Sistemele SIEM au evoluat într-o platformă de securitate completă, cu funcționalități multiple și modele de implementare diverse, oferind un sistem de referință în materie de securitate, cu capabilități extinse de detecție, investigare și răspuns la amenințări. Această cercetare sprijină liderii în securitate și managementul riscurilor să evalueze furnizorii din acest domeniu.
Sistemele SIEM trebuie să asiste în:
- Agregarea și normalizarea datelor din medii diverse de tehnologie informațională (IT) și tehnologie operațională (OT);
- Identificarea și investigarea evenimentelor de securitate relevante;
- Sprijinirea acțiunilor de răspuns, manuale sau automatizate;
- Menținerea evidenței și raportarea evenimentelor de securitate curente și istorice.
Funcționalități esențiale
Capabilitățile obligatorii pentru acest segment de piață includ:
- Colectarea detaliilor despre infrastructură și a datelor relevante pentru securitate dintr-o gamă largă de active aflate local (on-premises) și/sau în infrastructuri cloud.
- Posibilitatea ca utilizatorii finali să își dezvolte, modifice și întrețină propriile cazuri de utilizare pentru detecția amenințărilor, folosind metode bazate pe corelare, analize și semnături.
- Furnizarea de conținut din partea furnizorului SIEM, precum și suport pentru conținut creat de client, în domenii precum: analize, normalizare, colectare și îmbogățirea datelor.
- Funcționalități de gestionare a cazurilor și sprijin pentru activitățile de răspuns la incidente.
- Generarea de rapoarte pentru a răspunde cerințelor de business, conformitate și audit.
Funcționalități standard
Capabilitățile standard pentru acest segment includ:
- Stocarea pe termen lung a datelor esențiale privind evenimentele de securitate și punerea acestora la dispoziție pentru interogări;
- Colectarea datelor de eveniment din surse disparate, utilizând diverse mecanisme (fluxuri de jurnale/loguri, API-uri, procesare fișiere), în scopul utilizării în scenarii de detecție, raportare și investigație;
- Oferirea de opțiuni multiple de implementare: local (on-premises), găzduite în cloud, cloud-native sau ca serviciu (SaaS);
- Normalizarea, îmbogățirea și scorarea riscurilor pe baza datelor provenite din sisteme terțe;
- Orchestrarea și automatizarea sarcinilor și a fluxurilor de lucru pentru a îmbunătăți investigațiile și a limita impactul incidentelor;
- Funcționalitate completă de tip SOAR (orchestrare, automatizare și răspuns în securitate);
- Capacități analitice avansate, inclusiv analize comportamentale ale entităților utilizatoare (UEBA), știința datelor (machine learning supervizat și nesupervizat, rețele neuronale profunde/recursiv);
- Capabilități de platformă de informații despre amenințări (TIP), pentru gestionarea inteligenței și oferirea de context privind amenințările.
Funcționalități opționale
Capabilitățile opționale pentru acest segment includ:
- Platforme care permit clienților să se aboneze la conținut de tip threat intelligence și să faciliteze integrarea cu tehnologii terțe, inclusiv magazine de aplicații, piețe digitale și soluții integrate;
- Căutare federată în medii diverse;
- Funcționalitate de căutare descentralizată, pentru a interoga evenimente aflate în afara depozitului de date SIEM și a aduce informații suplimentare relevante;
- Tehnologii complementare, adesea sub forma EDR (detecție și răspuns la nivelul endpointurilor) și NDR (detecție și răspuns la nivelul rețelei);
- Integrare cu platforme de tip data lake pentru stocare;
- Stocarea pe termen lung a datelor esențiale privind evenimentele de securitate și disponibilitatea acestora pentru căutări ulterioare.
Gurucul – Viziune și inovație în Magic Quadrant 2024 pentru SIEM
Gurucul este poziționat ca „Visionary” în raportul Gartner Magic Quadrant 2024 pentru Security Information and Event Management (SIEM) – o recunoaștere pentru abordarea sa avansată, bazată pe analitică și detecție comportamentală.
Ce oferă Gurucul:
O platformă de ultimă generație, orientată pe analiză, care integrează:
👉 UEBA (User and Entity Behavior Analytics)
👉 Analytics pentru identitate, fraudă și rețea
👉 Funcționalități SOAR (Security Orchestration, Automation and Response)
Prețuri flexibile: per activ/user, pe module, volum de date, EPS sau model ELA.
Capabilități avansate de detecție a riscurilor prin profiluri comportamentale, extrem de utile în scenarii complexe și detecția fraudelor.
Prezență globală și adaptabilitate:
Cu un portofoliu solid de clienți enterprise în America de Nord, EMEA și APAC, Gurucul își extinde capacitățile pentru a monitoriza inclusiv instrumentele bazate pe AI și modele lingvistice de mari dimensiuni (LLM).
Puncte forte:
Detecție comportamentală de top: Inteligență integrată și posibilități de customizare pentru scenarii avansate.
Arhitectură extensibilă și multicloud: Flexibilitate în alegerea surselor de date și a stocării, cu optimizare a costurilor.
Profilare a riscului: Obiectele similare sunt grupate automat și evaluate în raport cu un baseline, pentru prioritizarea incidentelor.
Aspecte de luat în considerare:
Potrivit mai ales pentru organizații mari și echipe de securitate experimentate.
Funcționalitățile SOAR sunt incluse, dar mai puțin avansate comparativ cu liderii din domeniu.
Vizibilitatea de piață este încă în creștere, deși progresul în marketing este evident.
Gurucul este o alegere inteligentă pentru companiile care își doresc detecții bazate pe comportament și o arhitectură de securitate scalabilă, într-un peisaj IT din ce în ce mai complex.
