IBM lần thứ 11 liên tiếp dẫn đầu bảng đánh giá của Gartner cho SIEM

IBM lần thứ 11 liên tiếp dẫn đầu bảng đánh giá của Gartner cho SIEM

February 21, 2020 | vietsunshine

Giải pháp SIEM (Security Information and Event Management) đang ngày càng được các doanh nghiệp, tổ chức đặc biệt quan tâm do nhu cầu phân tích dữ liệu sự kiện bảo mật trong thời gian thực, hỗ trợ phát hiện sớm các cuộc tấn công và vi phạm. Các hệ thống SIEM thu thập, lưu trữ, điều tra, hỗ trợ giảm thiểu và báo cáo dữ liệu bảo mật để ứng phó sự cố, pháp y (forensics) và tuân thủ quy định.

Công nghệ SIEM tổng hợp dữ liệu sự kiện được stạo ra bởi các thiết bị bảo mật, cơ sở hạ tầng mạng, hệ thống máy chủ và thiết bị đầu cuối, ứng dụng và dịch vụ đám mây. Nguồn dữ liệu chính là dữ liệu log, , nhưng công nghệ SIEM cũng có thể xử lý các dạng dữ liệu khác, chẳng hạn như mạng tư xa (ví dụ như luồng và gói tin). Dữ liệu sự kiện được kết hợp với thông tin theo ngữ cảnh về người dùng, tài sản, mối đe dọa và lỗ hổng. Dữ liệu có thể được chuẩn hóa, để các sự kiện, dữ liệu và thông tin theo ngữ cảnh từ các nguồn khác nhau có thể được phân tích cho các mục đích cụ thể, như giám sát sự kiện an ninh mạng, giám sát hoạt động của người dùng và báo cáo tuân thủ. Công nghệ này cung cấp phân tích thời gian thực các sự kiện để theo dõi bảo mật, truy vấn và phân tích tầm xa để phân tích lịch sử và hỗ trợ khác cho điều tra và quản lý sự cố và báo cáo – ví dụ: cho các yêu cầu tuân thủ.

IBM dẫn đầu bảng đánh giá của Gartner cho SIEM năm 2020

IBM QRadar SIEM

IBM Security, hãng công nghệ có trụ sở tại Cambridge, Massachusetts, Mỹ, cung cấp một loạt các công nghệ và dịch vụ bảo mật. QRadar Security Intelligence Platform được xây dựng chủ yếu xung quanh giải pháp QRadar SIEM và bao gồm một số thành phần:

  • IBM QRadar Vulnerability Manager – tích hợp dữ liệu đánh giá lỗ hổng.
  • IBM QRadar Network Insights – Khả năng hiển thị ứng dụng QFl và kiểm tra nội dung gói.
  • QRadar Risk Manager – giám sát cấu hình thiết bị mạng và khả năng mô phỏng mối đe dọa.
  • IBM QRadar User Behavior Analytics (UBA) – mô-đun bổ trợ miễn phí giải quyết một số trường hợp mối đe dọa nội bộ.
  • IBM QRadar Incident Forensics – hỗ trợ điều tra pháp y (forensic investigation).
  • IBM QRadar Advisor with Watson – công cụ xác định nguyên nhân gốc dựa trên phân tích nâng cao.

IBM cũng cung cấp Security App Exchange cho phép khách hàng QRadar tải xuống nội dung được phát triển bởi IBM hoặc các bên thứ ba để mở rộng phạm vi coverage hoặc đề xuất giá trị của IBM QRadar. Các giải pháp khác có liên quan của IBM bao gồm thiết bị IBM QRadar Network Packet Capture, cho khả năng pháp y mạng mạnh hơn và IBM Resilient, một giải pháp SOAR đã hỗ trợ, tích hợp hai chiều giữa Resilient và giải pháp SIEM QRadar. Điều này có thể giúp các tổ chức tinh giản các quy trình xử lý sự cố bảo mật của họ.

IBM QRadar SIEM có thể được triển khai tại chỗ (on-premises), thông qua các gói phần mềm và thiết bị ảo phần cứng (hardware virtual) hoặc có thể được lưu trữ trên đám mây thông qua giải pháp SIEM dựa trên đám mây của IBM (QROC). License Core SIEM dựa trên tốc độ sự kiện của khách hàng (số lượng EPS trên các nguồn dữ liệu trong phạm vi) và lưu lượng mỗi phút (FPM). Nó có thể được mua thông qua license vĩnh viễn hoặc có thời hạn (chỉ được cung cấp nếu khách hàng mua QROC).

Giá cho các thành phần khác trong IBM QRadar Security Intelligence Platform phụ thuộc vào số liệu tương ứng của chúng, ví dụ:

  • Số lượng luồng (flow) cho BM QRadar Network Insights
  • Số lượng tài sản trong phạm vi dành cho IBM QRadar Vulnerability Manager
  • Số lượng hệ thống mà dữ liệu cấu hình được lấy từ IBM QRadar Risk Manager

QRadar Network Insights chỉ có sẵn ở định dạng thiết bị phần cứng và QRadar Incident Forensics chỉ được bán dưới dạng license vĩnh viễn.

Trong 12 tháng qua, IBM đã cải thiện hiệu quả cảnh báo thông qua Tuning App của mình, đơn giản hóa việc nhập dữ liệu từ nhiều nguồn khác nhau, nhờ đó trích xuất các thuộc tính sự kiện từ định dạng nhật ký chung có thể được thực hiện với ít hoặc không cần tùy chỉnh. IBM cũng đã ánh xạ QRadar Advisor với Watson vào MITRE ATT&CK framework. IBM có một cơ sở khách hàng rộng lớn về phía người dùng cuối và phía MSSP và có xu hướng thu hút các tổ chức lớn hơn, bằng cách cung cấp một nền tảng mạnh mẽ để xây dựng chức năng phát hiện và phản ứng mối đe dọa. Tuy nhiên, các tổ chức nhỏ hơn cũng có thể được hưởng lợi từ giải pháp QRadar SIEM với tính dễ sử dụng và các nội dung đa dạng cho các trường hợp sử dụng bảo mật kém tiên tiến hơn.

Điểm mạnh của giải pháp IBM Qrada SIEM

  • Chiến lược bán hàng: IBM có nhiều nguồn lực nội bộ và quan hệ đối tác để hỗ trợ bán hàng, triển khai và hỗ trợ vận hành, bao gồm các dịch vụ được quản lý cho QRadar, trên nhiều khu vực địa lý.
  • Triển khai/Hỗ trợ: QRadar cung cấp cho người dùng các tùy chọn mở rộng trong kiến trúc triển khai, với sự lựa chọn các yếu tố hình thức có thể được triển khai trong các kết hợp khác nhau. Chúng bao gồm các thiết bị vật lý và ảo có thể là tất cả trong một và các thành phần riêng biệt, cũng như license mang theo bạn để triển khai đám mây. Ngoại lệ là thành phần Network Insights, chỉ có sẵn dưới dạng thiết bị vật lý.
  • Hoạt động: QRadar có API mở rộng để cho phép khách hàng và đối tác phát triển tích hợp với nền tảng. Thị trường ứng dụng có tích hợp rộng rãi được cung cấp bởi IBM và các bên thứ ba.
  • Sản phẩm: QRadar cung cấp các khả năng mạnh mẽ để quản lý bộ sưu tập các sự kiện. Người dùng có thể định cấu hình ghi nhật ký để tự động phát hiện nhiều định dạng sự kiện, với các tùy chọn để lọc chúng, chuyển tiếp chúng đến phân tích thời gian thực hoặc bỏ qua tầng phân tích và gửi đến kho lưu trữ dữ liệu.

VietSunshine là nhà phân phối chính thức của IBM Security tại Việt Nam, vui lòng liên hệ để được hỗ trợ và báo giá tốt nhất.

Nguồn: Magic Quadrant for Security Information and Event Management

Xem thêm:

Tags: ,

Recent Blog