Güvenlik Bilgileri ve Olay Yönetimi (SIEM) için Magic Quadrant

Güvenlik Bilgileri ve Olay Yönetimi (SIEM) için Magic Quadrant

SIEM teknolojisi, kapsamlı tehdit tespiti, inceleme ve müdahale yetenekleri sunan bir güvenlik kayıt sistemi sağlamak üzere, birden fazla özellik ve dağıtım modeli aracılığıyla gelişmeye devam etmektedir.

Pazar Tanımı ve Açıklaması

Güvenlik bilgileri ve olay yönetimi (SIEM), on-prem  ve bulut ortamlarından güvenlik olayı verilerini toplayan, birleştiren ve analiz eden, yapılandırılabilir bir kayıt sistemidir. SIEM, tehdit tespiti, inceleme ve müdahale amacıyla güvenlik olayı verilerini işler. Veri normalleştirmeyi doğal olarak destekler ve tehdit azaltmayı düzenlemek ve uyumluluk gereksinimlerini karşılamak için kullanıcı tarafından yapılandırılabilir tespit içeriği ve raporlama sunar. Bu çözümler bir bulut platformu veya istemci tarafından barındırılan on-prem ya da özel bulut aracılığıyla sunulur.

Bir SIEM sistemi şu konularda yardımcı olmalıdır:

• Çeşitli BT ve operasyonel teknoloji (OT) ortamlarından verileri birleştirme ve normalleştirme.
• Neredeyse gerçek zamanlı izleme ve uyarı içeriği tasarlama ve yürütme.
• İlgili güvenlik olaylarını zenginleştirme ve inceleme.
• Manuel ve otomatik müdahale eylemlerini destekleme.
• Mevcut ve geçmiş olay verilerini sürdürme ve raporlama.

Temel Yetenekler

• On-prem ve/veya bulut altyapısında bulunan geniş bir varlık yelpazesinden altyapı detaylarının ve güvenlikle ilgili verilerin toplanması.
• Temel olay verilerinin uzun süreli saklanmasını ve/veya uzun süreli aramalarda kullanılabilir olmasını sağlayan esnek veri saklama seçenekleri.
• Son kullanıcıların korelasyon, analitik ve imza tabanlı yöntemler kullanarak tehdit tespiti kullanım senaryolarını kendi başlarına geliştirebilme, değiştirebilme ve sürdürebilme yeteneği.
• Hem yerel hem de yerel olmayan çözümler için güvenlik tespiti ve müdahalesine (analitik, veri normalleştirme, toplama korelasyonu, zenginleştirme ve raporlama) yönelik sağlayıcı tarafından sunulan içerik.
• Tespit ve müdahale içeriği oluşturma ve özelleştirme yeteneği.
• Gerektiğinde iş, uyumluluk ve denetim ihtiyaçlarını desteklemek için rapor oluşturma.
• Olay müdahale faaliyetlerini ve raporlamayı desteklemek için istemci tarafından oluşturulan iş akışı artırma yeteneği.
• Aktif tespit içeriği tarafından oluşturulan keşfedilen güvenlik uyarılarını inceleme, kanıtlama ve raporlama yeteneği.

Gelişmiş Özellikler

• Dosya işleme, API ile alınan veya sistem yapılandırma verileri gibi statik telemetrinin yanı sıra akış halindeki olay verilerini de içeren karma veri toplama yöntemlerine izin verme.
• On-premises, bulutta barındırılan ve hizmet olarak yazılım (SaaS) gibi çeşitli dağıtım seçenekleri.
• Tehdit istihbaratı kaynakları veya yapılandırma yönetimi veritabanları (CMDB) gibi üçüncü taraf sistemlerden veri alımını normalleştirme, zenginleştirme ve risk puanlama.
• Vaka yönetimi süreci sağlama ve olay müdahale eylemlerini destekleme.
• Otomasyon, ortak görevlerin düzenlenmesi ve yapay zeka kullanımı gibi iş akışı artırma özellikleri.
• Saldırı faaliyetlerini gösteren kullanıcı, ağ, uygulamalar veya nesneler gibi geniş bir davranış yelpazesinde tespitler oluşturmak için çeşitli veri bilimi tekniklerini kullanma yeteneği.
• İstihbarat akışlarını yönetmek ve yerel tehdit istihbaratını içerebilecek tehditler hakkında bağlamsal bilgi sağlamak için tehdit istihbaratı platformu yetenekleri.
• İstemcilerin tehdit içeriğine abone olmalarını sağlayan ve üçüncü taraf teknolojilerle entegrasyonu kolaylaştıran bir pazar yeri.
• Merkezi bir arayüz kullanarak analiz ve işlevselliğe olanak tanıyan, farklı satıcıların SIEM ortamlarına yönelik birleşik arama.
• Satıcı veri havuzunun dışından olayları sorgulamak ve uygun olduğunda ek zenginleştirici bilgileri çekmek için merkezi olmayan arama işlevselliği.
• Uç nokta (EDR), ağ (NDR) veya diğer genişletilmiş telemetri ve müdahale yeteneklerinin kullanımını içeren genişletilmiş tespit ve müdahale (XDR) birlikte çalışabilirliği.
• Depolama ve arama için üçüncü taraf veri gölü platformu entegrasyonları.

Şekil 1: Güvenlik Bilgileri ve Olay Yönetimi Magic Quadrant’ı

ManageEngine

ManageEngine, bu Magic Quadrant’ta “Niche Player” olarak yerini aldı. SIEM çözümü olan Log360, bulut tabanlıdır ve kendi veri merkezinden dağıtılır. UEBA, SOAR ve veri kaybı önleme (DLP), SaaS lisansına eklenti olarak dahil edilmiştir. Ek olarak ManageEngine, Firewall Analyzer, Vulnerability Manager Plus ve FileAnalysis gibi güvenlik ürünleri de sunmaktadır. ManageEngine, gelişmiş tehdit tespiti kullanım senaryosu desteğini, genişletilmiş satıcı entegrasyonlarını ve bir saldırı yüzeyi analiz aracını geliştirmek için Vigil IQ motoruna yatırım yapmaya devam etmektedir. Lisanslama, özelleştirilebilir saklama süreleriyle bulutta günde depolanan gigabayt miktarına dayanmaktadır. Müşterileri öncelikli olarak Kuzey Amerika, Avrupa ve Asya/Pasifik’te bulunan büyük ve orta ölçekli işletmelerdir.

Log360’ın Fark Yaratan Yönleri

• İş Akışı Geliştirme: Zoho’nun otomasyon platformu olan Qntrl Circuit (eski adıyla Zoho Circuit), otomasyon ve orkestrasyon yetenekleri ekleyerek Log360’ı geliştirir ve diğer Zoho çözümleriyle birleşik bir arayüz sunar.
• Birleşik ManageEngine Deneyimi: Kullanıcı karmaşıklığını azaltmak için ManageEngine’in Log360 platformu, tehdit tespiti ve olay müdahale yeteneklerini diğer araçlarıyla entegre ederek birleşik bir deneyim sunar.
• Dark Web Entegrasyonu: Constella Intelligence ile olan entegrasyonu sayesinde Log360, dark web tehditleri için proaktif tespit ve müdahale sağlar. Bu, kuruluşların ele geçirilmiş kimlik bilgilerini hızla belirlemesine ve derhal harekete geçmesine olanak tanır.

Daha fazla bilgi almak için tıklayın: https://www.manageengine.com/log-management/?pos=notfound&loc=ProdMenu&cat=SIEM