خلاصه گزارش گارتنر در سال 2020 در زمینه مدیریت اطلاعات و رویدادهای امنیتی
2020/08/18

خلاصه گزارش گارتنر در سال 2020
در زمینه مدیریت اطلاعات و رویدادهای امنیتی
Magic Quadrant for Security Information and Event Management (2020)

Latech-Gartner-SIEM-Security Information and Event Management-Log Management-Splunk-Splunk Enterprise Security-Splunk Service Intelligence-Phantom-SOAR-IBM-QRadar-Network Insight-Incident Forensics-XForce Exchange-Exabeam-Securonix-Rapid7-LogRhythm-Rapid7-Dell Technologies RSA-FireEye-LogPoint-McAfee-AT&T Cybersecurity-Fortinet-HanSight-MicroFocus-ArcSight-Logger-ESM-Connector-ArcMC-Investigate-UBA-User Behavior Analytics-Correlation-Use Case-ManageEngine-Solarwinds

ترجمه: مسعود برومندی

لاتک-فناوری لاجورد تکوین-امنیت-مدیریت اطلاعات و رویدادهای امنیتی-مدیریت لاگ-اسپلانک-اسپلانک انترپرایز-فانتوم-آی بی ام-کیو رادار-فارنزیک-سکیورونیکس-رپیدسون-دل آر اس ای-فایرآی-مایکروفوکوس-آرکسایت-لاگر-ای اس ام-کانکتور-فورتینت-مک آفی-لاگریتم-لاگ پوینت-منج انجین-سولارویندز-تحلیل رفتار کاربر-همبسته سازی-یوزکیس-فروش-راهکارهای تخصصی

مقدمه
مدیران امنیت و ریسک بطور فزاینده ای به دنبال راهکار مدیریت رخدادها و اطلاعات امنیتی (SIEM) هستند که دارای قابلیت های شناسایی، تحقیقات و پاسخدهی سریع السیر در هنگام حمله هستند. کاربران باید بین قابلیت های پیشرفته SIEM و منابع مورد نیاز برای اجرا و بهبود تنظیمات راهکار، تعادل برقرار کنند.

لاتک-فناوری لاجورد تکوین-امنیت-مدیریت اطلاعات و رویدادهای امنیتی-مدیریت لاگ-اسپلانک-اسپلانک انترپرایز-فانتوم-آی بی ام-کیو رادار-فارنزیک-سکیورونیکس-رپیدسون-دل آر اس ای-فایرآی-مایکروفوکوس-آرکسایت-لاگر-ای اس ام-کانکتور-فورتینت-مک آفی-لاگریتم-لاگ پوینت-منج انجین-سولارویندز-تحلیل رفتار کاربر-همبسته سازی-یوزکیس-فروش-راهکارهای تخصصی

توضیح و توصیف بازار

بازار راهکار مدیریت رخدادها و اطلاعات امنیتی (SIEM) بوسیله نیاز مشتریان به تجزیه و تحلیل داده های رویدادهای امنیتی بصورت بلادرنگ تعریف شده است، که از شناسایی زود هنگام حملات و نفوذها پشتیبانی می کند. سیستم های SIEM، اطلاعات امنیتی را جمع آوری، ذخیره، بررسی و پشتیبانی کرده و گزارش آن را برای پاسخدهی به رخدادها، بررسی های قانونی و انطباق با قوانین آماده سازی می نماید.
فناوری SIEM ، داده های رخدادها که توسط ابزارهای امنیتی، زیرساخت های شبکه، سیستم های میزبان و سیستم نهایی، برنامه ها و سرویس های ابری، تولید شده اند را تجمیع می کند. منبع اصلی داده ها، لاگها هستند؛ اما فناوری SIEM همچنین می تواند اشکال دیگر داده ها مانند network telemetry (یعنی جریان و بسته ها) را پردازش کند. اطلاعات رویدادها با دیگر اطلاعات موجود در آن زمینه همچون کاربران، دارایی ها، تهدیدات و آسیب پذیری ها، ترکیب می شود. سپس با توجه به اینکه رخدادها، داده ها و اطلاعات متنی از منابع متفاوت می توانند برای اهداف خاص (مانند نظارت بر رویدادهای امنیتی شبکه، نظارت بر فعالیت کاربر و گزارش های مربوط به انطباق) مورد تجزیه و تحلیل قرار گیرند، براساس کاربری آنها ممکن است نرمالسازی نیز شوند. برای تجزیه و تحلیل سوابق، و پشتیبانی های دیگر از تحقیقات، مدیریت حوادث و گزارش دهی، این فناوری، تجزیه و تحلیل بلادرنگ از رخدادها را برای نظارت بر امنیت، پرس و جو و تجزیه و تحلیل بلندمدت ، فراهم می کند، به عنوان مثال، برای الزامات انطباق های امنیتی.

لاتک-فناوری لاجورد تکوین-امنیت-مدیریت اطلاعات و رویدادهای امنیتی-مدیریت لاگ-اسپلانک-اسپلانک انترپرایز-فانتوم-آی بی ام-کیو رادار-فارنزیک-سکیورونیکس-رپیدسون-دل آر اس ای-فایرآی-مایکروفوکوس-آرکسایت-لاگر-ای اس ام-کانکتور-فورتینت-مک آفی-لاگریتم-لاگ پوینت-منج انجین-سولارویندز-تحلیل رفتار کاربر-همبسته سازی-یوزکیس-فروش-راهکارهای تخصصی

Security Information and Event Management

Latech-Gartner-SIEM-Security Information and Event Management-Log Management-Splunk-Splunk Enterprise Security-Splunk Service Intelligence-Phantom-SOAR-IBM-QRadar-Network Insight-Incident Forensics-XForce Exchange-Exabeam-Securonix-Rapid7-LogRhythm-Rapid7-Dell Technologies RSA-FireEye-LogPoint-McAfee-AT&T Cybersecurity-Fortinet-HanSight-MicroFocus-ArcSight-Logger-ESM-Connector-ArcMC-Investigate-UBA-User Behavior Analytics-Correlation-Use Case-ManageEngine-Solarwinds

Latech-Gartner-SIEM-Security Information and Event Management-Log Management-Splunk-Splunk Enterprise Security-Splunk Service Intelligence-Phantom-SOAR-IBM-QRadar-Network Insight-Incident Forensics-XForce Exchange-Exabeam-Securonix-Rapid7-LogRhythm-Rapid7-Dell Technologies RSA-FireEye-LogPoint-McAfee-AT&T Cybersecurity-Fortinet-HanSight-MicroFocus-ArcSight-Logger-ESM-Connector-ArcMC-Investigate-UBA-User Behavior Analytics-Correlation-Use Case-ManageEngine-Solarwinds
لاتک-فناوری لاجورد تکوین-امنیت-مدیریت اطلاعات و رویدادهای امنیتی-مدیریت لاگ-اسپلانک-اسپلانک انترپرایز-فانتوم-آی بی ام-کیو رادار-فارنزیک-سکیورونیکس-رپیدسون-دل آر اس ای-فایرآی-مایکروفوکوس-آرکسایت-لاگر-ای اس ام-کانکتور-فورتینت-مک آفی-لاگریتم-لاگ پوینت-منج انجین-سولارویندز-تحلیل رفتار کاربر-همبسته سازی-یوزکیس-فروش-راهکارهای تخصصی

