AlienVault vs QRadar
Não é incomum que as organizações encontrem centenas de incidentes de segurança diariamente, desde cutucadas e cutucadas triviais de script kiddies até atividades nefastas que constituem o funcionamento interno de ameaças persistentes avançadas (APTs). Transformar esse volume de dados em informações acionáveis é impossível sem a ajuda da inteligência de segurança, especificamente, os recursos analíticos das ferramentas de gerenciamento de eventos e informações de segurança (SIEM). O AlienVault USM e o IBM QRadar são duas plataformas líderes que se concentram fortemente nessas áreas - vamos ver como elas se comparam nessa comparação.
É claro que essas plataformas fazem muito mais do que o SIEM, pois nenhuma tecnologia ou abordagem única de segurança cibernética pode proteger totalmente contra a miríade de ameaças cibernéticas que as empresas enfrentam hoje. A segurança em camadas é a melhor aposta para proteção contra ataques cibernéticos, e tanto o AlienVault quanto o IBM QRadar consistem em uma combinação de gerenciamento de vulnerabilidades, detecção de anomalias, monitoramento de segurança, recursos de resposta a incidentes e muito mais.
Cofre Alienígena
O projeto Open Source Security Information Management (OSSIM) da AlienVault - uma plataforma SIEM líder em uso generalizado - é indiscutivelmente a reivindicação da fama da empresa. Seu conjunto de soluções de segurança gira essencialmente em torno do OSSIM para fornecer às organizações proteção contra ameaças de nível empresarial em vários níveis. A AlienVault Unified Security Platform (USM) é a principal oferta da empresa que combina um dispositivo virtual com detecção de intrusão baseada em rede e host, SIEM e inteligência contínua de ameaças.
Outra característica notável do AlienVault USM é o Open Threat Exchange: um banco de dados de segurança composto por 26.000+ participantes em 140 países que compartilham mais de um milhão de ameaças potenciais diariamente.
QRadar
A IBM tem adicionado constantemente fornecedores de segurança à sua lista de aquisições ao longo dos anos: Internet Security Systems, BigFix, Trusteer e, mais recentemente, Resilient Systems, para citar alguns. Em 2011, contratou o desenvolvedor de software de inteligência de segurança Q1 Labs e, com ele, o QRadar, marcando sua primeira incursão no espaço SIEM.
Atualmente, o IBM QRadar Security Intelligence Platform consiste em vários componentes gerenciados em um console unificado: QRadar SIEM, QFlow Collector para analisar o tráfego no nível do aplicativo, gerenciador de logs e scanner de vulnerabilidades do QRadar.
Pontuação lado a lado: AlienVault vs. QRadar
1. Conjunto de recursos
Ambas as plataformas possuem recursos poderosos que você esperaria de plataformas de segurança em camadas de nível empresarial. O AlienVault USM foi projetado para ser uma plataforma completa que combina SIEM, IDS baseado em rede/host, monitoramento de integridade de arquivos, avaliação de vulnerabilidades, descoberta de ativos e análise de fluxo de rede. Embora o QRadar forneça recursos como varredura de vulnerabilidades e análise de tráfego, sua principal força está em seus recursos de agregação/análise de dados de segurança e SIEM.
| AlientVault | QRadar |
| 5/5 | 4/5 |
2. Facilidade de uso
O QRadar é uma plataforma robusta fortemente focada no lado SIEM da equação de segurança, mas com esse poder vem a complexidade, especialmente quando se trata de configurar e ajustar o produto. Em contraste, o AlienVault USM é voltado para empresas de médio porte - isso se reflete em sua interface relativamente intuitiva e fácil de usar. Cada página do console de gerenciamento consiste em elementos interativos e personalizáveis.
| AlientVault | QRadar |
| 4/5 | 2/5 |
3. Apoio da Comunidade
Com o popular projeto OSSIM de código aberto em seu currículo, o AlienVault manteve seguidores fortes e leais entre a comunidade de código aberto, com amplos recursos de suporte da comunidade para o OSSIM. O IBM QRadar é principalmente uma oferta corporativa com recursos de suporte mínimos fora da IBM e de sua rede de parceiros, embora materiais de ajuda on-line substanciais possam ser acessados por meio dos wikis da comunidade do IBM developerWorks. Além disso, websites não afiliados à IBM, como o QRadar Insights, oferecem tutoriais e materiais de suporte limitados.
| AlientVault | QRadar |
| 5/5 | 3/5 |
4. Taxa de liberação
O AlienVault USM está atualmente na versão 5.3; O IBM QRadar está na versão 7.0. Tanto o AlienVault quanto o QRadar tiveram lançamentos regulares ao longo dos anos, e ambos os fornecedores mantêm históricos de versões disponíveis publicamente para suas respectivas plataformas.
| AlientVault | QRadar |
| 5/5 | 5/5 |
5. Preços e suporte
Um sistema de monitoramento não solucionará um erro de configuração. Um script de teste de configuração irá.
