오늘날 많은 조직의 가장 중요한 자산 중 하나는 가장 중요하지는 않더라도 데이터입니다. 많은 악의적인 개인이나 조직이 그 귀중한 데이터를 훔치기 위해 많은 노력을 기울이는 것은 매우 중요하고 가치가 있습니다. 그들은 네트워크와 시스템에 대한 무단 액세스를 얻기 위해 광범위한 기술과 기술을 사용하여 그렇게 합니다. 그러한 시도의 횟수는 항상 기하급수적으로 증가하는 것으로 보입니다. 이를 방지하기 위해 데이터 자산을 보호하려는 기업에서 침입 방지 시스템(IPS)이라는 시스템을 배포하고 있습니다. SolarWinds Log & Event Manager 뿐만 아니라 스플렁크 그 분야에서 두 개의 비 전통적인 제품입니다. 오늘 우리는 둘을 비교합니다.
일반적으로 침입 방지를 살펴보는 것으로부터 탐색을 시작하겠습니다. 그것은 앞으로 일어날 일에 대한 테이블을 설정하는 데 도움이 될 것입니다. 우리는 가능한 한 비기술적으로 유지하려고 노력할 것입니다. 우리의 아이디어는 여러분을 침입 방지 전문가로 만드는 것이 아니라 두 제품을 더 자세히 살펴보는 동안 우리 모두가 같은 페이지에 있는지 확인하는 것입니다. 제품 탐색에 대해 이야기하면 이것이 우리가 다음에 할 일입니다. 먼저 SolarWinds Log & Event Manager의 주요 기능을 설명하고 플랫폼 사용자가 보고한 제품의 장단점과 장단점을 살펴보고 개요를 마치겠습니다. 가격 및 라이선스 구조를 살펴봄으로써 제품의 그런 다음 제품 기능, 강점과 약점, 장단점, 가격 구조와 동일한 형식을 사용하여 Splunk를 검토합니다. 마지막으로 두 제품에 대한 사용자 의견으로 마무리하겠습니다.
목차
침입 방지 – 이것이 무엇에 관한 것입니까?
몇 년 전만 해도 바이러스는 시스템 관리자의 유일한 관심사였습니다. 바이러스가 너무 흔해서 업계에서는 바이러스 보호 도구를 개발하여 대응했습니다. 오늘날 올바른 정신을 가진 진지한 사용자는 바이러스 보호 없이 컴퓨터를 실행하는 것을 생각하지 않을 것입니다. 더 이상 바이러스가 많이 들리지 않지만 침입 또는 악의적인 사용자가 데이터에 무단으로 액세스하는 것은 새로운 위협입니다. 데이터가 조직의 가장 중요한 자산인 경우가 많기 때문에 기업 네트워크는 악의적인 해커의 표적이 되어 데이터에 액세스하기 위해 많은 노력을 기울입니다. 바이러스 보호 소프트웨어가 바이러스 확산에 대한 해답이었던 것처럼 침입 방지 시스템은 침입자 공격에 대한 해답입니다.
침입 방지 시스템은 기본적으로 두 가지 작업을 수행합니다. 첫째, 침입 시도를 감지하고 의심스러운 활동을 감지하면 다양한 방법을 사용하여 이를 차단하거나 차단합니다. 침입 시도를 탐지할 수 있는 두 가지 다른 방법이 있습니다. 서명 기반 탐지는 네트워크 트래픽과 데이터를 분석하고 침입 시도와 관련된 특정 패턴을 찾는 방식으로 작동합니다. 이것은 바이러스 정의에 의존하는 기존의 바이러스 보호 시스템과 유사합니다. 서명 기반 침입 탐지는 침입 서명 또는 패턴에 의존합니다. 이 탐지 방법의 주요 단점은 소프트웨어에 로드하려면 적절한 서명이 필요하다는 것입니다. 그리고 새로운 공격 방법의 경우 일반적으로 공격 서명이 업데이트되기까지 지연이 있습니다. 일부 공급업체는 업데이트된 공격 서명을 제공하는 데 매우 빠르지만 다른 공급업체는 훨씬 느립니다. 서명 업데이트 빈도와 속도는 공급업체를 선택할 때 고려해야 할 중요한 요소입니다.
