十大事件响应安全工具和服务商
事件响应是一个较为复杂的安全流程,需要多种工具和技术的协同配合。企业可以选择合适工具自行建设事件响应能力(本地部署),也可以外包给专业的安全服务提供商。
在介绍十大知名事件响应工具和服务商之前,我们先对事件响应工具和服务进行简单的介绍:
事件响应工具
事件响应工具可以帮助企业自动化检测、调查和响应安全事件。常见的事件响应工具包括以下几类:
安全信息和事件管理(SIEM)系统:SIEM系统可以收集来自网络、系统和应用程序的大量日志数据,并通过分析这些数据来识别潜在的安全威胁。
端点检测和响应(EDR)系统:EDR系统可以监控和分析端点设备的行为,以检测和响应安全事件。
威胁情报(TI)系统:威胁情报系统可以提供有关已知和潜在威胁的信息,帮助企业提高安全态势感知。
安全编排、协调和响应(SOAR)系统:SOAR系统可以自动化事件响应流程,提高响应效率。
事件响应服务
专业的安全服务提供商可以提供全面的事件响应服务,具体包括以下几类:
24/7监控和响应:安全服务提供商可以通过24/7监控来检测安全事件,并在发生事件时立即进行响应。
调查和分析:安全服务提供商可以利用其专业知识和经验来调查安全事件,并分析事件原因和影响。
恢复和修复:安全服务提供商可以帮助企业恢复受损系统和数据,并修复安全漏洞。
选择事件响应解决方案
本地部署还是外包?
事件响应需要多种工具和技术,包括端点产品、网络安全平台、专门的恶意软件分析工具和具有自动化功能的软件,无法通过一体化平台完成。
大多数企业已经拥有事件响应相关安全工具,包括SIEM系统、漏洞扫描器、端点检测和响应(EDR)、反恶意软件和防火墙等。最近,用户行为分析(UBA);安全编排、自动化和响应(SOAR);扩展检测和响应(XDR)也开始进入企业的“武器库”,已经拥有上述工具的企业更适合尝试本地部署和执行事件响应任务。
选择本地部署还是外包,还与企业所面临威胁的性质和复杂性有关。安全团队需要使用风险分析和业务影响分析来确定事件响应的类型,并制定事件响应计划。本地部署适合相对简单的威胁。
如果风险和业务影响分析表明可能发生更严重的事件,企业可能需要考虑规划流程外包给安全服务提供商。此外,在多地拥有分支机构的企业也可能更适合外包,因为每个地点可能有不同的风险、威胁和漏洞,并且每个地点可能需要定制方案来满足其独特的需求。
另外,企业还要考虑人员配置,以及是否拥有具备完成事件响应生命周期流程所需的专业员工,以及足够的预算。
如何选择事件响应工具
使用风险和业务影响分析来识别企业可能发生的安全事件,以此确定需要哪些工具。
在购买事件响应工具包时,请考虑这些工具是否及如何协同工作。工具的可集成性对于确保正确的分析、调查和响应非常重要。单个安全供应商通常可以提供多种技术,来自不同供应商的工具也可以相互连接以共享信息并协同进行事件响应。
事件响应工具的选型还应该考虑事件响应标准和框架,并从合规性和审计的角度来评估,这一点也很重要。
十大事件响应工具
事件响应生命周期需要多种工具,为了便于用户了解流行的事件响应工具功能、交付方式和定价模式,我们整理了全球较为知名的十种事件响应工具的信息如下:
1.AT&T USM Anywhere
AT&T的统一安全管理(USM) Anywhere提供自动威胁检测,其威胁情报来自AT&T AlienLabs安全团队和AT&T AlienLabs Open Threat Exchange。AT&T的USM产品具有发现功能(包括网络资产发现和云资产发现)、分析功能(包括SIEM事件关联和用户活动监控)、检测功能(包括云入侵检测和EDR)、事件响应、漏洞扫描和暗网监控功能,以及报告功能。
USM Anywhere是一款SaaS产品,提供Essentials、Standard和Premium三种套餐,起价分别为每月1075美元至2595美元。
2.CrowdStrike Falcon Insight
CrowdStrike Falcon Insight是一个XDR和EDR平台,具有连续日志记录、人工智能驱动的威胁检测、威胁搜寻、态势感知、响应、简化的通知和威胁优先级分类功能。Falcon Insight可与CrowdStrike的SOAR平台FalconFusion集成实现自动响应功能。警报可映射到MitreATT&CK框架。
Falcon Insight也是一款SaaS产品,作为Falcon Enterprise和Elite软件包的一部分提供,按端点数量销售订阅许可。
3.Cynet 360 AutoXDR平台
Cynet 360 AutoXDR平台将威胁检测和预防、日志分析和数据关联以及事件响应和自动化集成到一个平台中。功能包括EDR、UBA、网络检测和响应(NDR)、欺骗技术、沙箱和威胁情报,以及SaaS安全态势管理和云安全态势管理。
该产品支持云端、混合或本地部署。集成了Cynet的24/7托管检测和响应服务CyOps,无需额外付费。
4.Datadog云SIEM
平台提供商Datadog提供基于云的SIEM和自动化事件管理集成。Cloud SIEM结合了可观察性和安全调查,映射到Mitre ATT&CK框架,并具有自定义规则编辑器,可帮助团队检测和响应跨应用程序、网络、工作负载和基础设施的威胁。
产品定价标准为每月每百万分析事件5美元,按年计费,自动化工作流程单独计费。还可提供按需定价。
5.Exabeam Fusion
Exabeam Fusion是一个云端交付产品,结合了SIEM和XDR功能,Exabeam将其称为“新一代SIEM”。Fusion具有威胁检测、调查和响应、日志管理和分析功能。它还包括UBA、企业通用信息模型、警报优先级以及报告和仪表板。可选的事件响应程序附加组件可帮助协调和自动化响应。
Exabeam Fusion的威胁情报源基于其自身的威胁情报服务,无需额外付费。
6.IBM安全QRadar
IBM的事件响应安全产品套件QRadar包括以下功能:
QRadar EDR,具有攻击可见性、人工智能驱动的警报管理和勒索软件预防功能。
QRadar LogInsights,提供可见性、可观察性、人工智能驱动的风险优先级和自动威胁调查。
QRadar SIEM,具有NDR、UBA和威胁情报功能。
QRadar SOAR,提供自动化攻击响应和工作流程以及可定制的剧本。
QRadar SIEM使用安全和行为分析来检测异常,提供优先级警报并与Mitre ATT&CK框架保持一致。它可以作为本地软件、云部署或通过QRadar on Cloud的SaaS提供。
定价基于每秒的事件数或每分钟的流量,作为无限制的基于服务器的许可证或基于订阅的许可证。请联系该公司了解定价。
7.KnowBe4 PhishER网络钓鱼事件响应
安全意识培训和模拟网络钓鱼平台供应商KnowBe4的PhishER是一个基于云的网络钓鱼事件响应平台,可帮助事件响应团队检测和响应网络钓鱼相关的安全事件。该公司将其描述为一个轻量级的电子邮件SOAR平台,可以分析传入的消息(邮件),根据威胁级别进行过滤,并自动对潜在威胁进行优先级排序。其PhishRIP功能可隔离所有员工邮箱中的潜在威胁。
PhishER是一款SaaS产品,按用户数量定价。
8.LogRhythm SIEM
LogRhythm的SIEM平台结合了日志管理、分析、UBA、网络流量分析、SOAR和端点监控,可帮助安全团队提高可见性、防止暴露,并快速有效地检测和响应威胁。它与该公司的威胁情报服务以及第三方威胁源集成。
该产品可通过托管安全服务提供商在本地、云端部署,或作为Axon平台中的SaaS进行部署。
9.Splunk Enterprise Security
Splunk Enterprise Security是一款SIEM产品,位于Splunk平台之上。Splunk Enterprise Security可作在云端、本地或混合部署使用,提供基于风险的警报、威胁检测以及分析和响应功能。该产品提供所谓的“自适应响应”的自动响应功能;为了进一步实现自动化,可以使用Splunk SOAR。其他集成包括Splunk UBA、Splunk On-Call(一种警报和消息传递事件响应工具)、IT服务情报(一个监控和可见性插件)。Splunk Enterprise Security映射到MitreATT&CK框架、NIST、互联网安全中心的关键安全控制和网络杀伤链等框架。
Splunk Enterprise Security提供基于工作负载和数据处理量的多种定价模式。
10.XMatters
软件公司Everbridge的XMatters是一个服务可靠性平台,可实现自动化事件管理,同时也提供事件响应的分析、协作和报告功能。XMatter作为SaaS产品面向DevOps以及运营团队和工程师,但它也可以帮助解决IT事件以及网络安全事件响应。
XMatttters提供免费、基本、标准和高级四种定价,不同级别包含的事件响应功能不同。
将本文加入收藏夹
新闻详情
