مقایسه Splunk ES با IBM QRadar برترین های SIEM

IBM QRadar و Splunk ES دو راه حل برتر درباره اطلاعات امنیت و مدیریت رویداد (SIEM) هستند. اما هر محصول مزایای متفاوتی را برای خریداران بالقوه ارائه می دهد. در این مقاله از ساینت مقایسه Splunk ES با IBM QRadar را خواهیم داشت و مزایا و معایبشان را هم بررسی خواهیم کرد.

هر دو راه حل SIEM در لیست 10 محصول برتر SIEM قرار گرفتند. هر دو شرکت محصولات SIEM قوی را ارائه می دهند  اما در ویژگی های اطلاعاتی و ادغام با راهکارهای third-party و سایر ابزارهای امنیت تفاوت دارند. آنچه در زیر می آید برخی از ویژگی های کلیدی و تحلیل هر یک از راه حل ها است:

مقایسه Splunk ES با IBM QRadar از دیدگاه ویژگی ها

IBM QRadar SIEM برای شناسایی منابع اطلاعات وارد شده به سیستم امنیتی و ترافیک جریان جدید شبکه که ناشی از دارایی های اضافی در شبکه است از اتوماسیون استفاده می کند. همچنین از یک فناوری پیشرفته همبستگی و موتور پروفایل فن آوری رفتاری برای کاهش میلیون ها یا میلیارد ها نقطه داده به لیست قابل کنترل از تحقیقات مورد نیاز استفاده می کند. راه حل با بیش از 400 ماژول پشتیبانی ارسال می شود و ده ها مورد دیگر نیز در برنامه تبادل امنیت IBM موجود است.

پاتریس واندنبرگ ، مدیر برنامه IBM Security ، گفت: “با اتصال چندین رویداد امنیتی در الگوهای شناخته شده رفتارهای مخرب  QRadar می تواند نقض شبکه ، لکه گیری از داده ها و شرایط غیر عادی در شبکه سازمان را نشان دهد.” “این قابلیت اصلی تا حد زیادی توسط مدیریت آسیب پذیری ، ابزار جرم شناسی شبکه و یک راه حل یکپارچه پاسخ حادثه در همان میز کار پشتیبانی می شود.

Splunk Enterprise Security (ES)  تصویری شفاف از وضعیت امنیت سازمان با امکان شخصی سازی و در صورت نیاز برای وقایع خام فراهم می کند. نظارت مستمر امنیتی به همراه مدیریت پرونده و قابلیت پاسخگویی به حادثه به کاربران امکان می دهد تحقیقات سریع را با استفاده از جستجوی موقت و همبستگی های استاتیک ، پویا و بصری برای شناسایی تهدیدها انجام دهند.

فروشگاه برنامه Splunkbase به بیش از 600 برنامه دسترسی دارد که می توانند با راه حلهای امنیتی Splunk از جمله Splunk Security Essentials برای Ransomware ، Splunk Security Essentials for Fraud Detection ، Cisco Networks App for Splunk و همینطور برنامه Splunk برای یکپارچگی با PCI Compliance فراهم کنند. Splunk’s Adaptive Response Initiative  یک مجموعه امنیتی با بیش از 30 همکار که به ادغام فناوری هایی مانند فایروال های نسل بعدی ، امنیت نهایی و امنیت تهدید کمک می کند را دارد.

پیشرفت های اخیر محصول SIEM

در سال گذشته  IBM ا با افزودن IBM QRadar Watson به که قابلیت های واتسون را با پلتفرم آنالیز امنیت  QRadar Security ترکیب می کند تقویت کرده است همچنین قابلیت  IBM QRadar Analytics Behind که رفتار کاربر را برای کشف فعالیت های مخرب تجزیه و تحلیل می کند. و IBM QRadar Network Insights که داده های شبکه را در زمان واقعی برای شناسایی حملات و تهدیدهای امنیتی تجزیه و تحلیل می کند. IBM QRadar Cloud Security همچنین با امکان امنیت سرویس های ابری AWS و Azure  بهبود یافته است.

افزودنیهای جدید در عرضه Splunk در طی سال گذشته شامل Splunk ES Content Update ، یک سرویس اشتراکی است که محتوای امنیتی از پیش آماده شده را برای کمک به مشتریان در شناسایی ، تحقیق و مدیریت تهدیدات خاص برای Splunk ارائه می دهد. همچنین این شرکت Splunk User Behror Analytics (UBA) نسخه 4 را راه اندازی کرد ، که به مشتریان امکان می دهد مدلهای یادگیری ماشین مخصوص به خود را ایجاد کرده و بارگذاری کنند تا ناهنجاری ها و تهدیدهای سفارشی را شناسایی کنند.

نقاط قوت و ضعف IBM QRadar

به گفته گارتنر  و همچنین افرادی که به دنبال یک سکوی یکپارچه هستند که قادر به مدیریت طیف گسترده ای از نظارت بر امنیت و فناوری های عملیاتی هستند: QRadar مناسب برای شرکتهای متوسط و بزرگ است که به عملکرد اصلی SIEM احتیاج دارند.

هنوز هم برخی از کاستی ها وجود دارد. در حالی که IBM راه حل BigFix را برای نظارت بر نقطه پایانی ارائه می دهد ، گارتنر می گوید که مشتریان این شرکت علاقه کمی به آن نشان داده اند و به جای آن به راه حل های شخص ثالث روی آورده اند. این شرکت همچنین گزارش می دهد که عملکرد UBA QRadar از سایر فروشندگان عقب مانده است و ابزار پاسخ حادثه IBM Resilient ادغام بومی با پلت فرم QRadar را ارائه نمی دهد.

