- 最适合日志聚合:太阳风
- 最佳补救措施:CrowdStrike Falcon 下一代 SIEM
- 最适合云原生环境:Splunk 企业安全
- 最适合定制:Datadog安全监控
- 最适合本地部署:LogRhythm SIEM
- 最适合大型企业:RSA网络见证
- 最适合小型企业:管理引擎日志360
- 最适合 IBM 商店:IBM 安全 QRadar SIEM
- 最适合 Windows 商店:Trellix 安全运营和分析
- 最适合资产发现:AT&T USM 任何地方
安全信息和事件管理 (SIEM) 是一种设备和环境分析策略,旨在帮助保护公司运营、数据和人员的安全。通过提供与安全相关的详细信息和相关建议的全面分析,SIEM 工具有助于确保合规性并修复潜在或主动威胁。
最近发布的一份报告伊玛克集团研究发现,2024 年全球 SIEM 市场价值为 63.6 亿美元。同一份报告称,到 2033 年,该市场预计将攀升至 150.5 亿美元左右,特别是随着越来越多的公司投入更多资源来防范潜在威胁和解决漏洞。
考虑到这一点,我们来看看当今最好的 SIEM 工具和 SIEM 软件解决方案。
那些希望采用 SIEM 或计划将旧版 SIEM 工具升级到现代平台的人应仔细评估可用的工具。云和本地功能、修复功能和支持的平台等功能应该是最需要考虑的领域。
| 云 | 本地托管 | 补救措施 | 平台 | 定价 | |
|---|---|---|---|---|---|
| SolarWinds SEM | 是的 | 是的 | 包括一些自动修复功能。 | Windows、Linux 和 Mac。 | 起价 3,292 美元 |
| CrowdStrike Falcon 下一代 SIEM | 是的 | 不 | 全方位的修复能力。 | Windows、Linux、Mac 和 Chrome。 | 联系报价 |
| Splunk 企业安全 | 是的 | 不 | 一些修复能力。 | Windows、Linux 和 Mac。 | 据报道,每月 173 美元,每 GB 最高 1,800 美元 |
| Datadog安全监控 | 是的 | 不 | 修复能力有限。 | Windows、Linux 和 Mac。 | 每个主机每月 15 美元起 |
| LogRhythm SIEM | 是的 | 是的 | 修复能力有限。 | Windows、Linux 和 Mac。 | 联系报价 |
| RSA NetWitness SIEM | 是的 | 是的 | 修复能力有限。 | Windows、Linux 和 Mac。 | 联系报价 |
| 管理引擎日志360 | 是的 | 是的 | 修复能力有限 | Windows、Linux 和 Mac。 | 通过在线表格进行个性化报价 |
| IBM 安全 QRadar SIEM | 是的 | 是的 | 完整的修复能力。 | Windows、Linux 和 Mac。 | 通过在线价格估算器提供个性化报价 |
| Trellix 企业安全管理器 | 是的 | 是的 | 修复功能仅在购买额外的 Trellix 模块后才可用。 | Windows、Linux 和 Mac。 | 联系报价 |
| AT&T USM 任何地方 | 是的 | 不 | 包括补救措施 | Windows、Linux 和 Mac。 | 每月 1,075 美元起 |
SolarWinds:最适合日志聚合
SolarWinds Security Event Manager (SEM) 专注于日志聚合和威胁检测。它可以轻松处理原始事件日志数据并将其转发到外部应用程序,以便使用系统日志协议进行进一步分析,这是它在竞争中脱颖而出的一个领域。
为什么我选择 SolarWinds
我选择 SolarWinds 是因为它具有丰富的日志聚合和日志分析功能。这使得企业能够了解其设备的确切状态,找到每个日志的根本原因,从而实施改进策略。 SolarWinds 与其他应用程序共享大量日志数据的能力也是一个重要的优势。
定价
- SolarWinds 年度 SEM 订阅起价为 3,292 美元。
- 永久许可的价格约为 6,477 美元。
特征
- 自动化来修复一些事件。
- 导出日志数据并与其他团队或供应商共享。
- 仪表板指示安全状态,报告满足合规性要求。
- 预构建的连接器从众多来源提取数据。
- 文件完整性检查器跟踪对文件和文件夹的访问和更改,以检测未经授权或恶意的活动。
集成
- 亚马逊网络服务。
- 天蓝色。
- 赫罗库。
- 阿帕奇。
- 甲骨文。
SolarWinds的优点和缺点
| 优点 | 缺点 |
