TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
สำหรับวงการ Enterprise IT เมืองไทย คงไม่มีใครไม่รู้จัก Gartner Magic Quadrant (MQ) กันอย่างแน่นอน คราวนี้มาดูกันบ้างครับว่า Magic Quadrant สำหรับ Security Information and Event Management หรือย่อกันว่า SIEM ในปี 2014 นี้ผลจะเป็นอย่างไร
SIEM คืออะไร?
SIEM คือระบบจัดเก็บและวิเคราะห์ข้อมูลความปลอดภัยของระบบเครือข่ายขององค์กร เพื่อนำข้อมูลเหล่านั้นไปใช้ในการโต้ตอบการโจมตีที่เกิดขึ้น, การตรวจสอบการกระทำผิด และการทำ Compliance ภายในองค์กรนั่นเอง โดยพื้นฐานแล้ว ข้อมูลที่จะนำมาทำการวิเคราะห์นี้จะเป็นข้อมูล Log จากอุปกรณ์รักษาความปลอดภัยเครือข่าย, อุปกรณ์เครือข่าย, ระบบงานต่างๆ และ Application เอง แต่ผู้ผลิตบางรายก็อาจนำข้อมูลอื่นๆ มาวิเคราะห์เพิ่มเติมได้อีก เช่น NetFlow และ Packet Capture เป็นต้น ซึ่งระบบ SIEM นี้ก็จะนำข้อมูลทั้งหมดนี้มาทำการ Normalize และ Correlate เพื่อค้นหาต้นตอและเป้าประสงค์ของการโจมตีหรือทุจริตในรูปแบบต่างๆ ได้ ทั้งในแบบ Real-time และตรวจสอบย้อนหลัง
สำหรับ MQ ของ SIEM ในปี 2014 นี้ มี Vendor อยู่ในรายชื่อด้วยกันทั้งสิ้น 15 เจ้า ทางทีมงาน TechTalkThai ขอสรุปแค่เจ้าที่อยู่ในส่วนของ Leader ด้วยกัน 5 เจ้า ดังนี้
IBM Security
หรือที่รู้จักกันในชื่อของ QRadar ที่ Vendor ชั้นนำอย่าง Juniper และ Extreme Networks ได้ทำการ OEM ไปเป็น SIEM ของตัวเองนั่นเอง โดยทาง Gartner ได้กล่าวถึงจุดเด่นในการรวมข้อมูลทางด้านความปลอดภัยทั้งจากข้อมูลจาก Network Traffic ผ่านทาง NetFlow DPI, Full Packet Capture มาควบรวมกับข้อมูลจาก Log, ข้อมูลการตั้งค่าอุปกรณ์ และข้อมูลช่องโหว่ที่ตรวจสอบพบเข้าด้วยกัน เสริมด้วยเทคโนโลยี Behavior Analysis ตรวจสอบพฤติกรรมผิดปกติในระบบเครือข่าย อีกทั้งยังมีลูกค้ารายใหญ่อยู่มากมายทั่วโลก
HP
หลายคนคงคุ้นเคยกับชื่อของ ArcSight มากกว่า โดย HP มีจุดแข็งทางด้านมีความสามารถของระบบ Security Event Management อย่างครอบคลุม มี ArcSight Express สำหรับเจาะตลาดองค์กรขนาดกลางโดยเฉพาะ และยังมี ArcSight Logger สำหรับทำ Log Management และทำ Event Archiving ได้ รวมถึงยังมี Optional Module สำหรับใช้งานในกรณีต่างๆ ได้อย่างยืดหยุ่นอีกด้วย
Splunk
โซลูชันในระดับ Log Management และ Log Analytic ของ Splunk (pre-SIEM) ก็ถือว่ามีประโยชน์ทางด้านการวิเคราะห์ข้อมูลความปลอดภัยองค์กรมากแล้ว อีกทั้ง Dashboard ยังมีความยืดหยุ่นสูงมาก สามารถปรับแต่งได้ตามความต้องการ และยังสามารถทำการเชื่อมต่อเพื่อรับข้อมูล Threat Intelligence ได้ทั้งจากผลิตภัณฑ์ Commercial และ Opensource หลากหลายเจ้า
McAfee
ตอนนี้ถูก Intel ซื้อกิจการไปเรียบร้อยแล้ว โดยนอกจากการทำ SIEM ตามปกติแล้ว McAfee ยังสามารถตรวจสอบ Database Event Monitor (DEM), Application Data Monitor (ADM) และ Global Threat Intelligence (GTI) โดยยังสามารถทำการเชื่อมต่อกับ Industrial Control System (ICS) และ SCADA ได้อีกด้วย
LogRhythm
มีความสามารถครอบคลุมเหนือกว่าคู่แข่งอื่น เนื่องจากสามารถทำได้ทั้ง Log Management, Reporting, Event Management, Privileged User Monitoring, File Integrity Monitoring และ Network Forensic ในโซลูชันเดียว โดยทั้งหมดนี้ยังสามารถติดตั้งใช้งานและดูแลรักษาได้โดยง่ายอีกด้วย
ส่วนใครที่ต้องการดูรายละเอียดเต็มๆ ก็เข้าไปลงทะเบียนเพื่ออ่านข้อมูลได้จากที่นี่เลยครับ https://www14.software.ibm.com/webapp/iwm/web/signup.do?source=swg-WW_Security_Organic&S_PKG=ov24138
