اخبار امنیت و شبکه

IBM QRadar در برابر Splunk

Splunk vs. IBM QRadar
20
آذر

IBM QRadar  در برابر  Splunk: دو مورد از بهترین ها 

IBM QRadar و Splunk دو راه حل برتر در امنیت اطلاعات و مدیریت رویدادها (SIEM) هستند که هم اکنون در دسترس اند و Splunk در طی یک دهه پیشرو در بازار بوده. با این حال ، هر محصول مزایای متفاوتی را به خریداران بالقوه ارائه می دهد. هر دو محصول SIEM هسته ی قوی را ارائه می دهند ، اما در استفاده از هوش و ادغام با شخص ثالث و سایر ابزارهای امنیتی تفاوت دارند.

به طور کلی ، IBM QRadar به گونه ای طراحی شده است که  همراه با سایر محصولات IBM مانند Watson AI بهینه کار کند ، در حالی که Splunk که یک نرم افزار مستقل است ، تعامل آسان تر را با سایر مولفه های درون یک سیستم امکان پذیر می کند.

آنچه در زیر می آید برخی از ویژگی های کلیدی و تحلیل هر یک از راه حل ها است. در اینجا ترکیبی face-to-face از جوانب مثبت و منفی برای دو مورد از بهترین ها در تجارت ابزارهای SIEM ارائه شده است.

IBM QRadar:

QRadar ، برای سازمانهای بزرگ طراحی شده است و از یک پلتفرم قدرتمند برای ساخت یک سیستم شناسایی و واکنش به تهدیدات در شرکت ها استفاده می کند. همچنین حاوی طرح های گسترده و قالب هایی برای استفاده آسان تر می باشد. QRadar دارای یک پایگاه استقرار بزرگ(Large Deployment Base) و مجموعه گسترده ای از ارائه دهندگان سرویس است که می تواند به سازمان ها در تهیه ، اجرا ، تنظیم و نظارت بر استقرار آنها کمک کند. بستر اطلاعاتی IBM QRadar Security  در اطراف IBM QRadar SIEM ساخته شده است و شامل چندین مولفه است. مدیریت آسیب پذیری IBM QRadar اطلاعات یک رویداد را با داده های VM ،به متن تبدیل می کند. IBM QRadar Network Insights قابلیت مشاهده برنامه مبتنی بر QFlow را از جریان شبکه فراهم می کند.

IBM QRadar User Behavior Analytics یک ماژول UBA رایگان است که تهدیدهای خودی را نشان میدهد.IBM QRadar Incident Foresics عمل جرم شناسی(فارنزیک) را پشتیبانی میکند . IBM QRadar Advisor همراه با Watson درباره علت اصلی تهدید های مهم وارد شده ، تحقیقاتی ارائه میدهد.

نقاط مثبت QRadar:

  1. QRadar یک پلتفرم SIEM همه کاره و گسترده ای که انتخاب های زیادی را ارائه می دهد. لازم نیست ادمین عملیات نصب را از ابتدا شروع کند.
  2. QRadar دارای اکوسیستم محکم و یکپارچه با سایر امکانات زیر مجموعه امنیتی IBM (مانند مشاور IBM QRadar با Watson ، IBM Resilient یا ماژول UBA رایگان) که توسط اشخاص ثالث (جامعه ، و فروشندگان امنیتی و IT) تهیه می شود و از طریق IBM QRadar Marketplace قابل دسترسی است.
  3. Watson AI یک نقطه فروش بسیار قوی است.
  4. شامل پشتیبانی قدرتمند برای نظارت بر داده های شبکه ، با تعداد زیادی از Application-flow برای تجزیه و تحلیل جریان داده ها.

نحوه استقرار QRadar :

IBM QRadar SIEM به صورت سخت افزارمجازی و بسته های نرم افزاری بر اساس تعداد EPS در Data Source دامنه  در دسترس است. این محصول همچنین توسط Cloud بعنوان Saas SIEM میزبان استفاده می شود.

نحوه قیمت گذاری QRadar:

قیمت گذاری برای مولفه های اضافی در بستر اطلاعات امنیتی IBM QRadar به معیار های مربوطه بستگی دارد (به عنوان مثال ، تعداد جریان های IBM QRadar Network Insights یا تعداد Asset های موجود برای IBM QRadar Vulnerability Manager ). QRadar Network Insights فقط در مراکز داده سخت افزاری برای دیتا سنترس ها موجود است.

در نظر داشته باشید:

  1. IBM QRadar با سایر مولفه های IBM بهینه ترین کار را انجام می دهد.
  2. تجربه های کاربران نسبت به رقبای موجود ضعیف تر است.گفته میشود IBM در حال تلاش برای بهبود این امر است.
  3. امتیاز دهی ریسک(Risk Scoring) بدون نیاز به سفارشی سازی ارائه شده است.
  4. تحلیلگران نشان می دهند که IBM نسبت به سایر رهبران SIEM ، از جمله Splunk ، امتیاز کمتری را برای ادغام و استقرار و خدمات / پشتیبانی دریافت می کند. مشتریان SIEM برای خدمات و پشتیبانی IBM نمرات زیر متوسط را ارائه می دهند. IBM اعلام کرده است که اخیراً سطح خدمات پرسنلی را برای خدمات و پشتیبانی افزایش داده است.