Como mencionado anteriormente, o AlienVault USM tem como alvo organizações de médio porte, e esse fato se reflete em seu preço: no nível mais baixo, o dispositivo virtual tudo-em-um pode ser adquirido por US$5050 - um preço acessível para organizações com orçamentos de segurança modestos. A plataforma IBM QRadar é um produto modular com várias opções por componente; Basta dizer que é um produto corporativo e tem o preço como tal. As implantações típicas chegam a dezenas de milhares e podem ultrapassar a marca de seis dígitos com todos os sinos e assobios. Quando comparado com o QRadar, as opções de suporte são mais baratas e prontamente disponíveis para o AlienVault USM.
| AlientVault | QRadar |
| 4/5 | 2/5 |
6. API e extensibilidade
O AlienVault não oferece API REST para integrar/personalizar sua plataforma USM; dito isso, ele oferece uma API baseada em Golang para sua plataforma de inteligência de crowdsourcing OTX. A plataforma pode ser estendida com uma variedade de plug-ins de fonte de dados de terceiros em sua biblioteca de plug-ins USM. Por outro lado, o QRadar oferece uma API RESTful bem documentada para acessar vários terminais de recursos da plataforma, desde o SIEM e o mecanismo de análise até o scanner de vulnerabilidade.
| AlientVault | QRadar |
| 3/5 | 5/5 |
7. Integrações de terceiros
O AlienVault OSSIM é um conjunto de integrações de código aberto: Snort para IDS, Nagios para monitoramento e OpenVAS para avaliação de vulnerabilidades, para citar alguns. Além disso, a plataforma USM se integra a vários dispositivos de segurança e oferece vários plug-ins de fonte de dados de terceiros de sua biblioteca de plug-ins. Da mesma forma, o QRadar oferece uma vasta biblioteca de plug-ins de terceiros - conhecidos como módulos de suporte a dispositivos (DSMs) - para coletar eventos de segurança gerados por uma infinidade de produtos de fornecedores: McAfee, Microsoft, Cisco, Salesforce, VMWare, Kaspersky e Juniper Networks, para citar alguns. O Security App Exchange da oferta também permite que os clientes escrevam e compartilhem aplicativos personalizados; a troca inclui contribuições da Bit9 + Carbon Black, BrightPoint Security, Exabeam e Resilient Systems, para citar alguns.
| AlientVault | QRadar |
| 5/5 | 5/5 |
8. Empresas que o utilizam
Tanto o AlienVault USM quanto o IBM QRadar são usados por empresas proeminentes em todo o mundo. A AlienVault conta com Subaru, Focus Brands, Hulu e a Força Aérea dos EUA como alguns de seus clientes; O IBM QRadar é usado pela Fidelity National Financial, pela Universidade de Chicago, pela Gamestop e muito mais.
| AlientVault | QRadar |
| 5/5 | 5/5 |
9. Curva de aprendizado
Apesar de um painel relativamente fácil de navegar e fácil de usar, a curva de aprendizado do QRadar é bastante íngreme, especialmente quando comparado ao AlienVault USM. A configuração orientada por assistente e o console de gerenciamento intuitivo tornam a atualização da plataforma uma tarefa trivial.
| AlientVault | QRadar |
| 5/5 | 2/5 |
10. Classificação de segurança
O AlienVault tem uma classificação de segurança acima da média de 751, embora a falta de segurança de transporte HTTP estrita o impeça de obter as melhores notas. A classificação de segurança 779 mais impressionante do IBM QRadar.
Placar e Resumo
| Cofre Alienígena | QRadar | |
| Conjunto de recursos | 5/5 | 4/5 |
| Facilidade de uso | 4/5 | 2/5 |
| Apoio da comunidade | 5/5 | 3/5 |
| Taxa de liberação | 5/5 | 5/5 |
| Preços e suporte | 4/5 | 2/5 |
| API e extensibilidade | 3/5 | 5/5 |
| Integração de terceiros | 5/5 | 5/5 |
| Empresas que o utilizam | 5/5 | 5/5 |
| Curva de aprendizado | 5/5 | 2/5 |
| Classificação de segurança | 751 | 779 |
| Total | 4,5/5 | 3.7 |
Resumindo, o AlienVault USM é uma aposta segura para organizações que procuram uma plataforma de segurança tudo-em-um relativamente acessível e competente. O IBM QRadar é uma poderosa plataforma de agregação de dados de segurança e SIEM, mas seu preço proibitivo e curva de aprendizado íngreme o tornam uma opção restrita a empresas com amplos recursos orçamentários e profissionais.