이상 기반 탐지는 탐지 서명이 업데이트되기 전에 발생하는 제로 데이 공격에 대해 더 나은 보호 기능을 제공합니다. 프로세스는 알려진 침입 패턴을 인식하는 대신 이상을 찾습니다. 예를 들어, 누군가가 연속적으로 잘못된 암호로 시스템에 액세스하려고 시도하면 무차별 대입 공격의 일반적인 징후가 트리거됩니다. 이것은 단지 예일 뿐이며 일반적으로 이러한 시스템을 트리거할 수 있는 수백 가지의 의심스러운 활동이 있습니다. 두 가지 탐지 방법에는 장점과 단점이 있습니다. 최고의 도구는 최상의 보호를 위해 서명과 행동 분석의 조합을 사용하는 도구입니다.
침입 시도를 감지하는 것은 이를 방지하는 첫 번째 부분입니다. 탐지된 침입 방지 시스템은 탐지된 활동을 적극적으로 중지합니다. 이러한 시스템은 여러 가지 다른 교정 조치를 취할 수 있습니다. 예를 들어 사용자 계정을 일시 중지하거나 비활성화할 수 있습니다. 또 다른 일반적인 작업은 공격의 소스 IP 주소를 차단하거나 방화벽 규칙을 수정하는 것입니다. 특정 프로세스에서 악성 활동이 발생하면 방지 시스템이 해당 프로세스를 종료할 수 있습니다. 일부 보호 프로세스를 시작하는 것은 또 다른 일반적인 반응이며 최악의 경우 잠재적인 손상을 제한하기 위해 전체 시스템을 종료할 수 있습니다. 침입 방지 시스템의 또 다른 중요한 작업은 관리자에게 경고하고, 이벤트를 기록하고, 의심스러운 활동을 보고하는 것입니다.
수동적 침입 방지 조치
침입 방지 시스템은 수많은 유형의 공격으로부터 사용자를 보호할 수 있지만, 좋은 구식 수동 침입 방지 조치를 능가하는 것은 없습니다. 예를 들어, 강력한 암호를 요구하는 것은 많은 침입으로부터 보호하는 훌륭한 방법입니다. 또 다른 쉬운 보호 조치는 장비 기본 암호를 변경하는 것입니다. 회사 네트워크에서는 덜 자주 발생하지만 전례가 없는 것은 아니지만 여전히 기본 관리자 암호가 있는 인터넷 게이트웨이를 너무 자주 보았습니다. 암호라는 주제에 대해 암호 에이징은 침입 시도를 줄이기 위해 적용할 수 있는 또 다른 구체적인 단계입니다. 아무리 좋은 암호라도 충분한 시간이 주어지면 결국 해독될 수 있습니다. 암호 에이징은 암호가 해독되기 전에 암호가 변경되도록 합니다.
SolarWinds는 네트워크 관리 분야에서 잘 알려진 이름입니다. 최고의 네트워크 및 시스템 관리 도구를 만드는 것으로 확고한 명성을 누리고 있습니다. 주력 제품인 Network Performance Monitor는 사용 가능한 최고의 네트워크 대역폭 모니터링 도구 중 하나로 지속적으로 점수를 매겼습니다. SolarWinds는 또한 각각 네트워크 관리자의 특정 요구 사항을 해결하는 많은 무료 도구로 유명합니다. Kiwi Syslog 서버 또는 SolarWinds TFTP 서버는 이러한 무료 도구의 두 가지 훌륭한 예입니다.