گارتنر یادآور می شود ، گردش کار و پاسخگویی به حوادث و توانایی های مدیریتی بهتر از حد متوسط است ، اما ارکستراسیون کامل و اتوماسیون فقط از طریق راه حل برتر Platform Response Incident IBM در دسترس است. قابلیت های شکار تهدید نیز از طریق premium به دست می آید.

نقاط قوت و ضعف اسپلانک

Splunk  طیف کاملی از راه حل ها را ارائه می دهد که کاربران را قادر می سازد تا آنها را مطابق با خواسته های خود تنظیم کنند. همچنین اسپلانک طیف گسترده ای از توسعه دهندگان خدمات ادغام را ارائه می دهند و این برنامه ها از طریق فروشگاه برنامه Splunkbase در دسترس هستند.

با این حال ، گارتنر گزارش می دهد که برخی از مشتریان این شرکت نگرانی هایی راجع به مدل صدور لایسنس و هزینه کلی اجرای آن ایجاد کرده اند. Splunk گزینه های جدید صدور مجوز را برای رفع این نگرانی ها معرفی کرده است.

گارتنر گفت ، Splunk عمدتاً روی قابلیت های اصلی SIEM متمرکز است و فاقد راه حل های پیشرفته تشخیص تهدید است. شرکت Splunk Stream (همراه با Splunk Enterprise) می تواند ترافیک شبکه را برای تجزیه و تحلیل جمع آوری کند و Splunk Universal Forwarder می تواند به عنوان یک عامل سبک وزن برای تجزیه و تحلیل نقطه انتهایی استفاده شود.

نظرات کاربران SIEM

کاربران هر دو محصول SIEM دیدگاه های خاص خود را دارند.

کلت راجرز ، مهندس زیرساخت در شرکت خدمات فناوری اطلاعات Zirous ، نوشت که Splunk “در نظارت فعالانه سخت افزار ، شبکه سازی و عملیات امنیتی مشتری بسیار مفید بوده است.”

از جمله موارد دیگر استفاده ، Zirous از Splunk برای تعطیلی حساب کاربری مبتنی بر یادگیری ماشین از میانگین تعداد افراد معمولی برای ورود به سیستم ناموفق استفاده می كند. این امر زمانی به وجود آمده است که به لطف خط مشی های ورود به سیستم ، نقص شبکه تقریباً بلافاصله مشاهده شد.

یک مدیر مهندسی و عملیات امنیتی از توانایی IBM QRadar در ارتباط داده ها در یک شرکت جهانی در زمان تقریباً واقعی ، ادغام راه حل های شخص ثالث و ویژگی های یادگیری ماشین مانند ادغام واتسون و شاخص های سازش تمجید می کند. وی خاطر نشان می کند که حوادث در زمان واقعی شناسایی شده اند.

مقایسه Splunk ES با IBM QRadar از دیدگاه پیاده سازی

QRadar به صورت سخت افزار یا نرم افزار داخلی یا در فضای ابری موجود است. وندنبرگ گفت ، مشتریان کوچکتر می توانند کلیه مراحل استقرار و نگهداری QRadar را به یک راه حل مبتنی بر سرویس ابری IBM واگذار کنند. در حالی که شرکت های بزرگتر می توانند شیوه پیاده سازی در محل را انتخاب کنند یا یک رویکرد ترکیبی را برای جمع آوری داده ها از برنامه های محلی و مبتنی بر ابر اتخاذ کنند.

Splunk ES می تواند به صورت نرم افزاری در محل و یا حتی از طریق راه حل SaaS Splunk Cloud ، در یک ابر عمومی یا خصوصی یا با استقرار ترکیبی مستقر شود. جیرش بات ، مدیر بازاریابی محصول Splunk به گفت: “بسیاری از مشتریان Splunk علاقه زیادی به استفاده از Splunk ES در ابر دارند.” “امروز بسیاری از مشتریان مدل امنیتی کلی خود را از مدلهای داخلی به مدلهای ترکیبی hybrid تغییر می دهند. و این امکان را فراهم می آورد تا بتوانند تجزیه و تحلیلهای امنیتی را بصورت محلی و ابری هدایت کنند.

مقایسه Splunk ES با IBM QRadar از نظر هزینه لایسنس

قیمت گذاری IBM QRadar مبتنی بر events per second (EPS)  است. این راه حل برای استقرار در محل از 10،400 دلار شامل 12 ماه پشتیبانی شروع می شود. در حالی که راه حل سرویس ابری مبتنی بر 800 دلار در هر ماه در یک دوره سالانه است. نسخه IBM QRadar Community Edition ، نسخه ای با حافظه کم و کم مصرف QRadar ، به صورت رایگان در دسترس است.

قیمت گذاری Splunk بر اساس تعداد کاربران و میزان داده مصرف شده در روز است. یک نسخه رایگان برای یک کاربر واحد و حداکثر 500 مگابایت داده در روز در دسترس است. Splunk Light ، حداکثر تا پنج کاربر و حداکثر 20 گیگابایت داده در هر روز ، با پرداخت 75 دلار در ماه به صورت سالانه شروع می شود. Splunk Enterprise  برای کاربران نامحدود و حداکثر تعداد نامحدود داده ها در روز ، در هر ماه با 150 دلار به ازای هر 1 گیگابایت داده شروع می شود. و با افزایش حجم  هزینه مربوط به هر GB 10 گیگابایت داده در به 83 دلار برای هر گیگابایت می رسد. در حالی که 100 گیگابایت داده در روز 50 دلار برای هر گیگابایت در ماه هزینه در پی خواهد داشت.