|---|---|
| 适合与网络相关的事件和分析每个主机的活动,例如登录、权限使用和注册表更改。 | 处理大量数据时,仪表板可能会变得混乱且难以理解。 |
| 安全功能包括数据加密、单点登录和智能卡授权。 | 可以应对超大型企业环境的复杂性。 |
| 能够限制来自 IP 的访问、阻止应用程序并拒绝对可移动媒体的访问。 | 自动化不提供全方位的修复功能。 |
特征
- 收集 PB 级日志。
- 以亚秒级延迟快速访问实时数据。
- 快速搜索、实时警报和可定制的仪表板。
- 根据合规性、威胁追踪和历史调查所需的时间保留数据。
集成
- AWS。
- 谷歌云。
- 天蓝色。
- 红帽。
- 其他 CrowdStrike 产品。
CrowdStrike 的优点和缺点
| 优点 | 缺点 |
|---|---|
| 无索引架构和压缩技术最大限度地减少了摄取和管理数据所需的计算和存储资源。 | 从 XDR 方面发展而来,因此它更像是一个具有类似 SIEM 功能的日志管理工具,而不是功能齐全的 SIEM 套件。 |
| 据称,与替代解决方案相比,日志管理成本可降低高达 80%。 | |
| 强大的修复能力,得益于与 CrowdStrike Falcon 平台的集成。 |
Splunk Enterprise Security:最适合云原生环境
Splunk Enterprise Security 提供基于云的安全相关事件通知和日志监控。它可以识别资源瓶颈、故障硬件、容量问题和其他潜在问题。随着它在云时代的发展,它特别适合云原生环境。
为什么我选择 Splunk Enterprise Security
Splunk Enterprise Security 因其专门用于保护云环境而进入此列表。它使云原生组织能够轻松地在云中建立安全监控和统一的可见性。其全面的可视性功能与 1,800 多项检测、数千次集成以及基于风险的警报相结合。 Splunk的统一威胁检测、调查和响应服务是许多云原生公司应该考虑的安全工具。
定价
- Splunk 复杂的定价结构分为实体、活动、工作负载和摄取类别。
- Splunk 没有公布确切的价格,但用户报告显示其价格从每月 173 美元到每 GB 1,800 美元不等。
特征
- 通过机器学习进行威胁检测,包括针对 MITRE 等框架的 1,800 多个检测。
- 每天从任何来源(结构化或非结构化)摄取和监控数十 TB 的数据。
- 将风险归因于用户和系统,将警报映射到网络安全框架,并在风险超过阈值时触发警报。
- 快速调查安全事件或可疑活动。
集成
- AWS。
- 天蓝色。
- 谷歌云平台。
- 库伯内斯。
- 打开Shift。
- 卡夫卡。
Splunk的优点和缺点
| 优点 | 缺点 |
|---|---|
| 使用自定义响应模式响应记录情况的触发器。 | 一些用户认为在主要企业环境中监控大量数据时 Splunk 成本高昂。 |
| 内置分析功能,可以生成长期图表。 | 该公司最近宣布被思科收购,可能会导致长期的整合延迟以及其创新路线图缺乏进展。 |
| 查看各种日志并深入了解特定时间或数据源。 | |
| 能够跨多个平台解决问题。 |
Datadog 安全监控:最适合定制
Datadog 的平台设计可根据用户需求进行高度定制。 Datadog 安全监控使您可以相对轻松地一目了然地了解所有正在分析的来源所发生的情况。它提供动态环境的安全监控、实时安全监控工具和根本原因分析功能。还有一个免费试用版,可以让组织测试驱动 Datadog,看看它是否符合他们的需求和要求。
为什么我选择 Datadog 安全监控
我选择 Datadog Security Monitoring 是因为它非常强调用户配置和可定制性。特别是,组织可以利用 Datadog 的可配置规则来追踪常见的攻击者行为和技术。您还可以在继续提取和处理数据时自定义要索引的日志。这是在可定制的仪表板和用户界面之上的。
定价
- 基础设施专业版的费用为每台主机每月 15 美元,基础设施企业版的费用为每台主机每月 23 美元。
特征
- 超过 350 个检测规则以及超过 500 个与日志源的集成提供了安全操作的全面可见性。
- 能够在任何规模、任何地点查看任何堆栈或应用程序的内部。
- 基础设施监控、APM、日志管理、设备监控、云工作负载监控、服务器监控和数据库监控,全部包括在内。
- 从日志和其他指标中收集数据以提供上下文并最大限度地缩短事件响应时间。
集成
- 松弛。
- SSH。
- AWS。
- 谷歌云平台。
- 甲骨文。
- IBM 云。
数据狗的优点和缺点
| 优点 | 缺点 |
|---|---|
| Datadog 采用面向分析的监控方法,受到 DevOps 和 IT 部门的青睐,可解决云和基础设施性能问题。 | Datadog 并没有称自己是一个完整的 SIEM 平台,因为它更专注于云监控和安全,但一直在扩展其云 SIEM 功能。 |
| Datadog 安装非常简单,由代理部署提供。 | Datadog 缺乏全功能 SIEM 平台的一些日志监控功能。 |
| 仪表板和界面易于定制。 |
看:(科技共和国)
LogRhythm SIEM:最适合本地部署
LogRhythm 的 SIEM 软件设计为本地托管。它已将人工智能和自动化功能内置到其平台中。基于查询的报告很容易配置。该系统与一系列安全和技术解决方案完美集成。
为什么我选择 LogRhythm SIEM
对于需要本地解决方案的组织,我推荐 LogRhythm。您将获得整体安全方法,获得嵌入式模块、威胁监控以及自动检测和响应等功能。它还为寻求 IT 基础设施鸟瞰图的组织提供简化的事件调查和分析功能。对于本地部署,LogRhythm 还强调提供高度可用的内容以满足合规性和监管要求。
定价
- 联系以获取策划定价。
- 有多种定价选项可供选择,例如永久或订阅软件许可证、无限数据计划和高性能计划。
特征
- 加强对安全和潜在威胁的检测。
- LogRhythm 提供集成的用户体验。
- 结合了企业日志管理、安全分析、用户实体和行为分析 (UEBA)、网络流量和行为分析 (NTBA) 以及安全自动化和编排。
- 除了本地版本外,它还提供基于云的 SIEM。
集成
- 基巴纳。
- 趋势科技。
- 快速7。
- 安克诺斯。
- CimTrak。
- 云SEK。
LogRhythm 的优点和缺点
| 优点 | 缺点 |
|---|---|
| 建立在机器分析/数据湖技术基础上,旨在轻松扩展。 | 本地版本通常需要大量的前期投资。 |
| 开放平台允许与企业安全和 IT 基础设施集成。 | |
| 嵌入式模块、仪表板和规则提供威胁监控、威胁搜寻、威胁调查和事件响应。 | |
| 与许多第三方平台集成。 | |
| 用户评论对支持团队的速度和响应能力表示赞赏。 |
RSA NetWitness:最适合大型企业
RSA 以其多因素软硬令牌认证产品而闻名,在整个安全社区中拥有强大的影响力。其 NetWitness SIEM 更适合大型企业,其版本既可以在本地运行,也可以通过云运行。
为什么我选择 RSA NetWitness
RSA NetWitness 以其为大型组织构建的全方位安全解决方案而名列此榜单。它提供了广泛捕获点的可见性,并具有针对已知和未知攻击的智能分析和自动化功能。我发现大型企业尤其会受益于 NetWitness 快速执行的威胁检测,它能够及时揭示完整的攻击范围。
定价
- 联系以获取策划定价。
特征
- NetWitness 监视可操作的事件。
- 行为分析观察黑客活动并重新创建完整会话以观察攻击的精确剖析。
- 基于可定制信息的情报源跟踪并保留关键操作。
- 对分布在 IT 环境中的日志数据的可见性。
集成
- 天蓝色。
- AWS。
- 思科。
- 谷歌云平台。
- 赛门铁克端点保护。
- 卡巴斯基网络追踪。
RSA NetWitness 的优缺点
| 优点 | 缺点 |
|---|---|
| 简化威胁检测、减少停留时间并支持合规性。 | 学习曲线和实施工作可能会很陡峭。 |
| 对公有云和SaaS应用产生的日志进行集中管理和日志监控。 | 一些用户需要大量的机架空间。 |
| 识别逃避基于签名的安全工具的可疑活动。 |
ManageEngine Log360:最适合小型企业
ManageEngine Log360 是一种 SIEM,可为各种规模的企业提供服务,但特别适合小型企业 (SMB) 部署。它还与该公司提供的一系列其他安全和监控产品完美集成。
为什么我选择 ManageEngine Log360
ManageEngine Log 360 在此列表中是因为它对中小型企业特别有用。它具有中小企业将受益的所有 SIEM 功能,例如事件日志分析和云基础设施监控,以及威胁检测和自动响应。我特别喜欢 ManageEngine 如何让企业可以轻松地免费尝试 Log360 的高级功能 - 通过慷慨的 30 天免费试用。
定价
- 回答 ManageEngine 的在线表格以获得个性化报价。
特征
- 通过识别用户活动的细微变化来检测内部威胁,例如数据泄露和用户帐户泄露。
- 通过将您的日志数据与知名威胁源关联起来,识别入侵您网络的可疑或列入黑名单的 IP、URL 和域。
- 通过可配置的工作流程自动响应事件。
- 监控活动 VPN 连接并接收有关异常 VPN 活动和来自恶意来源的 VPN 访问的警报。
集成
- AWS。
- 天蓝色。
- 销售人员。
- 谷歌云。
- ESET 防病毒软件。
- 思科。
ManageEngine Log360的优点和缺点
| 优点 | 缺点 |
|---|---|
| 通过选择所需的 SharePoint 网站用户、组和权限级别,将 SharePoint 环境迁移到 Microsoft 365。 | 一些用户抱怨支持不佳。 |
| 实时审核 Active Directory 基础结构和 Azure AD 中的更改。 | 在大型、复杂的环境中可能难以很好地扩展。 |
| 发现敏感文件并对其进行分类、审核用户的文件活动并分析文件权限。 | |
| 通过实时安全监控检测、破坏和防止通过端点(例如 USB 和打印机、电子邮件和 Web 应用程序)泄露敏感数据。 |
IBM Security QRadar SIEM:最适合 IBM 商店
IBM QRadar 是一种威胁检测和响应解决方案,包含 SIEM 模块。因此,IBM Security QRadar SIEM 特别适合对 IBM 工具和系统进行大量投资的企业以及大型企业部署。
为什么我选择 IBM Security QRadar SIEM
对于已经将 IBM 产品和工具大量集成到其工作流程中的公司来说,我选择 IBM 的 QRadar SIEM 作为明智的选择。幸运的是,Security QRadar 还提供了与其他第三方服务的大量集成,使其成为可行的 SIEM 选项,即使对于没有 IBM 生态系统的公司也是如此。
定价
- 访问 IBM 官方在线估价器以获得个性化报价。
特征
- 通过突出显示重要警报的仪表板加速威胁响应。
- 使用近乎实时的分析,根据风险的严重性智能地调查高保真警报并确定其优先级。
- 识别内部威胁和有风险的用户行为。
- IBM Cloud Pak for Security 的一部分,使用 AI 提供风险评估和分析。
集成
- AWS。
- 检查点。
- 谷歌云。
- 帕洛阿尔托网络。
- 趋势科技。
- 炭黑 (VMware)。
IBM Security QRadar 的优缺点
| 优点 | 缺点 |
|---|---|
| 基于机器学习的分析可将异常识别为潜在威胁参与者。 | 缺乏与其他 SIEM 工具的集成。 |
| QRadar SIEM 通过监控关键网络流数据来增强传统日志数据。 | 那些不使用 IBM 平台的人可能会发现部署起来很困难。 |
Trellix 安全运营和分析:最适合 Windows 商店
Trellix 安全操作 (SecOps) 和分析包含旧 McAfee Enterprise Security Manager SIEM 平台的骨架,现在是一个称为 Trellix Enterprise Security Manager 的模块。该 SIEM 产品基于 Active Directory,非常适合 Windows 环境。但 Trellix 对其进行了扩展,以提供强大的云支持。
为什么我选择 Trellix 安全运营和分析
我在此列表中列出了 Trellix Security Operations and Analytics,因为它与 Windows 计算机具有很强的兼容性,这使其成为主要运行以 Windows 为中心的环境的企业的不错选择。除此之外,它还提供强大的自动化功能,用于快速检测和修复。理想情况下,这将在处理威胁时降低风险暴露并加快响应时间。
定价
- 请联系 Trellix 了解策划定价。
特征
- Trellix Helix SecOps 平台是包含 SIEM 的套件的一部分,可帮助 IT 控制从事件到检测到响应的整个过程。
- Trellix Insights 提供威胁情报来预测威胁并确定威胁的优先级并制定对策。
- Trellix ePO 安全管理平台可帮助 IT 从单个控制台控制和管理所有端点。
集成
- Trellix 端点检测和响应。
- 特雷利克斯螺旋。
- 特雷利克斯见解。
- 思科。
Trellix 安全运营和分析的优缺点
| 优点 | 缺点 |
|---|---|
| 通过内置工作流程对潜在威胁进行集中查看,消除了复杂性。 | 需要完整的 Trellix 套件来提供完整的修复功能。 |
| 获得更高的透明度来监控用户、应用程序、网络和设备。 | 一些用户抱怨响应速度可能很慢。 |
| 实时威胁识别和响应可缩短防御威胁的准备时间。 | |
| 可以集成 650 多个第三方供应商的产品。 |
AT&T USM Anywhere:资产发现的最佳选择
AlienVault 统一安全管理平台 (USM) 现更名为 AT&T USM Anywhere。它发现资产并收集有关正在运行的服务、用户、操作系统和硬件信息的数据。这种资产焦点意味着它可以拾取其保护的环境中的任何设备。
为什么我选择 AT&T USM Anywhere
USM Anywhere 作为将威胁检测和资产发现置于首位的企业的可靠工具而在此列表中占有一席之地。它可以检测云、网络或本地的漏洞和威胁,使其成为适用于所有类型 IT 基础设施的虚拟检测解决方案。
定价
- 必需品——每月 1,075 美元;专为小型 IT 团队量身定制的安全性和合规性工具。
- 标准——每月 1,695 美元;迎合需要自动化和深入安全分析的 IT 安全团队。
- 高级版——每月 2,595 美元;面向目标是满足 PCI DSS 审核要求的 IT 安全团队。
- 您还可以回答 USM Anywhere 的在线表格以获得个性化报价。
特征
- 自动收集和分析整个攻击面的数据。
- 威胁情报由 AT&T Alien Labs 提供。
- 支持 AlienApps 生态系统,以协调和自动化针对其他安全技术的操作并响应事件。
集成
- AWS。
- 天蓝色。
- 思科。
- GCP。
Trellix 安全运营和分析的优缺点
| 优点 | 缺点 |
|---|---|
| 适合那些希望由其他人管理网络安全和 SIEM 服务的人。 | 不适合出于敏感性或合规性原因需要对其自身资产保持严格控制的组织。 |
SIEM 软件的主要功能
所有 SIEM 软件工具都负责日志监控和管理。其他重要功能包括该工具是否基于云、是否可以在本地托管、是否包含修复功能以及在什么平台上运行。
云
如今,大多数 SIEM 软件都基于云。基于云的产品更易于部署、更易于管理且更易于运行。由于如此多的企业在一个或多个云中运营,云中的 SIEM 工具是必备的。一些供应商在软件即服务 (SaaS) 的基础上提供 SIEM,而其他供应商则将其作为完全托管的服务提供。
本地托管
由于隐私、安全或合规性原因,一些企业不愿意在云中运营。他们需要在自己的内部服务器上加载 SIEM。有些供应商提供此选项,而其他供应商则不提供。
补救措施
SIEM 最初是一种简化安全日志编译和分析的方法。它为企业提供了一种评估大量日志条目和警报并检测潜在问题或入侵的方法。然而,最近 SIEM 平台已开始添加修复功能。有些提供了自动执行有限数量的修复操作的方法。但有一些工具可以提供广泛的安全补救措施,无论是在 SIEM 本身内还是通过同一供应商提供的集成或关联工具。
看:(科技共和国高级版)
平台
SIEM 市场竞争非常激烈。大多数供应商必须提供可在所有主要操作系统和云环境上运行的工具。但可能会有一些漏洞。例如,那些广泛使用 Google Chrome 的用户可能会发现他们的 SIEM 选项有限。因此,验证您选择的潜在供应商是否已完全设置好在您的环境中运行其系统至关重要。
如何为我的业务选择最佳的 SIEM 软件?
这里概述的每一种产品都提供高质量的安全保护,并且对任何组织都有价值 - 每个组织都需要某种程度的基于日志的实时安全分析来帮助预防和检测威胁。
选择 SIEM 软件时做出正确的选择将取决于公司的优先级、要求、预算、IT 专业知识水平以及评估和处理威胁的 IT 可用性水平。如果钱不是问题,并且技术人员无法或不愿意卷起袖子解决安全风险,那么像 USM Anywhere 这样的托管 SIEM 可能是最佳选择。如果公司预算不太稳健,并且内部人才和时间充足,SolarWinds SEM、Datadog 或 AlienVault 将是候选者之一。否则,LogRhythm、CrowdStrike、Splunk、RSA、IBM QRadar 和 ManageEngine 等选项应优先考虑。
方法论
我在此介绍的 SIEM 工具是根据对官方安全功能包含的广泛评估、分析报告中的突出程度以及实际用户评论而选择的。每个 SIEM 解决方案都根据其优缺点、安全功能和价格进行了分析。
此外,还重点关注每个 SIEM 工具如何用于某些用例和业务。这考虑了每个产品的专业化以及哪些类型的组织可以最好地最大化其功能集。
最后,该候选名单还考虑了与第三方安全服务集成的种类和数量。这是为了确保在企业现有架构中顺利采用 SIEM 解决方案,并确保 SIEM 本身在整个组织的 IT 基础设施中无缝监控数据点。
本文发表于 2024 年 12 月。由 Luis Millares 于 2025 年 6 月更新。