نقاط ضعف و قوت وندورها

Latech-Gartner-SIEM-Security Information and Event Management-Log Management-Splunk-Splunk Enterprise Security-Splunk Service Intelligence-Phantom-SOAR-IBM-QRadar-Network Insight-Incident Forensics-XForce Exchange-Exabeam-Securonix-Rapid7-LogRhythm-Rapid7-Dell Technologies RSA-FireEye-LogPoint-McAfee-AT&T Cybersecurity-Fortinet-HanSight-MicroFocus-ArcSight-Logger-ESM-Connector-ArcMC-Investigate-UBA-User Behavior Analytics-Correlation-Use Case-ManageEngine-Solarwinds

Splunk
مقر Splunk در سان فرانسیسکو، کالیفرنیا است. مجموعه راهکارهای عملیات امنیتی آنها شامل محصولات اصلی، Splunk Enterprise یا Splunk Cloud می باشد. همچنین این شرکت سه راهکار امنیتی خاص دارد: Splunk Enterprise Security که گارتنر آن را برای SIEM اجباری می داند، Splunk UBA و Splunk Phantom که به عنوان محصولات مستقل و جداگانه به فروش می رسند. Splunk Enterprise و Splunk Cloud ، امکانات جمع آوری رویدادها، داده ها، جستجو و تصویرسازی را برای کاربردهای مختلف در عملیات فناوری اطلاعات و برخی موارد امنیتی، ارائه می دهند. ES ، بیشترین محتوای امنیتی و قابلیت های نظارت بر رویدادها را از جمله نمایش داده های مربوط به امنیت، تصویرسازی و داشبورد و برخی از قابلیت های مدیریت کیس، گردش کار و قابلیت پاسخدهی به حوادث را ارائه می دهد. UBA ، تجزیه و تحلیل پیشرفته مبتنی بر یادگیری ماشین را به محصول خود افزوده است. Phantom ، قابلیت SOAR را فراهم کرده و به گونه ای طراحی شده است که می تواند رفع خودکارسازی و کاهش رخدادهای امنیتی را کاهش دهد. برنامه های اضافی برای موارد امنیتی نیز از طریق Splunkbase مانند افزونه Splunk App for PCI ، در دسترس هستند.
اسپلانک دارای چندین گزینه استقرار می باشد که عبارتند از: نرم افزار نصب در محل مشتری (on-premise)، استفاده در محیط IaaS و یک مدل ترکیبی. این شرکت میزبانی و اجرای عملیات Splunk Cloud را که یک راهکار SaaS با استفاده از زیرساخت AWS است، بر عهده دارد. اجزای Splunk Enterprise و Splunk Cloud ، متشکل از Universal Forwarders ، Indexers و Search Heads هستند که از معماری چند لایه ای پشتیبانی می کنند.
لایسنسدهی Splunk Enterprise و Cloud ، بستگی به میزان داده های وارد شده به پلتفرم (گیگابایت در روز) دارد. تنها تفاوت این است که Splunk Cloud شامل قیمت گذاری بر اساس مقدار داده ای است که در محیط AWS Splunk ذخیره سازی و نگهداری می شود. همچنین براساس داده هایی با حجم بالا و کم ارزش مانند DNS و NetFlow ، محصول با قیمت کمتری عرضه می شود. همچنین لایسنسدهی ES ، براساس میزان مصرف بوده و به عنوان درصدی از Splunk Enterprise قیمت گذاری می شود. لایسنس UBA بر اساس تعداد حسابهای کاربری یک سازمان است. اما اگر مشتریان ترجیح دهند لایسنس UBA را با سایر لایسنسهای اسپلانک خود هماهنگ کنند، می توانند از مدل مبتنی بر مصرف (consumption-based) این محصول استفاده کنند که قیمت آن درصد مشخصی از ES می باشد. هم اکنون تمامی محصولات امنیتی Splunk Security Operations Suite ، فقط به صورت لایسنس مدت دار (Term) ارائه شده و باتوجه به نیاز مشتریان، گزینه های مختلفی برای قیمت گذاری دارند. محصول Phantom ، دارای دو مدل لایسنس بوده که روش اول براساس تعداد رخدادهایی است که کاربران درباره آن اقدام می کنند، و روش دوم براساس تعداد کاربران استفاده کننده از ابزار، قیمت گذاری می شود.
مهمترین پیشرفت های Splunk در طی 12 ماه گذشته، شامل نظارت پیشرفته و بلادرنگ از طریق ES Event Sequencing، امکان اجرای اتوماسیون امنیتی بوسیله هوش تهدید، ایجاد محتوای مخصوص مراقبت از داده های حوزه سلامت و جلوگیری از سرقت و نقض حریم خصوصی است. در اواخر اکتبر سال 2019، اسپلانک یک راهکار مبتنی بر ابر به نام Mission Control را منتشر کرد تا با انسجام و توانمندی بیشتری، محصولات Enterprise Security ، Phantom و UBA را یکپارچه کند.
سازمان هایی که به دنبال راهکار SIEM ای هستند که قادر باشد از موارد پایه ای تا پیشرفته را از طریق ارائه قابلیت های افزونه ای پوشش دهد، باید Splunk را مدنظر قرار دهند. همچنین خریدارانی که می خواهند تنها از یک فروشنده برای پشتیبانی از داده ها و تجزیه و تحلیل آنها، فراتر از مبحث امنیت در سازمان های خود استفاده کنند، باید Splunk را نیز در نظر بگیرند.

نقاط قوت

استقرار: گزینه های مختلف پیاده سازی برای Splunk Enterprise و Enterprise Security ، شامل نرم افزار (که می تواند در محل، در IaaS یا در حالت ترکیبی مستقر شود)، میزبانی روی بستر ابر و از طریق سخت افزار (با کمک شرکت های ثالث) می باشد.
راهبرد محصول: رویکرد Splunk در فراهم کردن بستری متمرکز برای جمع آوری و تجزیه و تحلیل داده ها همراه با افزونه های خاص منظوره (Premium Solutions) بر روی محصول اصلی خود، برای سازمان هایی جذاب خواهد بود که بخواهند یک راهکار پاسخگوی نیاز چندین تیم (به عنوان مثال عملیات IT، عملیات امنیت، تجزیه و تحلیل داده) باشد.
درک از بازار: اسپلانک یک اکوسیستم قوی و درهم تنیده از شرکت ها و اتحادهای فناوری ایجاد کرده است که قادر به افزایش ارزش ذاتی بستر خود از طریق ایجاد App (خواه موردی یا مختص یک وندور) هستند. Splunkbase ، نمونه بارزی است از اینکه چگونه Application Marketplace می تواند برای ارائه محتوا و یکپارچه سازی محصولات در یک UX واحد، مورد استفاده قرار گیرد.
تجربه مشتری: در مقایسه با رقبا، مشتریان Splunk امتیاز بالاتری را به سهولت یکپارچه سازی، کیفیت و در دسترس بودن آموزش و کیفیت انجمن کاربران، داده اند.
اجرای بازاریابی: رویکرد بازاریابی اسپلانک و فرصت های فروش سازمانی متقابل، باعث شده است تا این امر در مشتریان گارتنر، اعم از شرکت های متوسط تا شرکت های بزرگ، جهانی و چند ملیتی، قابل مشاهده باشد.

