Da AlienVault® OSSIM™ a AlienVault® Unified Security Management: perché migrare alla versione USM?

Hai trovato soddisfacente la versione di AlienVault® OSSIM™, ma non è più sufficiente a coprire le esigenze della tua azienda o ente?
Oppure vuoi utilizzare le funzionalità che aiutano a monitorare o gestire con maggiore efficienza la sicurezza della tua rete?

In questo articolo ti raccontiamo le differenze tra la versione open source AlienVault® OSSIM™ e la versione AlienVault® USM, con tutte le sue funzionalità in più e le caratteristiche superiori.

Scendiamo nel dettaglio per capire meglio.

AlienVault® OSSIM™: un prodotto open source da cui partire

AlienVault® OSSIM™ è un prodotto open source, progettato per monitorare un ambiente locale. Il codice sorgente può essere modificato e adattato.

Le funzionalità di AlienVault® OSSIM™ sono:

  • Raccolta eventi
  • Normalizzazione
  • Correlazione

OSSIM™ viene distribuito a server singolo e non ha un livello di gestione dei registri, per cui è possibile installare nuovi sensori nel server, ma il passaggio delle informazioni avviene attraverso il motore di correlazione SIEM incorporato. Si stabiliscono perciò regole di correlazione per identificare le minacce.

Questo SIEM open source richiede un grande lavoro manuale, dal momento che il software è poco automatizzato.

La versione OSSIM™ può esserti utile anche per testare il prodotto prima di acquistare una licenza USM.

AlienVault® Unified Security Management: un sistema di sicurezza completo, in un unico pannello di gestione

AlienVault® Unified Security Management (USM) è la versione che può essere acquistata con abbonamento mensile, con piani di licenza adatti a budget e ad esigenze dimensionali diverse.

USM è un prodotto SaaS basato su cloud AWS e Microsoft Azure, i cui sensori virtuali locali vengono eseguiti su VMware e Microsoft Hyper-V. Inoltre è possibile installare ulteriori componenti sugli Endpoint Linux e Windows.

I dati relativi la rete viaggiano attraverso una connessione crittografata con AlienVault® Secure Cloud.

Le informazioni del cliente sono riposte in un archivio dati singolo, mentre ad ogni cliente corrispondono credenziali SSH univoche.

AlienVault® Unified Security Management permette di gestire tutte le funzioni di SIEM da un unico pannello di controllo, con implementazioni multilivello rese possibili dalla sua architettura federata. Quest’ultima risulta particolarmente congeniale su ambienti distribuiti e MSSP.

USM™ Central infine permette di monitorare contemporaneamente e in maniera centralizzata tutti gli allarmi.

AlienVault® Unified Security Management vs AlienVault® OSSIM™: le funzionalità

 AlienVault® USMAlienVault® OSSIM™
Security Essential
  • individuazione e inventario delle risorse
  • valutazione delle vulnerabilità
  • rilevamento delle intrusioni
  • monitoraggio comportamentale
  • SIEM Event Correlation
  • individuazione e inventario delle risorse
  • valutazione delle vulnerabilità
  • rilevamento delle intrusioni
  • monitoraggio comportamentale
  • SIEM Event Correlation

ha però bisogno di tempi di analisi più lunghi.

Asset Discovery and Inventory
  • rilevamento delle risorse integrato
  • scansione della rete per identificare risorse
  • rilevamento di risorse all’interno di Amazon Web Services e Microsoft Azure
  • rilevamento delle risorse integrato
  • scansione della rete per identificare risorse
Vulnerability Assessment
  • pianificazione delle scansioni di vulnerabilità delle risorse
  • database robusto e dinamico con nuove firme aggiuntive sempre aggiornat
  • pianificazione delle scansioni di vulnerabilità delle risorse
  • database piccolo e statico, che può essere aggiornato solo manualmente
Intrusion Detection
  • personalizzazione delle regole
  • aggiornamenti costanti sulle minacce da AlienVault® Labs
  • tempi di risposta rapidi
  • numero limitato di regole di correlazione statica
Behavioral Monitoring
  • regole di monitoraggio create da AlienVault® Labs
  • regole di monitoraggio create manualmente dall’utente
SIEM Event Correlation
  • funzionalità SIEM con motore che rende più rapida la risposta
  • query ad hoc su big data
  • monitoraggio ambienti IT cloud e locali
  • granularità
  • funzionalità SIEM
End point Detection e Response
  • funzionalità EDR con possibilità di distribuire agenti AlienVault® sugli host del cliente per il monitoraggio continuo degli endpoint e delle query proattive durante indagini sugli incidenti
  • funzionalità EDR standard
Log Management and Log Retention
  • gestione dei registri
  • ricerca dei registri
  • sicurezza di conservazione dei log a lungo termine con cold storage a 12 mesi
  • Conserva in registro solo eventi SIEM

Quando migrare da OSSIM™ a USM

Se AlienVault® OSSIM™, ma non è più sufficiente per le tue esigenze e vuoi una gestione più efficiente e completa della sicurezza delle tue reti informatiche aziendali, ti consigliamo di valutare l’acquisto della licenza USM.

Con un solo strumento riuscirai a gestire tanti diversi aspetti della tua sicurezza informatica.
Nel whitepaper scaricabile puoi approfondire le differenze tra le versioni OSSIM™ e USM di AlienVault®: la lettura ti sarà utile per capire se è il momento di fare un salto di qualità.

SCARICA IL WHITEPAPER