Splunk Security Portfolio

نه تنها Splunk شهرت و آوازه ی خوبی در کل مشاغل IT دارد بلکه سیستم SIEM آن دارای امتیاز و محبوبیت بالایی است. سازمان هایی به دنبال SIEM هستند که می توانند معماری و مدیریت فروشندگان را در SIEM به اشتراک بگذارند و افرادی که به دنبال یک راه حل مقیاس پذیر با طیف گسترده ای از گزینه هایی مانند مدیریت اولیه ورود به سیستم از طریق تجزیه و تحلیل پیشرفته و پاسخ هستند ، باید Splunk را در نظر بگیرند.

بسته Security Operations Suite شاملSplunk Enterprise  و سه ترکیب دیگر است :Splunk Enterprise Security، Splunk Yser Behavior Analytics(UBA) و Splunk Phantom.

Splunk Enterprise جمع آوری رویدادها و داده ها ، جستجو و مجازی سازی را برای مصارف مختلف در عملیات IT و برخی موارد استفاده امنیتی را فراهم می کند.

The Premium Es Solution اکثر قابلیت های خاص برای نظارت بر امنیت ، از جمله کوئری های مربوط به امنیت ، مجازی سازی و داشبورد و برخی موارد مدیریتی ، گردش کار(Workflow) و پاسخگویی به حوادث را ارائه می دهد.

پورتفولیو امنیتی Splunk توسط Gartner Research به مدت شش سال متوالی به عنوان یک فناوری پیشرو در نظر گرفته شده است . این یک موفقیت بزرگی است. این پلت فرم به مشتریان کمک می کند تا مراکز امنیتی را بهینه کرده و طیف گسترده ای از موارد نظارت امنیتی و استفاده از تهدیدات امنیتی را مورد بررسی قرار دهند.

مشتریان از Splunk Enterprise Security و Splunk UBA به عنوان یک آنالیزور SIEM  محور برای عملیات امنیتی ،شناسایی ، تحقیق و پاسخ به تهدیدات استفاده میکنند.

Splunk Phantom ، یک سیستم اتوماسیون و پاسخ (SOAR) است که به مشتریان امکان بررسی میدهد تا واکنش آنها را نسبت به حوادث تسریع کند.

نقاط مثبت Splunk:

  1. Premium ES Solution اکثر قابلیت های خاص برای نظارت بر امنیت ، از جمله کوئری های مربوط به امنیت ، مجازی سازی و داشبورد و برخی موارد مدیریتی ،گردش کار(Workflow) و پاسخگویی به حوادث را ارائه می دهد.
  2. مهمترین پیشرفت های Splunk در طی 12 ماه گذشته پشتیبانی از تحقیقات هدایت شده به وسیله Workbenchi UI در Splunk ES ، به روزرسانی سریع محتوای ES و UBA و بهبود سرعت است.
  3.  Splunk چندین موقعیت ورودی را به سازمانها ارائه می دهد تا مسیری را فراهم کنند که می تواند با جمع آوری رویدادهای اصلی و موارد ساده در Splunk Enterprise از طریق عملکرد غنی تر SIEM ، با قابلیت ES و تجزیه و تحلیل پیشرفته تر با قابلیت های UBA و SOAR با Phantom آغاز شود.
  4.  فروشنده دارای یک اکوسیستم قوی از ادغام فن آوری است که در Marketplace Splunk موجود است ، اگرچه کاربران سایر فن آوری هایی که با Splunk رقابت می کنند (به عنوان مثال در فضای تجزیه و تحلیل کاربر) باید عمق ادغام را تأیید کنند.
  5. ویژگی های حفاظت PII قوی است. Masking PII پشتیبانی می شود و می تواند بر اساس هویت کاربر ، مکان ها و سایر مشخصات اعمال شود.

 

نحوه استقرار Splunk:

Splunk چند گزینه برای استقرار میدهد: Software on-premises ، در IaaS و یک مدل ترکیبی.

Splunk Cloud یک راه حل SaaS به میزبانی SaaS با استفاده از زیرساخت AWS است. اجزای Clip Splunk Enterprise و Splunk Cloud متشکل از Forwarders Universal ، Indexers و Head Heads هستند که از معماری N-Tier پشتیبانی می کنند.

نحوه قیمت گذاری Splunk:

Splunk براساس میزان داده های وارد شده به سیستم عامل ، با تخفیف برای داده های DNS و NetFlow مجاز است. همچنین ES با مجوز گیگابایت در روز مجاز است ، در حالیکه UBA با تعداد حسابهای کاربری در یک سازمان مجوز دارد و همه اینها یا به صورت مجوزهای دائمی یا در یک مدت مجاز در دسترس هستند و گزینه های مختلفی برای قیمت گذاری دارند. Phantom با توجه به تعداد رویدادهایی که کاربران در آن اقدام می کنند ، قیمت گذاری شده است.

در نظر داشته باشید:

  1. Splunk عموماً گران تر است. مشتریان و خریداران نگرانی هایی نسبت به مدل های قیمت گذاری و هزینه کل ابراز دارند.
  2. Splank UBA یک سرویس Cloud  یا on-premises  می باشد که میتواند بین مشتریان Cloud و Saas یک اختلاف ایجاد کند.
  3. Splunk هیچ گونه پشتیبانی بومی برای FIM یا EDR ندارد ، اگرچه ادغام با راه حل های متعدد Third-Party وجود دارد.
  4. پشتیبانی Splunk از OT / IoT تا حد زیادی به قابلیت برنامه های Third-Party بستگی دارد ، نه به پشتیبانی Splunk برای پروتکل های OT.

معمولا شرکت های بزرگ و نسبتا بزرگ از Splunk استقاده می کنند.

نحوه استقرار:Subscription ، Virtual appliance ، سرورهای فیزیکی.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *