Gartner опубликовала Magic Quadrant for Security Information and Event Management 2020

Gartner опубликовал результаты Magic Quadrant for Security Information and Event Management 2020

5 производителей из портфеля Softprom заняли позиции в Magic Quadrant for Security Information and Event Management 2020: LogRhythm, Rapid7, FireEye, McAfee, Fortinet, Micro Focus. Rapid7 разместился в блоке лидеров, а FireEye, McAfee, Fortinet и Micro Focus разделили блок нишевых игроков.

Компания Softprom является официальным дистрибьютором Logrhythm, Rapid7, FireEye, McAfee, Fortinet и Micro Focus.

Подробнее о результатах исследования Security Information and Event Management систем ниже.

Security Information and Event Management система от Rapid7

Rapid7 InsightIDR - это SaaS Security Information and Event Management решение, развернутое в AWS и использующее Insight Collector или Insight Agents, развернутые в организации заказчика, для сбора, централизации и передачи журналов. Rapid7 предлагает функции мониторинга и расследования угроз и реагирования на них в режиме 24/7, предлагая услуги по управляемому обнаружению и реагированию (MDR).

Сильные стороны Security Information and Event Management:

• InsightIDR является предложением SaaS и требует только локального развертывания агентов или сборщиков конечных точек. Архитектура обеспечивает относительно легкое взаимодействие с клиентом для проверки концепции (POC) и быстрый переход к производственному использованию. Rapid7 управляет всеми исправлениями и обновлениями платформы, а также обнаружением, ответами и обновлениями содержимого отчетов.
• Портфель дополнительных технологий Rapid7 (например, управление уязвимостями и SOAR) помогает организациям решать некоторые аспекты операций безопасности, включая обнаружение угроз и реагирование на них. Для тех клиентов, которые все еще заинтересованы в круглосуточном мониторинге своей среды, Rapid7 может предложить управляемые услуги для обнаружения угроз и реагирования на них на основе InsightIDR.
• InsightIDR предлагает мощную поддержку UBA с готовыми вариантами использования, основанными на аномальных действиях. Как правило, в функциях идентификации и расследования инцидентов, ориентированных на пользователя.
• Родная поддержка FIM и конечной точки является сильной по сравнению с конкурентами. Агент конечной точки также может использоваться для развертывания вводящих в заблуждение учетных данных, что является отличительным признаком среди продуктов SIEM.

Security Information and Event Management системаFireEye

FireEye Helix является основным компонентом FireEye Security Information and Event Management. Helix интегрируется с другими, отдельно лицензированными решениями от FireEye для безопасности электронной почты, сети, конечных точек и облачных вычислений.

За последние 12 месяцев FireEye добавил несколько улучшений, таких как обогащение контекста IoC, возможности оркестровки для обнаружения и реагирования и экспертиза по требованию. Кроме того, портал облачной интеграции для прямой интеграции API от облака к облаку не требует устройств, развернутых заказчиком.

Сильные стороны Security Information and Event Management систем

• Helix включает в себя сформированные запросы, курируемые FireEye, чтобы обеспечить дальнейшее руководство для расследований. Более широкие книги и интеграция ответов доступны с помощью FireEye Security Orchestrator.
• FireEye предоставляет обширный открытый API, который обеспечивает доступ ко всем элементам, доступным через пользовательский интерфейс, что позволяет пользователям разрабатывать интеграцию и программно взаимодействовать с решением.
• Платформа Helix имеет обширный набор правил обнаружения угроз, управляемых FireEye и обновляемых ежедневно на основе мощных возможностей поставщика по сбору данных для анализа угроз.
• Интеграция с продуктами FireEye Endpoint (ранее HX), Network (ранее NX) и Email для конечных точек, сетей и электронной почты предоставляет широкие возможности для расследований, основанных на данных судебной экспертизы. Аналитика угроз FireEye полностью интегрирована, и дополнительные утилиты FireEye поддерживают сбор доказательств (Evidence Collector) и ответные действия (FireEye Security Orchestration).
• Предложение FireEye Managed Detection and Response позволяет клиентам использовать платформу Helix для выполнения собственных поисков и расследований с круглосуточной поддержкой и мониторингом от поставщика.

Сильные стороны Security Information and Event Management системыFortinet

Решение Security Information and Event Management от Fortinet FortiSIEM включает в себя:

1. FortiSIEM Advanced Agent - агент для Windows и Linux, с некоторыми возможностями FIM и EDR
2. FortiGuard IoC - платная подписка на интеллектуальную рассылку угроз
3. FortiInsight - платный UEBA-инструмент, разработанный для приобретения ZoneFox

Fortinet FortiSIEM является частью системы безопасности Fortinet. Это позволяет улучшить взаимодействие и интеграцию между несколькими портфельными решениями Fortinet (например, Fortinet FortiSandbox) для дополнительных случаев использования с несколькими инструментами.

