CDIC 2023

เผยผลการจัดอันดับ Gartner Magic Quadrant for SIEM ประจำปี 2014 – IBM Security มาเป็นอันดับหนึ่ง

gartner_logo

สำหรับวงการ Enterprise IT เมืองไทย คงไม่มีใครไม่รู้จัก Gartner Magic Quadrant (MQ) กันอย่างแน่นอน คราวนี้มาดูกันบ้างครับว่า Magic Quadrant สำหรับ Security Information and Event Management หรือย่อกันว่า SIEM ในปี 2014 นี้ผลจะเป็นอย่างไร

SIEM คืออะไร?

SIEM คือระบบจัดเก็บและวิเคราะห์ข้อมูลความปลอดภัยของระบบเครือข่ายขององค์กร เพื่อนำข้อมูลเหล่านั้นไปใช้ในการโต้ตอบการโจมตีที่เกิดขึ้น, การตรวจสอบการกระทำผิด และการทำ Compliance ภายในองค์กรนั่นเอง โดยพื้นฐานแล้ว ข้อมูลที่จะนำมาทำการวิเคราะห์นี้จะเป็นข้อมูล Log จากอุปกรณ์รักษาความปลอดภัยเครือข่าย, อุปกรณ์เครือข่าย, ระบบงานต่างๆ และ Application เอง แต่ผู้ผลิตบางรายก็อาจนำข้อมูลอื่นๆ มาวิเคราะห์เพิ่มเติมได้อีก เช่น NetFlow และ Packet Capture เป็นต้น ซึ่งระบบ SIEM นี้ก็จะนำข้อมูลทั้งหมดนี้มาทำการ Normalize และ Correlate เพื่อค้นหาต้นตอและเป้าประสงค์ของการโจมตีหรือทุจริตในรูปแบบต่างๆ ได้ ทั้งในแบบ Real-time และตรวจสอบย้อนหลัง

สำหรับ MQ ของ SIEM ในปี 2014 นี้ มี Vendor อยู่ในรายชื่อด้วยกันทั้งสิ้น 15 เจ้า ทางทีมงาน TechTalkThai ขอสรุปแค่เจ้าที่อยู่ในส่วนของ Leader ด้วยกัน 5 เจ้า ดังนี้

gartner_siem_2014

IBM Security

หรือที่รู้จักกันในชื่อของ QRadar ที่ Vendor ชั้นนำอย่าง Juniper และ Extreme Networks ได้ทำการ OEM ไปเป็น SIEM ของตัวเองนั่นเอง โดยทาง Gartner ได้กล่าวถึงจุดเด่นในการรวมข้อมูลทางด้านความปลอดภัยทั้งจากข้อมูลจาก Network Traffic ผ่านทาง NetFlow DPI, Full Packet Capture มาควบรวมกับข้อมูลจาก Log, ข้อมูลการตั้งค่าอุปกรณ์ และข้อมูลช่องโหว่ที่ตรวจสอบพบเข้าด้วยกัน เสริมด้วยเทคโนโลยี Behavior Analysis ตรวจสอบพฤติกรรมผิดปกติในระบบเครือข่าย อีกทั้งยังมีลูกค้ารายใหญ่อยู่มากมายทั่วโลก

HP

หลายคนคงคุ้นเคยกับชื่อของ ArcSight มากกว่า โดย HP มีจุดแข็งทางด้านมีความสามารถของระบบ Security Event Management อย่างครอบคลุม มี ArcSight Express สำหรับเจาะตลาดองค์กรขนาดกลางโดยเฉพาะ และยังมี ArcSight Logger สำหรับทำ Log Management และทำ Event Archiving ได้ รวมถึงยังมี Optional Module สำหรับใช้งานในกรณีต่างๆ ได้อย่างยืดหยุ่นอีกด้วย

Splunk

โซลูชันในระดับ Log Management และ Log Analytic ของ Splunk (pre-SIEM) ก็ถือว่ามีประโยชน์ทางด้านการวิเคราะห์ข้อมูลความปลอดภัยองค์กรมากแล้ว อีกทั้ง Dashboard ยังมีความยืดหยุ่นสูงมาก สามารถปรับแต่งได้ตามความต้องการ และยังสามารถทำการเชื่อมต่อเพื่อรับข้อมูล Threat Intelligence ได้ทั้งจากผลิตภัณฑ์ Commercial และ Opensource หลากหลายเจ้า

McAfee

ตอนนี้ถูก Intel ซื้อกิจการไปเรียบร้อยแล้ว โดยนอกจากการทำ SIEM ตามปกติแล้ว McAfee ยังสามารถตรวจสอบ Database Event Monitor (DEM), Application Data Monitor (ADM) และ Global Threat Intelligence (GTI) โดยยังสามารถทำการเชื่อมต่อกับ Industrial Control System (ICS) และ SCADA ได้อีกด้วย

LogRhythm

มีความสามารถครอบคลุมเหนือกว่าคู่แข่งอื่น เนื่องจากสามารถทำได้ทั้ง Log Management, Reporting, Event Management, Privileged User Monitoring, File Integrity Monitoring และ Network Forensic ในโซลูชันเดียว โดยทั้งหมดนี้ยังสามารถติดตั้งใช้งานและดูแลรักษาได้โดยง่ายอีกด้วย

ส่วนใครที่ต้องการดูรายละเอียดเต็มๆ ก็เข้าไปลงทะเบียนเพื่ออ่านข้อมูลได้จากที่นี่เลยครับ https://www14.software.ibm.com/webapp/iwm/web/signup.do?source=swg-WW_Security_Organic&S_PKG=ov24138


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ยกระดับบริการขององค์กรอย่างมั่นใจด้วย HPE Aruba Networking SASE โดย ยิบอินซอย

HPE Aruba Networking นำเสนอ Unified SASE ที่รวมเอาความสามารถของเทคโนโลยี SD-WAN และ SSE เข้าไว้ด้วยกัน เพื่อความง่ายดายในการบริหารจัดการ SD-WAN, Routing, WAN Optimization ตลอดจนการบังคับใช้นโยบายความปลอดภัยได้แบบ end-to-end เพื่อให้การทำงานของแอปพลิเคชันมีประสิทธิภาพสูงขึ้น มั่นคงปลอดภัย ลดต้นทุน และพร้อมให้บริการเสมอ

Microsoft แพตช์แก้ไขช่องโหว่เร่งด่วน 2 รายการให้ Edge, Teams และ Skype

Microsoft ได้แก้ไขช่องโหว่ Heap Buffer Overflow 2 รายการอย่างเร่งด่วนในไลบรารีที่ผลิตภัณฑ์ของตนเกี่ยวข้อง ทั้งนี้มีรายงานพบว่าช่องโหว่ได้ถูกนำไปใช้โจมตีจริงแล้ว

Leave a Reply