نقاط ضعف

تجربه مشتری: ارزیابی امتیازات کلی مشتریان حاکی از آن است که در حوزه های ارزیابی و مذاکره در قرارداد، خدمات و پشتیبانی، قیمت گذاری و انعطاف پذیری قرارداد و ارزش پول خرج شده، این محصول نمره پایین تری از رقبا گرفته است. این امر نشان دهنده نگرانی های مداوم مشتریان درباره هزینه اسپلانک است که در همین راستا، آنها اقدام به ارائه مدل های جدی از قیمت گذاری را معرفی کرده اند؛ با اینحال، خیلی زود است که ارزیابی کنیم که این تغییرات باعث بهبود قیمت گذاری و لایسنسدهی خواهد شد یا خیر.
راهبرد محصول: عدم وجود سنسورهای endpoint و شبکه، خریداران را ملزم به یافتن راهکارهای مکمل از شرکت های ثالث برای پر کردن الزامات یک SOC مدرن (به عنوان مثال، SIEM + UEBA + SOAR + EDR + NTA) می کند. با این وجود، یکپارچه سازی با فروشندگان پیشرو در این حوزه ها از طریق برنامه های Splunkbase ، میسر است.
راهبرد محصول: اگرچه اسپلانک، قیمت گذاری UBA را با مدل Splunk Enterprise و Splunk Enterprise Security تراز کرده است، اما همچنان Splunk UBA به عنوان فناوری جداگانه ای شناخته شده و هنوز در هسته Splunk یکپارچه نشده است، که ممکن است خریداران Splunk Cloud را تحت تأثیر قرار دهد.
عملیات: محتوای Splunk در چندین پلتفرم موجود است که برای دسترسی به هر یک باید بصورت مجزا لایسنس تهیه شود و از طرفی برای سازماندهی و بروزرسانی محتوا، نیاز به استفاده از مکانیزم های مختلف وجود دارد – به عنوان مثال، در برنامه ها و راهکارهای خاص-منظوره (مانند ES، UBA و Phantom).

لاتک-فناوری لاجورد تکوین-امنیت-مدیریت اطلاعات و رویدادهای امنیتی-مدیریت لاگ-اسپلانک-اسپلانک انترپرایز-فانتوم-آی بی ام-کیو رادار-فارنزیک-سکیورونیکس-رپیدسون-دل آر اس ای-فایرآی-مایکروفوکوس-آرکسایت-لاگر-ای اس ام-کانکتور-فورتینت-مک آفی-لاگریتم-لاگ پوینت-منج انجین-سولارویندز-تحلیل رفتار کاربر-همبسته سازی-یوزکیس-فروش-راهکارهای تخصصی

IBM

IBM Security ، طیف وسیعی از فناوری ها و خدمات امنیتی را ارائه می دهد و مقر آن در کمبریج، ماساچوست است. پلتفرم امنیتی هوشمند QRadar ، در درجه اول حول راهکار QRadar SIEM ساخته شده و سپس چندین جز دیگر با قیمت جداگانه به آن اضافه شده اند:

IBM QRadar Vulnerability Manager:یکپارچه سازی با داده های ارزیابی های آسیب پذیری
IBM QRadar Network Insights: قابلیت QFI application visibility و بررسی محتوای بسته ها
QRadar Risk Manager: قابلیت پایش پیکربندی دستگاه شبکه و شبیه سازی تهدیدات
IBM QRadar User Behavior Analytics : ماژول افزودنی رایگان که شامل موارد کاربردی از تهدیدات داخلی استاجرایی و همچنین تعامل منظم با مشتریان می باشد.
IBM QRadar Incident Forensics: پشتیبانی از تحقیقات قانونی
IBM QRadar Advisor with Watson : موتور شناسایی و تشخیص مشکلات ریشه ای بر اساس تجزیه و تحلیل پیشرفته
• سایر راهکارهای مربوط به IBM ، عبارتند از:

o ارائه Exchange App Security که به مشتریان QRadar امکان می دهد محتوای اصلاحی تولید شده توسط IBM یا شرکت ثالث را برای گسترش پوشش IBM QRadar یا ارزش پیشنهادی ارائه دهند.
o دستگاه IBM QRadar Network Packet Capture است که برای قابلیت های بررسی قانونی شبکه قدرتمندتر استفاده می شود
o محصول IBM Resilient که در واقع یک راهکار SOAR است که توسط QRadar پشتیبانی می شود. یکپارچگی دو طرفه بین Resilient و راهکار QRadar SIEM وجود دارد. این موضوع می تواند به سازمانها کمک کند تا پردازش جریان کار را در حوادث امنیتی، ساده تر کنند.

SIEM را میتوان بصورت استقرار محلی، از طریق ماشین مجازی، دستگاه سخت افزاری و بسته های نرم افزاری پیاده سازی کرد، یا از طریق راهکار SIEM مبتنی بر فضای ابری IBM (تحت نام QRadar on Cloud (QROC)) می توان آن را در بستر ابری میزبانی کرد. لایسنس هسته SIEM ، براساس میزان تولید رویداد مشتری (تعداد EPS در منابع داده موجود در قلمرو شبکه) و مقدار جریان در دقیقه (FPM) است. لازم به ذکر است که لایسنس را میتوان بصورت مادام العمر یا به صورت اشتراک خریداری کرد. قیمت گذاری سایر مؤلفه های موجود در بستر اطلاعاتی امنیتی IBM QRadar ، بستگی به معیارهای مربوط به آنها دارد که به صورت ذیل می باشند:

• میزان flow ها برای IBM QRadar Network Insights
• تعداد دارایی های موجود در قلمرو شبکه برای IBM QRadar Vulnerability Manager
• تعداد سیستم هایی که داده های پیکربندی از آنها استخراج می شود برای IBM QRadar Risk Manager
• QRadar Network Insights فقط بصورت یک ابزار سخت افزاری در دسترس است.
• محصول QRadar Incident Forensics ، فقط بصورت لایسنس مادام العمر فروخته می شود.

طی 12 ماه گذشته، IBM از طریق بهینه سازی برنامه خود، کارآیی سیستم هشداردهی را بهبود بخشیده است، هضم داده ها را از منابع مختلف ساده کرده است، بدین ترتیب استخراج ویژگی های رویداد از قالب لاگهای مشترک با کمترین یا بدون سفارشی سازی لازم، انجام می شود. IBM همچنین، QRadar Advisor with Watson را در چارچوب MITER ATT&CK طراحی کرده است.
IBM دارای طیف گسترده ای از مشتریان از جمله کاربران نهایی و MSSP است و تمایل دارد با ارائه یک بستر مستحکم برای ایجاد عملکرد شناسایی و پاسخدهی به تهدیدات، پای خود را در سازمانهای بزرگتر مستحکم کند. با اینحال، سازمان های کوچکتر نیز با سهولت در استفاده و محتوای گسترده پیش فرض برای مواردی که به امنیت کمتر پیشرفته نیاز دارند، می توانند از راهکار QRadar SIEM بهره مند شوند.