하지마 SolarWinds 로그 및 이벤트 관리자의 이름은 당신을 바보. 눈에 보이는 것보다 훨씬 더 많은 것이 있습니다. 이 제품의 고급 기능 중 일부는 침입 탐지 및 방지 시스템으로 인정되는 반면 다른 일부는 SIEM(Security Information and Event Management) 범위에 포함됩니다. 예를 들어 이 도구는 실시간 이벤트 상관 관계 및 실시간 수정 기능을 제공합니다.
그만큼 SolarWinds 로그 및 이벤트 관리자 의심스러운 활동에 대한 즉각적인 탐지(침입 탐지 기능) 및 자동화된 대응(침입 방지 기능)을 자랑합니다. 이 도구는 보안 이벤트 조사 및 포렌식을 수행하는 데에도 사용할 수 있습니다. 완화 및 규정 준수 목적으로 사용할 수 있습니다. 이 도구는 HIPAA, PCI-DSS 및 SOX와 같은 다양한 규제 프레임워크의 준수를 입증하는 데 사용할 수도 있는 감사로 입증된 보고 기능을 제공합니다. 이 도구에는 파일 무결성 모니터링 및 USB 장치 모니터링 기능도 있습니다. 소프트웨어의 모든 고급 기능은 이름만 들어도 믿을 수 있는 로그 및 이벤트 관리 시스템 이상의 통합 보안 플랫폼입니다.
의 침입 방지 기능 SolarWinds 로그 및 이벤트 관리자 위협이 감지될 때마다 활성 응답이라는 작업을 구현하여 작동합니다. 다른 응답을 특정 경고에 연결할 수 있습니다. 예를 들어, 시스템은 방화벽 테이블에 기록하여 의심스러운 활동을 수행하는 것으로 식별된 소스 IP 주소의 네트워크 액세스를 차단할 수 있습니다. 이 도구는 또한 사용자 계정을 일시 중단하고 프로세스를 중지 또는 시작하고 시스템을 종료할 수 있습니다. 이것이 우리가 이전에 식별한 수정 조치가 정확히 무엇인지 기억할 것입니다.
강점과 약점
가트너에 따르면, 솔라윈드 로그 및 이벤트 관리자 “간단한 아키텍처, 손쉬운 라이선스, 강력한 기본 콘텐츠 및 기능 덕분에 중소기업에 특히 적합한 잘 통합된 솔루션을 제공합니다.” 이 도구는 여러 이벤트 소스를 제공하고 경쟁 제품에서는 일반적으로 사용할 수 없는 몇 가지 위협 억제 및 검역 제어 기능을 제공합니다.
그러나 리서치 회사는 이 제품이 폐쇄형 에코시스템이기 때문에 지능형 위협 탐지, 위협 인텔리전스 피드 및 UEBA 도구와 같은 타사 보안 솔루션과의 통합이 어렵다고 지적합니다. 회사에서 썼듯이 “서비스 데스크 도구와의 통합도 이메일 및 SNMP를 통한 단방향 연결로 제한됩니다.”
또한 SaaS 환경에 대한 모니터링은 제품에서 지원하지 않으며 IaaS에 대한 모니터링이 제한됩니다. 모니터링을 네트워크 및 애플리케이션으로 확장하려는 고객은 다른 SolarWinds 제품을 구매해야 합니다.
장점과 단점
우리는 SolarWinds Log & Event Manager 사용자가 보고한 가장 중요한 장단점을 모았습니다. 그들이 해야 할 말은 다음과 같습니다.
장점
제품은 설치가 매우 쉽습니다. 배포되고 로그 소스가 이를 가리키며 하루 만에 기본 상관 관계를 수행했습니다.
에이전트를 배포한 후 사용할 수 있는 자동화된 응답은 네트워크의 이벤트에 응답할 수 있는 놀라운 제어 기능을 제공합니다.
