Micro Focus ArcsSight 和 Splunk 在安全信息和事件管理(SIEM) 空间中运行。两者都提供对安全事件、潜在威胁和日志分析的广泛监控和分析。
寻找通用SIEM 平台的买家可能会在他们的强大候选人名单中找到这两种解决方案。不过,总体而言,有很多差异可能会吸引有不同目标的买家。下面来看看这两个平台,以及它们的比较方式。
ArcSight 与 Splunk:主要功能比较
Splunk 平台包括对大量 IT 数据的搜索、监控和分析,以识别数据模式、提供指标、诊断问题并帮助制定业务和 IT 决策。
为了了解 Splunk 的范围,SIEM 可以被认为只是其功能库的一小部分。除了安全性之外,Splunk 还包含应用程序性能监控(APM)、合规性、自动化、编排、取证,以及与IT 服务管理(ITSM) 和 IT 运营管理 (ITOM) 相关的大量功能。
Splunk 广泛的产品和功能集中在 Splunk Observability Suite 中。该平台可用于分析、摄取和存储数据以供以后使用,以及检测影响客户的问题。总体而言,它提供了广泛的管理。那些希望以集成方式管理 SIEM、ITOM 和 ITSM 的人会发现 Splunk 是完成这项工作的好工具。它提供了丰富的实时可视化和分析功能,以及管理和监控。
ArcSight ESM(企业安全管理器)是一个可以跟踪和分析安全问题并管理安全策略的 SIEM 平台。它可以快速检测并解决网络安全威胁。功能包括事件收集、实时事件管理、日志管理、自动响应和合规管理。
ArcSight 为安全运营团队带来了原生SOAR 技术。它使用 SmartConnector 转换来自网络的设备事件数据以进行关联。它在监控事件、运行报告、生成资源和调查问题方面做得很好。最近,ArcSight 一直在改进其存储和云功能。它为它收集的大量日志存储库提供了更多的日志存储选项。它还推出了 SIEM 即服务选项,该选项在云中运行。它通过访问更多威胁研究资源和威胁情报源来增强其安全能力。
Splunk 自称是一个完整的平台,可以处理与 SIEM、安全和 ITOM 相关的一切。它的冒险远远超出了 SIEM。ArcSight 更加专注于 SIEM。因此,在决定选择 Splunk 和 Micro Focus 之前,应考虑现有的安全和管理工具堆栈。
那些拥有过时工具且需要彻底检修的公司可能会倾向于使用 Splunk,因为它具有更广泛的功能集。当您可以从 Splunk 购买一种并将它们全部集成时,为什么还要购买五种不同的管理工具?然而,那些已经很好地提供了现有 APM、ITOM、ITSM 和其他工具并且只需要 SIEM 和一些分析的人应该支持 ArcSight 并同时升级其他工具集。
对于整体功能,Splunk 胜出。但是对于那些不需要 Splunk 提供的一切的人来说,ArcSight 是一个明确的选择。
ArcSight 与 Splunk:支持和实施比较
ArcSight 支持总体评价良好,但这取决于合同中的支持级别。有人说 ArcSight 因其产品深度,需要专人操作,可能相当复杂。通常需要供应商帮助来启动和运行系统。在 ArcSight 中可以做的事情太多,以至于有些用户会迷失方向。一旦你知道查询是伟大的。但是,如果查询不够具体,则可能会浪费大量时间来摄取和分析不相关的数据。
Splunk 被认为更容易实现。初始部署可以通过云来完成。由于 Splunk 的规模和复杂性,它需要更高水平的熟练内部资源以及供应商支持来部署和操作。用户报告说,Splunk 的复杂性反映在易用性上。那些非常熟悉该平台的人会发现它很容易。其他人都有一个陡峭的学习曲线。在这个类别中没有明确的赢家。
ArcSight 与 Splunk:比较云和本地
Splunk 在云端诞生和成长。它不提供本地设备,但如果需要,可提供用于现场部署的软件。但大多数人在云中使用它。ArcSight 具有适用于云或本地(设备或软件)的选项。
在此类别中,Splunk 在云中胜出,ArcSight 在本地胜出。Splunk 可以通过云直接安装到公共、私有或混合云环境中。也就是说,ArcSight 最近更新了其平台,为其云产品添加了功能,这更接近于追赶 Splunk。
ArcSight 与 Splunk:集成比较
Splunk 的一大优势和关键区别在于它能够集成来自大量来源的数据流。一些用户每天摄取几个 PB。它支持多种数据格式,如 .xml、.csv 和 .json 文件。那些需要来自多种数据格式的数据流集成的需求者应该选择 Splunk,因为它在其应用商店中提供了 1,000 多个应用程序作为附加组件。它还领导着一个由 30 个合作伙伴组成的安全合作联盟。
ArcSight 每秒可以处理数百个数据源和数万个事件。它集成了机器学习和人工智能工具。由于它是一个开放的平台,它可以与 SOC 环境深度集成。SmartConnector 转换来自网络的设备事件数据以进行关联。Splunk 在这里赢了,但赢不了多少。
ArcSight 与 Splunk:分析和搜索比较
Splunk 是关于监控和分析从各种机器生成的数据。它非常适合分析企业系统生成的大量日志文件。它消除了 IT 花费数小时浏览所有日志以在 IT 大海捞针中寻找性能指标的需要。它利用搜索处理语言来查找日志文件中存在的术语。例如,Splunk 提供了丰富的实时可视化和分析功能。如果实时管理和监控是至关重要的,那么这就是一场无可匹敌的比赛。但它确实是有代价的。
ArcSight 实时丰富数据以提高分析准确性。用户评论说搜索和分析性能非常好。查询很简单,图表会自动创建。如果需要,它可以处理数十万台服务器并从所有服务器中提取数据。
Splunk 在分析方面胜出一筹,而 ArcSight 在搜索方面胜出。
ArcSight 与 Splunk:价格比较
Splunk 和 ArcSight 都不便宜。Splunk 中的各种模块以昂贵着称。此外,追加销售可以使预算更高。例如,您需要 SIEM 模块,然后您询问性能监控——它添加了 APM 模块,然后慢慢地其他模块进入并且价格标签上升。这在 IT 中是很正常的。但是,当您已经在处理一个昂贵的平台时,重要的是要确定您真正需要什么以及可以省去什么。
ArcSight 也很昂贵。它的定价基于每秒摄取的数据和事件。Splunk 更喜欢根据每日最大数据量定价。因此,最经济的平台将因企业而异,具体取决于工作负载的运行方式和性能/数据模式。
ArcSight 与 Splunk:结论
Splunk 和 ArcSight 都是出色的工具,旨在解决与安全和性能监控相关的许多挑战。任何一个都不会错得太远。两者在 SIEM 中都很强大。来自各种 IT 评论网站的总体用户评分显示 Splunk 略高于 ArcSight。Splunk 在最新的 Gartner SIEM 魔力象限中被视为领导者。Micro Focus 被列在利基解决方案类别中,但这当然意味着它在该利基中很强大。
Splunk 是一个更广泛的平台和工具集,在快速分析日志文件和理解海量数据方面证明是非常宝贵的,因此 IT 知道发生了什么。无论是性能下降还是安全入侵,Splunk 都是领先一步的好方法。在与 SIEM 直接相关的许多功能上,ArcSight 可以与 Splunk 相媲美。
最终在这两者之间的选择归结为需求。那些想要一个包罗万象的安全和 IT 管理平台的人会发现 Splunk 更接近他们的需求。此外,那些拥有老化应用程序并准备进行重大管理改造的人会发现 Splunk 非常适合。它覆盖了大量的土地。但如果只需要 SIEM,那么等式就会发生变化。ArcSight 开始在许多方面与 Splunk 竞争。
标签:
版权声明:本文由用户上传,如有侵权请联系删除!