نقاط قوت

راهبرد فروش:IBM دارای منابع داخلی و شرکای گسترده ای برای پشتیبانی فروش، استقرار و پشتیبانی عملیاتی، از جمله خدمات مدیریت شده برای QRadar، در مناطق مختلف جغرافیایی است.
استقرار/پشتیبانی: با قابلیت انتخاب حالت هایی که می تواند در ترکیب های مختلف مستقر شود، QRadar گزینه های گسترده ای از معماری استقرار را در اختیار کاربران قرار می دهد. اینها شامل ابزارهای فیزیکی و مجازی است که می توانند مجتمع و یا جداگانه ارائه شوند، همچنین از همان لایسنس برای استقرار ابری استفاده نمایند. البته Network Insights مستثنی است، زیرا فقط به عنوان یک ابزار فیزیکی در دسترس است.
عملیات: QRadar دارای API های گسترده ای است که مشتریان و شرکای خود را قادر می سازد تا آن را برای یکپارچه سازی با پلتفرم خود، توسعه دهند. ضمن آنکه در app marketplace ، یکپارچه سازی های گسترده ای وجود دارد که توسط IBM و شرکت های ثالث ارائه شده است.
محصول : QRadar قابلیت های قدرتمندی را برای مدیریت جمع آوری رویدادها ارائه می دهد. کاربران می توانند دریافت لاگ در سیستم را به نحوی پیکربندی کنند تا به طور خودکار، قالب های مختلف رویداد را تشخیص دهند، امکان اِعمال فیلترهای مختلف را داشته باشد، امکان ارسال لاگ برای تحلیل سریع و بلادرنگ (بدون نیاز به تحلیل در سطوح مختلف) داشته باشد و نهایتاً ذخیره و نگهداری داده را صورت دهند. انتقال مستقیم رویدادها به انباره داده، تأثیری بر پارامتر لایسنسدهی EPS ، ندارد.
محصول: QRadar Advisor with Watson با استفاده از منابع غنی اطلاعاتی داخلی و خارجی، یک پشتوانه محکم برای تحقیق و بررسی رخدادها را بوجود آورده و گام های بعدی را براساس اقدامات مهاجمین پیشنهاد داده و هشدارها را برای اقدامات بعدی، اولویت بندی می کند.

نقاط ضعف

قیمت گذاری: چندین مدل لایسنسدهی و قیمت گذاری برای اجزای مختلفِ مرتبط با پلتفرم QRadar ، مجموعه ای از انتخاب های پیچیده را برای مشتریان بالقوه ارائه می دهد. مدل ها شامل لایسنس مادام العمر (perpetual) و مدت دار (term)، بر اساس چندین عامل متفاوت هستند که شامل سرعت پردازش داده ها، تعداد دارایی ها و اینکه آیا این فناوری در محل مشتری یا در فضای ابری IBM مستقر است، میباشد. راهکار QRadar بسته به فنآوری و گزینه های استقرار ممکن است ترکیبی از لایسنس مادام العمر و مدت دار را شامل شود.
راهبرد محصول: QRadar گزینه های محدودی برای جمع آوری داده ها برای بررسی های قانونی از سیستم های پایانی یا میزبان ها ارائه می دهد. عدم وجود EDR درون محصول IBM در تضاد با قابلیت یک نظارت کاملتر بر شبکه بوده و در این حالت مشتریان یا باید محصولات شرکتهای ثالث را مستقر کنند یا به WinCollect یا Sysmon در مجموعه Windows خود متکی باشند.
عملیات: مدرن سازی تجربه کاربری (UX) برای QRadar ، هنوز یک کارِ در دست انجام است و رابط کاربری (UI) در بین اجزای مختلف این پلتفرم به یک شکل واحد نیست.
قیمت گذاری: IBM نشان داده که در حال افزایش اتکای خود به افزونه های محصول است که با هزینه جداگانه در دسترس هستند، از جمله Resilient و QRadar Advisor برای قابلیت های پاسخدهی به حوادث مانند اولویت بندی، تحقیق، جمع بندی محتوا و سایر اقدامات واکنشی.
نوآوری: اجزای پلتفرم QRadar ، در سطوح مختلفِ بلوغ و یکپارچگی با سایر اجزا و سیستم ابر IBM قرار دارند. کاربران باید تأیید کنند که قابلیت های مربوط به عملیاتشان طبق تعهدات نقشه راه، در مسیر درست هست یا خیر.
تجربه مشتری: طبق نتایج حاصله از استعلام مشتریان، بازخوردهای Peer Insight و بررسی های گارتنر، سیستم تحلیل و پروفایل سازی مبتنی بر رفتار در محصول QRadar و همچنین روال فروش/پیمانکاری آن، نیاز به بهبود دارند.

Latech-Gartner-SIEM-Security Information and Event Management-Log Management-Splunk-Splunk Enterprise Security-Splunk Service Intelligence-Phantom-SOAR-IBM-QRadar-Network Insight-Incident Forensics-XForce Exchange-Exabeam-Securonix-Rapid7-LogRhythm-Rapid7-Dell Technologies RSA-FireEye-LogPoint-McAfee-AT&T Cybersecurity-Fortinet-HanSight-MicroFocus-ArcSight-Logger-ESM-Connector-ArcMC-Investigate-UBA-User Behavior Analytics-Correlation-Use Case-ManageEngine-Solarwinds

Securonix
دفتر مرکزی شرکت Securonix در اَدیسون، تگزاس است. پلتفرم SIEM ارائه شده توسط این شرکت، از اجزای زیر تشکیل شده است: Securonix SIEM، Security Data Lake، UEBA، SOAR، NTA، Threat Intelligence و برنامه هایی که برای پشتیبانی از موارد خاص گردآوری و پشتیبانی شده اند.
در سال 2019 ، کمپانی Securonix به سمت یک مدل پیاده سازی استاندارد SaaS (مستقر در AWS) حرکت نمود که اغلب مشتریان جدید، از آن استفاده می کنند. مشتریان برای جمع آوری داده ها و انتقال به ابر، پیاده سازی Remote Ingestor Nodes را بکار می برند. این راهکار، به صورت اشتراك مدت دار ارائه شده (لایسنس های دائمی بصورت استثناء در دسترس هستند) و مدل قیمت گذاری Securonix ، براساس تعداد كاركنان مشتری است. همچنین، پارامترهای دیگری از جمله EPS ، حجم فضای ذخیره سازی و مدت زمان نگهداری داده ها نیز، بر قیمت تأثیرگزار می باشد.
قابلیت های معرفی شده در طی سال گذشته شامل معماری multitenant اشتراکی، کنسول استقرار و مدیریت SNYPR-EYE، OEM جدید، قابلیت فروش مجدد و قابلیت های مبتنی بر فناوری برای NTA و SOAR، نظارت بر کاربرنهایی و پایگاه داده و پایش هویت کاربران و بستر ابری است.
سازمانهای امنیتی بالغ که به دنبال SaaS SIEM ای هستند که دارای ویژگی کاملاً تحلیلی بوده، قادر به ایجاد SOC برای شناسایی و پاسخدهی به تهدیدات در موارد پیچیده (مانند تهدید داخلی) باشد یا بدنبال محیط های ترکیبی (مانند چند ابری) شکار تهدیدات و رعایت انطباق های امنیتی هستند، میبایست Securonix SIEM را مد نظر داشته باشند.

