Net Admin

Logpoint SIEM gennemgang og alternativer

LogPoint SIEM anmeldelse

Logpunkt SIEMsøger efter ondsindede hændelser på et it-system ved at kigge logfiler igennem og overvåge netværkstrafikken. Et SIEM er i stand til at kombinere detektionsmetoder og prøveindikatorer fra flere punkter på netværket for at spotte stealth-angreb og avancerede vedvarende trusler.

Om SIEM

SIEM står for Security Information and Event Management. Denne type system kombinerer to metoder til indtrængningsdetektion.

Et værtsbaseret system til registrering af indtrængen undersøger logfilerne på hvert endepunkt og også dem, der rejser over netværket. De to hovedstandarder for logmeddelelser er Windows-begivenheder til Windows-operativsystemet og Syslog , som fungerer på Linux, macOS og Unix. Ikke alle log-beskeder bliver automatisk arkiveret, så den første opgave for et SIEM-system er at levere en log-server, der indsamler og gemmer log-beskeder.

SIEM-værktøjet skal søge gennem logfiler fra forskellige kilder, så disse meddelelser skal omorganiseres til et neutralt format, før de gemmes. Denne opgave kaldes logkonsolidering. Den del af SIEM, der fungerer med logfiler, kaldes Security Event Management (SEM) .

Anden del af SIEM er Ja . Dette er Sikkerhedsinformationsstyring og det fungerer i realtid og indsamler live data for at lede efter mønstre af ondsindet aktivitet. Dette er netværksbaseret indtrængen detektion (NIDS) og det fungerer hovedsageligt gennem netværksovervågning.

SIM er øjeblikkeligt og kan spotte ubudne gæster meget hurtigt. De fleste hackere ved dog, hvordan man undgår detektionssystemer, såsom traditionelle signaturbaserede detektionsmetoder, der bruges af firewalls og NIDS-systemer. For eksempel opdager undersøgelse af pakkeheadere ikke typiske angrebssignaturer, der er opdelt på tværs af pakker.

Moderne hackermetoder kræver kombinationer af data for at få øje på. Denne opgave kan kun udføres retrospektivt. Ud over at scanne forbipasserende trafik genererer SIM-monitorer deres egne logfiler, der tilføjer den information, der er tilgængelig for det ledsagende SEM-system. Så SIM og SEM dækker hver for sig den andens svaghed.

Om Logpoint

Logpunkter et partnerskab med dets seniorpartnere, som alle er fremtrædende cybersikkerhedseksperter. Forretningen har hovedkontor i København, Danmark og har kontorer i Storbritannien, Frankrig, Tyskland, Sverige, Finland, USA og Nepal.

Logpoint SIEM er virksomhedens eneste produkt. Det modulære design af softwaren betyder dog, at SIEM-værktøjet virkelig er et bundt af sikkerhedsfaciliteter.

Logpoint SIEM-funktioner

Som virksomhedens navn antyder, er Logpoint meget stærk inden for logmeddelelseshåndtering og -analyse. Logdataanalyse er dog kun halvdelen af ​​et SIEM-systems funktionalitet. Logpoint SIEM-tjenesten overvåger og analyserer også live-data.

LogPoint SIEM dashboard - Brugerkontostyring

Logstyring

Logpunkt SIEMer tilgængelig for virksomheder af enhver størrelse, men det vil være særligt tiltalende for store organisationer. Systemet er i stand til at behandle store mængder logmeddelelser. Dens højeste gennemløbshastighed er en million hændelser pr. sekund (EPS) fra op til 25.000 forskellige hændelseskilder.

Logpoint SIEM-softwaren er et Linux-baseret system , så det er meget velvilligt indstillet til at indsamle Syslog-meddelelser. Dette er dog ikke den eneste logmeddelelsestype, som systemet kan indsamle. Bemærkelsesværdige blandt de andre logmeddelelsesformater, som Logpoint SIEM indsamler, er Windows Event log-meddelelser.

Oprettelse af log-beskeder fra forskellige kilder resulterer i forskellige formater af meddelelser. SEM-systemer udmærker sig ved at konsolidere information fra mange kilder, og for at gøre dette skal Logpoint SIEM omorganisere alle modtagne logposter til et neutralt format. Dette gør det muligt at lagre logdata centralt, uanset hvilken standard, der blev fulgt ved oprettelsen.

Avanceret trusselsbeskyttelse

An Advanced Persistent Threat (APT) er en meget almindelig hackeraktivitet i dag. Det indebærer, at hackergruppen får adgang til et privat system og foretager justeringer af enhedskonfigurationer for at gøre gentagen uopdaget adgang meget nemmere. Logpoint SIEM-tjenesten overvåger systemaktivitet ved at spore netværkstrafik.