도구의 인터페이스는 사용자 친화적입니다. 일부 경쟁 제품은 사용법과 적응 방법을 배우기가 어려울 수 있지만 SolarWinds 로그 및 이벤트 관리자 직관적인 레이아웃을 가지고 있으며 선택 및 사용이 매우 쉽습니다.
단점
제품에 사용자 정의 파서가 없습니다. 귀하의 네트워크에는 불가피하게 다음과 같은 제품이 있을 것입니다. SolarWinds 로그 및 이벤트 관리자 구문 분석 방법을 모릅니다. 이러한 이유로 일부 경쟁 솔루션은 맞춤형 파서를 활용합니다. 이 제품은 사용자 정의 파서 생성을 지원하지 않으므로 알 수 없는 로그 형식은 파싱되지 않은 상태로 유지됩니다.
도구는 때때로 너무 기본적일 수 있습니다. 중소 규모 환경에서 기본 상관 관계를 수행하는 데 탁월한 도구입니다. 그러나 수행하려는 상관 관계를 너무 발전시키려고 하면 주로 데이터를 구문 분석하는 방식으로 인한 도구의 기능 부족에 좌절할 수 있습니다.
가격 및 라이선스
SolarWinds Log & Event Manager의 가격은 모니터링되는 노드 수에 따라 다릅니다. 가격은 최대 30개의 모니터링되는 노드에 대해 $4,585부터 시작하며 최대 2500개의 노드에 대한 라이선스는 중간에 여러 라이선스 계층으로 구매할 수 있으므로 제품의 확장성이 뛰어납니다. 제품을 테스트 실행하고 자신에게 적합한지 직접 확인하려면 모든 기능을 갖춘 무료 30일 평가판을 사용할 수 있습니다.
스플렁크 아마도 가장 인기 있는 침입 방지 시스템 중 하나일 것입니다. 다양한 기능 세트를 자랑하는 여러 버전으로 제공됩니다. Splunk 엔터프라이즈 보안-또는 스플렁크 ES, 흔히 말하듯이 진정한 침입 방지를 위해 필요한 것입니다. 이것이 오늘 우리가 보고 있는 것입니다. 이 소프트웨어는 시스템의 데이터를 실시간으로 모니터링하여 취약점과 비정상적인 활동의 징후를 찾습니다. 침입 방지 목표는 SolarWinds’와 유사하지만 달성 방법은 다릅니다.
보안 대응은 다음 중 하나입니다. 스플렁크의 강력한 슈트와 이것이 침입 방지 시스템이자 방금 검토한 SolarWinds 제품의 대안이 되는 이유입니다. 공급업체에서 ARF(Adaptive Response Framework)라고 부르는 것을 사용합니다. 이 도구는 55개 이상의 보안 공급업체의 장비와 통합되며 자동화된 응답을 수행하여 수동 작업의 속도를 높이고 더 빠른 대응을 제공할 수 있습니다. 자동화된 수정과 수동 개입의 조합은 신속하게 우위를 점할 수 있는 최상의 기회를 제공합니다. 이 도구에는 간단하고 깔끔한 사용자 인터페이스가 있어 성공적인 솔루션을 제공합니다. 다른 흥미로운 보호 기능에는 사용자 정의 가능한 경고를 표시하는 “주목” 기능과 악의적인 활동을 표시하고 추가 문제를 방지하는 “자산 조사기”가 있습니다.
강점과 약점
스플렁크의 대규모 파트너 생태계는 통합 및 스플렁크– Splunkbase 앱 스토어를 통한 특정 콘텐츠. 공급업체의 전체 솔루션 제품군은 또한 사용자가 시간이 지남에 따라 플랫폼으로 쉽게 확장할 수 있도록 하며 고급 분석 기능은 전역에서 다양한 방식으로 제공됩니다. 스플렁크 생태계.
하락세로, 스플렁크 솔루션의 어플라이언스 버전을 제공하지 않으며 Gartner 고객은 라이선싱 모델과 구현 비용에 대한 우려를 제기했습니다. 스플렁크 EAA(Enterprise Adoption Agreement)를 비롯한 새로운 라이선스 접근 방식을 도입했습니다.
