构及供应商的公司企业,以及寻求可扩展解决方案处理从基本日志管理到高级分析及响应任务的公司企业,都应考虑采用 Splunk。

其 Security Intelligence Platform 由 Splunk Enterprise 和如下三个解决方案构成:Splunk Enterprise Security (ES)、Splunk User Behavior Analytics (UBA) 及 Splunk Phantom。Splunk Enterprise 为各种 IT 运营及某些安全用例提供事件与数据收集、搜索和可视化功能。付费 ES 解决方案交付多种常用安全监视功能,包括特定于安全的查询、可视化及控制面板,还有一些案例管理、工作流及事件响应功能。

Splunk 的安全产品组合连续六年被 Gartner 市场研究公司评为业界领先技术——一项不小的成就。该平台帮助客户优化其安全神经中枢,处理一系列安全监视及威胁检测用例。客户将 Splunk Enterprise Security 和 Splunk User Behavior Analytics 作为分析驱动的 (Analytics-Driven) SIEM 联合使用,打造自身安全运营中心 (SOC) 以检测、调查和响应威胁。作为先进的安全编排、自动化与响应 (SOAR) 解决方案,Splunk Phantom 帮助客户调查事件并加速事件响应动作。

想跨 SIEM 和其他 IT 用例共享架构及供应商的公司企业,以及寻求可扩展解决方案处理从基本日志管理到高级分析及响应任务的公司企业,都应考虑采用 Splunk。

2. 考虑采用 Splunk 的几大原因

  • Splunk Security Intelligence Platform 集中式运行且用户界面直观。该平台由 Splunk Enterprise 和如下三个解决方案构成:Splunk Enterprise Security (ES)、Splunk User Behavior Analytics (UBA) 及 Splunk Phantom。Splunk Enterprise 为各种 IT 运营及某些安全用例提供事件与数据收集、搜索和可视化功能。
  • 付费 ES 解决方案交付多种常用安全监视功能,包括特定于安全的查询、可视化及控制面板,还有一些案例管理、工作流及事件响应功能。UBA 额外带来机器学习驱动的 (ML-driven) 高级分析技术。Phantom 提供 SOAR 功能。可通过 Splunkbase 获取用于安全用例的其他应用。
  • 过去一年来 Splunk 最为重要的几个功能增强包括:支持通过 Splunk ES 中 Investigation Workbench 用户界面进行带指导的调查,ES 和 UBA 快速内容更新,以及速度提升。
  • Splunk 产品为公司企业提供了多个安全监视切入点,可用 Splunk Enterprise 从基础的事件收集和简单用例开始,到以 ES 执行更为丰富的 SIEM 功能,用 UBA 进行更高级的分析,以及用 Phantom 执行 SOAR 操作。
  • 尽管使用其他竞争技术或产品(如用户分析领域的其他产品)的用户应做好集成深度的验证工作,但 Splunk 生态系统堪称完备健壮,应用市场中有各种技术集成可用。
  • 个人可识别信息 (PII) 保护功能非常强大;提供低至属性级的信息混淆和 PII 屏蔽支持,可在用户 ID、位置及其他属性上应用此类保护功能。

3. Splunk 如何部署

Splunk 提供多种部署选项:现场软件、基础设施即服务 (IaaS) 和混合模式。Splunk Cloud 是 Splunk 托管并运营的 SaaS 解决方案,采用 AWS 基础设施。Splunk Enterprise 和 Splunk Cloud 组件构成 Universal Forwarders、Indexers 和 Search Heads 以支持多层架构。

4. Splunk 定价机制如何

Splunk 基于平台摄入的数据量签发许可,对 DNS 和 NetFlow 数据打折。ES 同样按每天摄入的 GB 数定价,UBA 则按公司的用户账户数量核价,且均可签永久授权或短期授权,企业级许可和功能增配有多个选项可供选择。Phantom 按用户采取行动的事件数定价。

5. 可供采纳的建议

这种 “一分钱一分货” 的模式下,Splunk 总体上比其竞争对手贵上几分。客户和潜在买家容易对其定价模式和总成本产生顾虑。Phantom 和 “神经中心”(独立的 SIEM、UBA 和 SOAR 产品)概念的引入,造成了采用不同衡量方法的三种定价模式。

Splunk UBA 目前是现场解决方案或仅客户云解决方案,可能会与希望保持 SaaS 模式的 Splunk Cloud 客户产生冲突。

尽管可与无数第三方解决方案集成,Splunk 仍旧缺乏支持文件完整性监测 (FIM) 和终端检测与响应 (EDR) 的原生代理。

Splunk 对运营技术/物联网 (OT/IoT) 的支持依赖第三方应用的功能,而不是依靠 Splunk 对 OT 协议的支持。

6. 谁在用:中大型企业

7. 如何部署:选项有云服务订阅、虚拟设备和实体服务器

8. eWEEK 综合评分: 4.8/5.0

上一篇:胰岛素泵漏洞威胁生命 医疗设备制造商召回产品

下一篇:2019网络安全分析与情报大会将于7月25日开幕