نقاط قوت

راهبرد محصول: Securonix از یک سیستم ابری قدرتمند، پشتیبانی می کند. SIEM آنها بصورت ذاتی بر روی بستر ابر عرضه شده و با سه مدل مختلف (مشترک، اختصاصی و تفکیک شده) در دسترس مشتریان می باشد.
محصول: Securonix ، تجزیه و تحلیل چندلایه را بوسیله قابلیت های UEBA برای آنالیز پیشرفته و مدل سازی رفتاری در هر دو لایه کاربر و اشخاص، ارائه داده و از موارد پیچیده و پیشرفته (از جمله APT ، تهدید داخلی و کلاهبرداری) و نگاشت حملات شناسایی شده با چارچوب های معمول (از جمله MITER ATT&CK)، پشتیبانی می کند.
راهبرد محصول:Securonix از یک سیستم ابری قدرتمند، پشتیبانی می کند. SIEM آنها بصورت ذاتی بر روی بستر ابر عرضه شده و با سه مدل مختلف (مشترک، اختصاصی و تفکیک شده) در دسترس مشتریان می باشد.
محصول: Securonix ، تجزیه و تحلیل چندلایه را بوسیله قابلیت های UEBA برای آنالیز پیشرفته و مدل سازی رفتاری در هر دو لایه کاربر و اشخاص، ارائه داده و از موارد پیچیده و پیشرفته (از جمله APT ، تهدید داخلی و کلاهبرداری) و نگاشت حملات شناسایی شده با چارچوب های معمول (از جمله MITER ATT&CK)، پشتیبانی می کند.فورتینت دارد. WAF امکان یکپارچگی با راهکارهای SandBox را نیز برای شناسایی بدافزار دارد
راهبرد محصول:Securonix به صورت پیش فرض دارای محتوای گسترده ای است که در قالب بسته های افزودنی (اکثراً با هزینه جداگانه) سازماندهی می شود. این بسته ها شامل تجزیه و تحلیل، هشدار، داشبورد و حتی کتاب های صوتی نحوه پاسخدهی به رخدادها می باشد.
راهبرد محصول:معرفی SNYPR-EYE ، جداسازی از فناوری های Hadoop را در اختیار مدیران SIEM قرار داده و در صورت وجود منابع کافی، دسترسی به زیرساخت های زیرین Hadoop را نیز فراهم می کند.
محصول:Securonix ، ویژگی های پیشرفته مبهم سازی را با گردش کار مبتنی بر کنترل دسترسی (RBAC) و همچنین قابلیت رمزگذاری بومی ارائه می دهد که فراتر از موارد ارائه شده توسط AWS است.
تجربه مشتری:طبق نتایج حاصله از استعلام مشتریان، بازخوردهای Peer Insight و بررسی های گارتنر، Securonix نمرات بالایی را برای تجزیه و تحلیل و قابلیت نظارت بر کاربران دریافت نموده است.

نقاط ضعف

استقرار/پشتیبانی: رویکرد Securonix برای پر کردن شکاف های پوشش عملکردی از طریق OEM، فروش مجدد و شرکای فناوری، خطراتی از بابت وابستگی به آنها ایجاد می کند. لذا مشتریان باید نقشه های راهبردی طرفین و تعهدات بلند مدت را مدنظر قرار داده و ساختارهای پشتیبانی و نگهداری را بر همین اساس ارزیابی کنند.
اجرای بازاریابی: تلاش های Securonix در بازاریابی برند و ابزارهای آن، نیاز به سرمایه گذاری مداوم دارد و بهتر است از اتحاد فناوری، روابط با شرکا و OEM خود کمک بگیرد (مانند موارد ذکر شده در بالا).
راهبرد محصول: Securonix ، محصول SNYPR-EYE را برای بهبود تجربه مدیریت پلتفرم و بسته های محتوا برای تسریع در زمان لازم برای ارزش آفرینی نمونه های کاربردی در صنایع مختلف معرفی کرده است. با این حال، برای Securonix SIEM دشوار خواهد بود که به نمونه های کاربردی پیچیده مدنظر سازمان های بالغ بپردازد، در حالی که میخواهد برای پوشش نیازهای سازمان های نه چندان بالغ، همچنان ساختار ساده ای داشته باشد.
ضریب نفوذ بازار: محصولات فورتینت در لیست کوتاه خرید سازمان هایی که در مقیاس بزرگ بخواهند از اپلیکیشن های حیاتی کسب و کارشان محافظت نمایند یا سازمان هایی که اپلیکیشن های وب مبتنی بر ابر دارند، دیده نمی شود.
استقرار و بهره برداری: امکان پوشش کامل عملکردی Securonix SIEM ، علی الخصوص ویژگی هایی که موارد پیشرفته مانند تهدیدات داخلی چند محصولی را در بر می گیرد، نیاز به تلاش و تخصص بیشتری دارد.

لاتک-فناوری لاجورد تکوین-امنیت-مدیریت اطلاعات و رویدادهای امنیتی-مدیریت لاگ-اسپلانک-اسپلانک انترپرایز-فانتوم-آی بی ام-کیو رادار-فارنزیک-سکیورونیکس-رپیدسون-دل آر اس ای-فایرآی-مایکروفوکوس-آرکسایت-لاگر-ای اس ام-کانکتور-فورتینت-مک آفی-لاگریتم-لاگ پوینت-منج انجین-سولارویندز-تحلیل رفتار کاربر-همبسته سازی-یوزکیس-فروش-راهکارهای تخصصی

Exabeam

راهکار جامع شرکت Exabeam تحت نام Security Management Platform (SMP) از هفت محصول تشکیل شده است:

• Exabeam Data Lake
• Exabeam Cloud Connectors
• Exabeam Advanced Analytics
• Exabeam Threat Hunter
• Exabeam Entity Analytics
• Exabeam Case Manager
• Exabeam Incident Responder

محصول SMP به عنوان نرم افزاری که می تواند بصورت محلی مستقر شود، در دسترس است. همچنین به عنوان SIEM مبتنی بر فضای ابر نیز ارائه می شود که توسط Exabeam میزبانی و مدیریت می شود.
این محصول میتواند به چندین شکل در سایت مشتریان مستقر شود: بصورت تجهیزات سخت افزاری، بصورت ماشین مجازی، بصورت داکر، و استقرار فضای ابری خصوصی یا عمومی (در آمازون، گوگل و آژور). علاوه بر این، استقرار محلی می تواند شامل گزینه های مختلفی از فرم (فیزیکی، مجازی و ابر) باشد.
مدل های لایسنس دهی و قیمت گذاری Exabeam ساده است. هر یک از محصولات SMP به صورت اشتراک یک یا سه ساله و براساس تعداد کارمندان سازمان قیمت گذاری می شود. البته به استثنای Entity Analytics که با توجه به تعداد دارایی های تحت نظارت، قیمت گذاری می شود.
در طی 12 ماه گذشته، Exabeam پیشرفت های مختلفی را در راهکار SMP ایجاد کرده است:

• Exabeam Data Lake
• ارائه رابط کاربر جدید برای تجزیه و تحلیل پیشرفته، شکار تهدیدات، مدیریت پرونده ها و پاسخدهی به حوادث
• سرویس های ابری هوش تهدیدات سایبری
• همراستایی بهتر با چارچوب MITER ATT&CK
• بهبود ارزیابی هشدارها، فراهم سازی هشداردهی بر محتوای کاربران و موجودیت های غنی تر
• فعالیت مبتنی بر امتیازدهی ریسک ها و ارتباط آن با هشدارها

سازمان هایی که تیم عملیات امنیت آنها به دنبال SIEM ماژولار هستند که قادر به ارائه موارد امنیتی پیچیده بصورتی ساده باشد، ساختار قیمت گذاری آن مبتنی بر حجم نباشد، همچنین دارای قابلیت های بومی UEBA و SOAR باشد، میبایست Exabeam SMP را در نظر بگیرند.

نقاط قوت

استقرار/پشتیبانی: SMP ، پیاده سازی مرحله ای قابلیت های SIEM را که می تواند با هسته اصلی SIEM شروع شده (Data Lake ، Advanced Analytics و Case Manager) سپس به Incident Responder for SOAR یا Cloud Connectors برای SaaS و IaaS توسعه پیدا کند، فراهم آورده است.
محصول : Exabeam SMP ، یک بنیان قدرتمند را برای نظارت بر کاربران، موجودیت ها و هویت ها فراهم می کند. این موضوع توسط ماژول اصلی (Advanced Analytics) و از طریق ویژگی های ذاتی UEBA در برنامه (همچون تحلیل گروه های همتا و نظارت بر انحراف در رفتار) انجام می شود.
محصول: Smart Timeline ها با بکارگیری یادگیری ماشین، کاربران کم تجربه SIEM را در سازماندهی گزارش ها و رخدادهای مربوطه در یک جدول زمانی، یاری نموده و فعالیت های تحقیق و پاسخدهی را ساده می کند.
فروش: مدل قیمت گذاری Exabeam ساده است. این موضوع اختلافات خرید را کاهش می دهد، زیرا این امر نه براساس حجم، بلکه بر تعداد کارکنان سازمان در هر محصول است. البته بجز Entity Analytics است که استثنائاً لایسنس دهی آن بر اساس تعداد دارایی ها می باشد.
درک از بازار: Exabeam ، با تلاش های بازاریابی خود رشد جدی و دید قابل توجهی را به مشتریان گارتنر، در درجه اول در آمریکای شمالی نشان داده است.
تجربه مشتری: طبق نتایج حاصله از استعلام مشتریان، بازخوردهای Peer Insight و بررسی های گارتنر، مشتریان ارزیابی مثبتی از چندین عنصر از جمله خدمات استقرار و پشتیبانی، مذاکرات جهت ارزیابی و قرارداد داشته اند و گفته اند سیستم تجزیه و تحلیل رفتار محصول، قویتر از میانگین است.

نقاط ضعف

درک از بازار: اگرچه این محصول در چندین منطقه جغرافیایی عملیات فروش دارد، اما Exabeam به طور عمده فقط توسط خریداران آمریکای شمالی خریداری می شود. خریدارانی که خارج از آمریکای شمالی هستند، باید پوشش منطقه سازمان خود را برای فروش، خدمات حرفه ای و پشتیبانی (اعم از مستقیم یا از طریق شرکا)، بررسی کنند.
درک از بازار: Exabeam ، هنوز در حال ایجاد شبکه شرکای خود است، به خصوص برای خدماتی مانند مدیریت SIEM. خریدارانی که به دنبال ارتباط در زمینه SIEM به علاوه خدمات هستند، باید شرکت هایی را که Exabeam به عنوان شرکای آموزش دیده و دارای گواهینامه شناسایی کرده، مورد تأیید قرار دهند و آنها میتوانند الزامات توسعه عملیاتی و موردی را تحت بررسی قرار دهند.
اجرای بازاریابی : Exabeam باید قابلیت های مربوط به خریداران در صنایعی که ساختار عمودی دارند را تعریف کند، زیرا ممکن است چالش های این بخش با چالش های روزمره بخش عمومی (به عنوان مثال، انرژی و آب و برق) متفاوت باشد. خریداران که به دنبال قابلیت های خاص عمودی هستند باید تأیید کنند که پوشش مناسب با Exabeam SMP وجود دارد – به عنوان مثال، محتوای اختصاصی برای ساختار عمودی آنها به شکل الگوهای پیش فرض و گزارش های مربوط به انطباق.
تجربه مشتری:نتایج حاصله از استعلام مشتریان، بازخوردهای Peer Insight و بررسی های گارتنر نشان می دهد که Exabeam می تواند در یکپارچگی با سایر محصولات و استقرار محصول، بهبود ایجاد کرده و تنظیم قوانین موجود، گزارش های از پیش تعریف شده و کیفیت محصول و ثبات در SMP را ساده تر کند.

Latech-Gartner-SIEM-Security Information and Event Management-Log Management-Splunk-Splunk Enterprise Security-Splunk Service Intelligence-Phantom-SOAR-IBM-QRadar-Network Insight-Incident Forensics-XForce Exchange-Exabeam-Securonix-Rapid7-LogRhythm-Rapid7-Dell Technologies RSA-FireEye-LogPoint-McAfee-AT&T Cybersecurity-Fortinet-HanSight-MicroFocus-ArcSight-Logger-ESM-Connector-ArcMC-Investigate-UBA-User Behavior Analytics-Correlation-Use Case-ManageEngine-Solarwinds

LogRhythm

مقر اصلی شرکت LogRhythm در بولدر، در ایالت کلرادوی آمریکا است. این کمپانی، راهکار SIEM خود را تحت عنوان LogRhythm NextGen SIEM Platform عرضه کرده است. قسمت اصلی این محصول، SIEM XDR Stack است که از DetectX، AnalytiX و RespondX تشکیل شده است. ماژول های اضافی شامل UserXDR (نام جدید محصول UEBA) و NetworkXDR است که قابلیت های NTA را فراهم می کند، همچنین ماژول نظارت بر سیستم (SysMon Lite و Pro) و نظارت بر شبکه (NetMon و NetMon Freemium) را در اختیار شما قرار می دهد. این محصول بر اساس تنظیمات برای شرکت های بزرگ (LogRhythm Enterprise) و شرکتهای متوسط (LogRhythm XM) موجود است و آن را میتوان بصورت محلی به عنوان نرم افزار، یک ابزار فیزیکی یا یک ماشین مجازی در محیط های IaaS یا ترکیبی مستقر کرد.
همچنین محصول SIEM مبتنی بر ابر LogRhythm ، با نام تجاری LogRhythm Cloud نیز توسط این شرکت ارائه گردیده است که توسط شرکت مذکور، میزبانی و مدیریت می شود. راهکار XM یک دستگاه یکپارچه است که مقیاس پذیری افقی را امکان پذیر کرده، زیرا اجزای مختلف گسسته ای که پلتفرم LogRhythm را تشکیل می دهند در صورت لزوم می توانند به صورت مستقل مستقر شوند. ضمن آنکه پیاده سازی چندلایه بصورت پیش فرض روی این محصول وجود دارد.
لایسنس دهی محصول اصلی LogRhythm (تحت نام XDR Stack)، بر اساس سرعت داده (messages per second) است. لایسنس های UserXDR ، براساس تعداد کاربرانی که تحت نظارت هستند می باشد. لایسنس دهی NetworkXDR (یا NDR) و سیستم نظارت بر شبکه، بر اساس گیگابیت بر ثانیه می باشد. System Monitor به ازای هر عامل (Agent) قیمت گذاری می شود. لایسنس ها به صورت دائمی یا موقت بوده، و به همراه توافق نامه های تجاری در دسترس هستند. در ابتدای اکتبر سال 2019، LogRhythm برنامه پیشنهادی داده های نامحدود (ULP) خود را برای کمک به از بین بردن ظرفیت سنجی مبتنی بر مصرف و پیش بینی بهبود بودجه اعلام کرد.
طی 12 ماه گذشته، LogRhythm نسخه مبتنی بر بستر ابری خود را نیز معرفی کرده است که با نام تجاری LogRhythm Cloud عرضه شده است. این مدل دارای لایسنس نرم افزاری است که از سخت افزار فیزیکی آنها جدا شده است (اجازه می دهد راهکار روی سخت افزار مشتری نصب شود، در IaaS یا مدل ترکیبی در زیرساخت LogRhythm، یا در زیرساخت ها و IaaS مشتری). این شرکت همچنین ویژگی های اتوماسیون، یکپارچه سازی و مدیریت پیشرفته پرونده ها را نیز به محصول افزوده است. ویژگی های Echo و LogWars SIEM نیز به عنوان ابزاری برای آموزش کاربران مورد استفاده قرار می گیرد.
سازمان هایی که ترجیح می دهند یک اکوسیستم منحصر بر یک شرکت در خصوص نظارت و پاسخدهی به تهدیدات، و انطباق موارد برای گروه عملیات امنیت خود، به همراه گزینه های استقرار انعطاف پذیر داشته باشند، باید LogRhythm را در نظر بگیرند.

نقاط قوت

راهبرد محصول: LogRhythm یک اکوسیستم منفرد و منحصر بر یک وندور را برای خریدارانی که می خواهند راهکار یکپارچه ای داشته باشند که شامل SIEM ، سیستم نظارت بر شبکه، پایش کاربران نهایی و UEBA باشد، را ارائه می دهد.
استقرار/عملیات: طیف وسیع خدمات حرفه ای، از ابتدا تا انتهای پشتیبانی، بسیار گسترده است. مشتریان LogRhythm می توانند از محصولات مختلف، به صورت آزمایشی استفاده کنند تا پشتیبانی بیشتری را برای اجرای اولیه، ادامه انجام عملیات و استفاده از راهکارها ارائه دهند.
استقرار: LogRhythm مجموعه ای از گزینه های مناسب برای پیاده سازی راهکار اصلی SIEM خود، از جمله سخت افزار فیزیکی، نرم افزار (برای نصب در محل یا در IaaS مانند AWS، Azure و Google Cloud) و SaaS دارد.
محصول: LogRhythm ، طیف گسترده ای از گزارش های مربوط به انطباق را در انواع صنایع و مقررات در سراسر جهان ارائه می دهد.
تجربه مشتری: Exabeam ، با تلاش های بازاریابی خود رشد جدی و دید قابل توجهی را به مشتریان گارتنر، در درجه اول در آمریکای شمالی نشان داده است.
تجربه مشتری: مشتریان LogRhythm ، به طور کلی بازخورد مثبتی در مورد قابلیت های محصول ارائه می دهند.

نقاط ضعف

راهبرد محصول: LogRhythm همچنان در زمینه هایی مانند حرکت این پلتفرم به سمت یک معماری مدرن SIEM (چرا که هنوز هم ترکیبی از ویندوز سرور، MS SQL و سیستم عامل لینوکس است) و عدم ارائه SOAR اختصاصی، نسبت به رقبا عقب افتاده است.
درک از بازار: در مقایسه با رقبا، در پشتیبانی از پایش در IaaS عقب مانده است. همچنین مشخص نیست API، Sysmon یا سایر عوامل (به عنوان مثال، Beats)، کدامیک ممکن است مکانیسم ترجیحی برای جمع آوری داده ها از محیط ارائه دهنده خدمات ابری (CSP) باشد.
اجرای بازاریابی : LogRhythm با نام تجاری XDR Stack، مارک جدیدی را در سرلیست اسامی محصولات خود اضافه کرده است. با این حال، این پیچیدگی بیشتری را به ترکیب موجودی از نام ها و ویژگی های محصول اضافه می کند (Next Gen SIEM، CloudAI [برای UEBA]، Sysmon، Netmon، LogRhythm Cloud، AI Engine و غیره). خریداران باید آنچه را که به آنها پیشنهاد شده است را تأیید کنند و مشخص کنند آیا محصولات و اجزای سازنده موارد استفاده و الزامات استفاده از آنها را برآورده می کنند.
تجربه مشتری:نتایج حاصله از استعلام مشتریان، بازخوردهای Peer Insight و بررسی های گارتنر نشان می دهد که در مورد قابلیت ها، از جمله سودمند بودن گزارش های از پیش تعریف شده و اثربخشی قوانین از پیش تعریف شده، فرصت هایی برای بهبود وجود دارد. مشتریان بازخوردهای متفاوتی را در مورد استقرار و سهولت پشتیبانی ارائه داده اند.


لاتک-فناوری لاجورد تکوین-امنیت-مدیریت اطلاعات و رویدادهای امنیتی-مدیریت لاگ-اسپلانک-اسپلانک انترپرایز-فانتوم-آی بی ام-کیو رادار-فارنزیک-سکیورونیکس-رپیدسون-دل آر اس ای-فایرآی-مایکروفوکوس-آرکسایت-لاگر-ای اس ام-کانکتور-فورتینت-مک آفی-لاگریتم-لاگ پوینت-منج انجین-سولارویندز-تحلیل رفتار کاربر-همبسته سازی-یوزکیس-فروش-راهکارهای تخصصی

MicroFocus

Micro Focus که مقر آن در نیوبری، انگلستان است، پلتفرم ArcSight خود را به عنوان راهکار SIEM ارائه می دهد. راهکار ArcSight از راهکار اصلی SIEM، جمع آوری داده ها و اجزای مدیریتی، UEBA و سیستم تحقیق و مدیریت حوادث تشکیل شده است. سایر افزونه ها شامل بسته های اختصاصی محتوا برای انطباق، نظارت بر برنامه ها و سایر موارد استفاده است. سایر محصولات موجود در نمونه کارهای Micro Focus نیز برای استفاده در موارد امنیتی، از جمله برنامه های Defender و Voltage protection data پشتیبانی می کنند. همچنین ArcSight Marketplace ، به عنوان منبعی برای شناسایی و اجرای بسته های محتوا و یکپارچه سازی های فناوری ارائه شده است. ArcSight را میتوان به صورت سخت افزار فیزیکی یا به عنوان نرم افزار مستقر کرد. قیمت گذاری برای پلتفرم ArcSight در درجه اول بر پایه EPS است، به جز Interset UEBA ، که قیمت آن بر اساس تعداد کارمندان است.
در طی 12 ماه گذشته، Micro Focus شرکت Interset را برای UEBA پیشرفته آن خریداری کرده است و راهکار ArcSight Data Platform (ADP) را به دو جز مستقل تقسیم کرد: Logger و Security Open Data Platform (SODP) با Transformation Hub . این شرکت همچنین مدل های جدید قیمت گذاری را برای محصولات ArcSight ارائه داد، که فقط بر اساس EPS هستند (به عنوان مثال، حذف عناصر قیمت گذاری بر اساس حجم).
شرکتهایی که به بلوغ در عملیات نظارت امنیت رسیده اند و به قابلیت های زیاد در استفاده از داده ها و گزینه های مقیاس پذیری، همراه با انعطاف پذیری برای هدایت داده ها به منابع مختلف نیاز دارند، باید ArcSight را در نظر بگیرند.

نقاط قوت

راهبرد محصول: : این شرکت، Interset UEBA را در فوریه سال 2019 به دست آورد و با این کار احتمالاً، ماژول UEBA درون سازمانی را با ArcSight SIEM بصورت قدرتمندی ادغام نماید. این شرکت فناوری Interset را جایگزین نسخه Securonix خواهد کرد که قبلاً توسط این شرکت به فروش رسیده بود.
راهبرد محصول: پلتفرم ArcSight از شرکت های بزرگ و ارائه دهندگان خدمات با محیط هایی که به معماری های مقیاس پذیر و توزیع شده نیاز دارند، پشتیبانی می کند و می تواند به صورت از پیش فیلتر شده، داده ها را با سرعت بالا، به همراه گزینه های مسیریابی انعطاف پذیر تأمین کند؛ به عنوان مثال بوسیله Logger ، Investigate یا یک محیط جستجوی مستقل.
محصول: LogRhythm مجموعه ای از گزینه های مناسب برای پیاده سازی راهکار اصلی SIEM خود، از جمله سخت افزار فیزیکی، نرم افزار (برای نصب در محل یا در IaaS مانند AWS، Azure و Google Cloud) و SaaS دارد.
محصول: ArcSight دارای مجموعه ای گسترده از موارد انطباق پیش فرض بوده و از نگاشت رخدادها با MITER ATT&CK پشتیبانی می کند.
تجربه مشتری: Exabeam ، با تلاش های بازاریابی خود رشد جدی و دید قابل توجهی را به مشتریان گارتنر، در درجه اول در آمریکای شمالی نشان داده است.
تجربه مشتری: مشتریان مرجع، به قابلیت های نظارت بلادرنگ ArcSight و سهولت آن در تنظیم قوانین همبسته سازی، نمرات بالاتر از حد متوسط می دهند.

نقاط ضعف

محصول: Micro Focus باید در ارتقای قابلیت های پلتفرم ArcSight مانند بهبود UI/UX و یکپارچگی بیشتر محصول Interset ، سرمایه گذاری کند. خریداران و مشتریان فعلی ArcSight ، باید نقشه راه Micro Focus را ارزیابی کنند تا بتوانند بررسی کنند که آیا نیازهای فعلی و برنامه ریزی شده آنها را برآورده خواهد کرد.
نوآوری: رقبای این شرکت محصولاتی ارائه می دهند که قابلیت های SOAR را روی محصول اصلی دارند، به صورت SaaS عرضه می شوند و برای نظارت بر IaaS و SaaS و سایر محیط های جدیدِ مورد توجه مشتری (همچون OT و IoT)، پشتیبانی عمیق تری ارائه می دهند.
استقرار : گزینه های استقرار برای راهکار با توجه به اجزای آن متفاوت است. Connector ، Logger و ESM به عنوان نرم افزار و سخت افزار فیزیکی در دسترس هستند. نسخه ArcSight Management Center ، ESM و Logger در AWS و Microsoft Azure موجود است. محصولات Investigate و Transformation Hub ، فرآیند کانتینِر شدن را به اتمام رسانده اند. هیچ گزینه SaaS برای خریداران در دسترس نیست.
اجرای فروش:بر اساس استعلام از مشتریان توسطرگارتنر، Micro Focus ArcSight به ندرت در لیست های کوتاه برای استقرار SIEM جدید در خارج از خاورمیانه و هند ظاهر می شود.
تجربه مشتری:نتایج حاصله از استعلام مشتریان، بازخوردهای Peer Insight و بررسی های گارتنر حاکی از آن است که MicroFocus به پیشرفت در فروش/پیمانکاری و پشتیبانی فنی نیاز دارد. همین منابع نشان می دهد که عملکرد محصول نسبت به رقبا در مسائلی همچون استقرار و سهولت پشتیبانی، پروفایل رفتاری، تجزیه و تحلیل، قابلیت پرس و جو/تحقیق، گردش کار و مدیریت پرونده ها، عقب افتاده است.

Latech-Gartner-SIEM-Security Information and Event Management-Log Management-Splunk-Splunk Enterprise Security-Splunk Service Intelligence-Phantom-SOAR-IBM-QRadar-Network Insight-Incident Forensics-XForce Exchange-Exabeam-Securonix-Rapid7-LogRhythm-Rapid7-Dell Technologies RSA-FireEye-LogPoint-McAfee-AT&T Cybersecurity-Fortinet-HanSight-MicroFocus-ArcSight-Logger-ESM-Connector-ArcMC-Investigate-UBA-User Behavior Analytics-Correlation-Use Case-ManageEngine-Solarwinds
لاتک-فناوری لاجورد تکوین-امنیت-مدیریت اطلاعات و رویدادهای امنیتی-مدیریت لاگ-اسپلانک-اسپلانک انترپرایز-فانتوم-آی بی ام-کیو رادار-فارنزیک-سکیورونیکس-رپیدسون-دل آر اس ای-فایرآی-مایکروفوکوس-آرکسایت-لاگر-ای اس ام-کانکتور-فورتینت-مک آفی-لاگریتم-لاگ پوینت-منج انجین-سولارویندز-تحلیل رفتار کاربر-همبسته سازی-یوزکیس-فروش-راهکارهای تخصصی
راهکارهای قابل ارائه توسط شرکت فناوری لاجورد تکوین (لاتک)
در زمینه مدیریت اطلاعات و رویدادهای امنیتی

Splunk – IBM – LogRhythm – MicroFocus

ابتدا ↑