장점과 단점
이전 제품과 마찬가지로 다음은 사용자가 보고한 가장 중요한 장단점 목록입니다. 스플렁크.
장점
이 도구는 거의 모든 머신 유형에서 로그를 매우 잘 수집합니다. 대부분의 대체 제품은 이 작업을 잘 수행하지 않습니다.
스플렁크 사용자에게 시각적 개체를 제공하여 로그를 파이 차트, 그래프, 테이블 등과 같은 시각적 요소로 변환할 수 있는 기능을 제공합니다.
이상 징후에 대한 보고 및 경고가 매우 빠릅니다. 약간의 지연이 있습니다.
단점
스플렁크의 검색 언어는 매우 깊습니다. 그러나 고급 형식 지정 또는 통계 분석을 수행하려면 약간의 학습 곡선이 필요합니다. 스플렁크 교육은 검색 언어를 배우고 데이터를 조작하는 데 사용할 수 있지만 비용은 $500.00에서 $1,500.00입니다.
이 도구의 대시보드 기능은 꽤 훌륭하지만 더 흥미로운 시각화를 수행하려면 간단한 XML, Javascript 및 CSS를 사용하여 약간의 개발이 필요합니다.
공급업체는 마이너 개정판을 매우 빠르게 릴리스하지만 우리가 겪은 버그의 수 때문에 9개월 동안 4번 환경을 업그레이드해야 했습니다.
가격 및 라이선스
스플렁크 엔터프라이즈의 가격은 매일 보내는 총 데이터 양을 기준으로 합니다. 최대 1GB의 일일 수집 데이터에 대해 $150/월부터 시작합니다. 볼륨 할인이 가능합니다. 이 가격에는 무제한 사용자, 무제한 검색, 실시간 검색, 분석 및 시각화, 모니터링 및 경고, 표준 지원 등이 포함됩니다. 자세한 견적을 받으려면 Splunk 영업팀에 문의해야 합니다. 이러한 가격대의 대부분의 제품과 마찬가지로 제품을 사용해 보고 싶은 사람들을 위해 무료 평가판을 사용할 수 있습니다.
두 제품에 대해 어떻게 말했습니까?
IT Central Station 사용자는 SolarWinds에 10점 만점에 9점, Splunk에 10점 만점에 8점을 주었습니다. 그러나 Gartner Peer Insights 사용자는 순서를 반대로 하여 Splunk에 5점 만점에 4.3점, SolarWinds에 5점 만점에 4점을 주었습니다.
Foxhole Technology의 시스템 엔지니어인 Jeffrey Robinette는 SolarWinds의 즉시 사용 가능한 보고서와 대시보드가 핵심 강점이라고 썼습니다. “이를 통해 액세스를 모니터링하고 사이버 보고서를 신속하게 가져올 수 있습니다. 더 이상 각 서버의 로그를 검색하지 않아도 됩니다.”
Splunk와 비교할 때 Robinette는 SolarWinds가 많은 사용자 지정이 필요하지 않고 가격도 더 저렴하다고 말하면서 Splunk에 대해 “박사 학위가 필요합니다. 보고서 사용자 지정에 대해.”
Roche의 선임 IT 보안 운영인 Raul Lapaz는 Splunk가 저렴하지는 않지만 사용 용이성, 확장성, 안정성, 검색 엔진의 속도, 다양한 데이터 소스와의 호환성을 고려할 때 그만한 가치가 있습니다.
그러나 Lapaz는 클러스터 관리가 명령줄을 통해서만 수행될 수 있고 권한이 매우 유연하지 않다는 사실을 포함하여 몇 가지 단점을 지적했습니다. 그는 “이중 요소 인증과 같은 더 세분화된 옵션이 있으면 좋을 것”이라고 썼습니다.