Сильные стороны Security Information and Event Management системы:

• Fortinet FortiSIEM будет привлекать организации, ориентированные на Fortinet, поскольку он напрямую интегрируется с несколькими технологиями Fortinet (например, конечная точка, песочница, почта и обман) через Fortinet Security Fabric для двунаправленных автоматических действий по исправлению.
• Fortinet FortiSIEM предлагает солидный набор пакетов соответствия стандартным образом (например, PCI, COBIT, SOX, ISO, ISO 27001, HIPAA, GLBA, FISMA, NERC, GPG13 и SANS), а также ИТ-операции и использование сетевых операций. случаи через упакованный контент.
• Fortinet FortiSIEM имеет мощные функции обнаружения активов и может автоматически создавать базу данных управления конфигурацией организации (CMDB) путем активного сканирования среды и пассивного прослушивания сетевого трафика.
• Fortinet FortiSIEM обеспечивает работу в большинстве нестандартных сценариев безопасности, но также может использоваться в качестве инструмента ИТ-операций и сетевых операций благодаря мониторингу производительности и доступности и возможностям CMDB.
• Fortinet имеет партнерскую программу для MSSP с платными партнерскими моделями (PAYG), которая может стимулировать MSSP предоставлять FortiSIEM в качестве услуги.

Security Information and Event Management система от McAfee

McAfee Enterprise Security Manager (ESM) состоит из приемника событий (ERC), поиска по журналу предприятия (ELS), менеджера журнала предприятия (ELM) и усовершенствованного механизма корреляции (ACE). Кроме того, McAfee ESM может быть расширен и расширен с помощью McAfee Direct Attached Storage (DAS) для дополнительной емкости хранения журналов или McAfee Global Threat Intelligence (GTI) для репутации IP. Для других случаев использования требуются дополнительные модули, такие как McAfee Application Data Monitor (ADM) для мониторинга приложений уровня 7 или McAfee MVISION Cloud (продукт McAfee CASB) для функций UEBA при облачном доступе.

Сильные стороны Security Information and Event Management системы:

• McAfee предлагает интеграцию среди своего широкого портфеля решений, касающихся операций по обеспечению безопасности, и может дополнять McAfee ESM (например, McAfee Threat Intelligence Exchange или McAfee Active Response для расширенных возможностей оркестровки).
• McAfee ESM предлагает мощные двунаправленные интеграции для автоматических ответов с McAfee MVISION EDR, Advanced Threat Defense (ATD), платформой сетевой безопасности (NSP) и веб-шлюзом (MWG).
• Экосистема технологических альянсов McAfee (McAfee SIA) предлагает более 115 активных партнеров, из которых 44 являются прямыми интеграторами ESM или поставщиками контента.
• Набор функций сбора и управления данными McAfee ESM особенно силен, например, внедряет масштабируемость McAfee Data Streaming Bus и поддерживает федеративные организации со сложными требованиями к управлению.
• McAfee широко представлена ​​в мире - например, в EMEA, с плотной экосистемой партнеров по каналам и услугам, доступным для организаций, которым требуются консультации, внедрение, эксплуатация и / или управляемые услуги.

Security Information and Event Management система от Micro Focus

В течение последних 12 месяцев Micro Focus приобрела Interset для UEBA и разделила решение ArcSight Data Platform (ADP) на два автономных компонента: Logger и Security Open Data Platform (SODP) с помощью Transformation Hub. Он также представил новые модели ценообразования для портфеля ArcSight, основанные на использовании только EPS (например, удаление элементов ценообразования).

Сильные стороны Security Information and Event Management системы:

• Micro Focus приобрела Interset UEBA в феврале 2019 года, добавив собственную возможность UEBA, которая может быть более тесно интегрирована с ArcSight Security Information and Event Management. Технология Interset заменяет OEM-версию Securonix, ранее продававшуюся с ArcSight.
• Платформа ArcSight поддерживает крупные предприятия и поставщиков услуг со средами, которые требуют масштабируемой и распределенной архитектуры, которая может предварительно фильтровать, а затем загружать данные с высокой скоростью, наряду с гибкими вариантами маршрутизации данных, например, Logger, Investigate или автономной средой Elasticsearch.
• ArcSight имеет полный набор готовых вариантов использования для обеспечения соответствия требованиям и поддержку отображения событий в MITER ATT & CK.
• Референтные клиенты ставят оценки выше среднего за возможности мониторинга в реальном времени ArcSight и простоту настройки правил корреляции.