LogPoint SIEM Advanced Threat Protection

Ved at analysere logdata og anvende mistanker hentet fra denne analyse til specifikke aktivitetskilder kan netværksadministratoren spare en masse tid og ressourcer. Det undgår at spilde kræfter på at undersøge al trafik. Resultaterne af logfilanalysen giver trafikovervågningstjenestespecifikke brugerkonti og IP-adresser, man skal holde øje med.

Brugerovervågning

Brugerkonti tilbyder den nemmeste måde for ubudne gæster at komme uden om et system uopdaget. Logpunkt SIEM vurderer alle eksisterende regnskaber at identificere forladte eller sjældent brugte konti, der ville være ideelle køretøjer for hackere. Logpoint-systemet indsamler også hændelseslogmeddelelser genereret af Active Directory at opdage mislykkede login-forsøg og brute force adgangskodeknækningshandlinger.

Logpoint SIEM-software inkluderer specialiseret Bruger- og enhedsadfærdsanalyse (UEBA) . Dette etablerer en baseline for typisk brugeradfærd og den normale trafik, der kan forventes fra hver enhed på netværket. UEBA-processen bruger maskinlæring til at etablere en basislinje for normal aktivitet. Dette er vigtigt, fordi et sæt 'out-of-the-box' af regler for registrering af uregelmæssigheder ikke vil gælde for alle brugere i enhver virksomhed i verden. Da SIEM'er begyndte, skabte anvendelsen af ​​faste regler for mange falske alarmer. UEBA skræddersyr advarselsindstillinger for at forhindre, at legitim aktivitet er blevet markeret som mistænkelig.

Trusselsintelligens

Logpoint giver SIEM-værktøjet information om typiske angrebsvektorer i form af en trusselsefterretningsfeed. Analytikere hos Logpoint undersøger konstant nye angrebsmetoder og udarbejder en liste over sårbarheder, der letter adgangen til avancerede vedvarende trusler. Logpoint SIEM fungerer også som en sårbarhedsscanner og vil identificere punkter på det overvågede system, der skal omkalibreres for at forhindre sådanne angreb i at ske.

Overholdelse af sikkerhedsstandarder

Som en EU-baseret virksomhed er Logpoint meget stærk på GDPR overholdelse. Sikkerhedsværktøjet har hele sektioner på dashboardet, der fokuserer på overholdelse af GDPR og inkluderer GDPR-revision og rapporteringsfunktioner.

LogPoint SIEM GDPR overholdelse

Placeringen af ​​data er særlig vigtig for GDPR. Det skyldes, at reglerne siger, at oplysninger om EU-borgere ikke skal sendes uden for EU. Logpoint SIEM er i stand til at spore alle forbindelser efter korrespondentens fysiske placering. Disse oplysninger præsenteres som live data og som en analytisk graf over historiske data.

Disse lokationsbaserede registreringer fremskynder overholdelsesrevision og rapportering for GDPR. De forudskrevne rapportformater, der leveres med Logpoint SIEM inkluderer en række layouts, der er nødvendige for GDPR overholdelse .

Hændelsesreaktion

Hændelsesreaktionsfunktionerne i Logpoint SIEM er afhængige af analyse af netværkstrafik og logfiler for at detektere mulige indtrængen eller insidertrusler. Registreringen af ​​mistænkelig aktivitet udløser advarsler til netværksledelsen, hver med en forklaring på årsagerne til advarslen. Systemscanninger som reaktion på ny trusselsintelligens producerer også anbefalinger til systemhærdning .

LogPoint SIEM Incident Response

Logpoint SIEM inkluderer ikke handlinger til reduktion af automatiseringstrusler. Dette kunne ses som en svaghed i Logpoint SIEM-tjenesten sammenlignet med mere proaktive rivaliserende SIEM-produkter. Virksomheder kan være nervøse for at lade et computerprogram styre aktiviteten ved at blokere trafik og lukke konti. I så fald ville Logpoint SIEMs strategi med handlingsanbefalinger frem for handlingsautomatisering være mere tiltalende.

Logpoint konfigurationsmuligheder

Logpoint SIEM-softwaren kører på Ubuntu Linux. Alternativt kan den køres på en virtuel maskine, i hvilket tilfælde den kan hostes på enhver server. Logpoint tilbyder også Logpoint SIEM som en appliance med al SIEM-softwaren forudindlæst.

Logpoint implementering

Softwaren er ikke så nem at konfigurere, og normalt går en af ​​Logpoint-distributørerne ind på klientsiden for at konfigurere softwaren. På den ene side er denne skræddersyede service en indikation af et højspecifikt produkt, men på den anden side kan denne installationsprocedure afskrække nogle potentielle kunder. Nogle vil måske være bekymrede for, at enhver ændring af IT-infrastrukturen vil kræve, at Logpoint-distributøren vender tilbage og ændrer softwareinstallationen, hvilket vil medføre udkaldsgebyrer.

Købsprocessen, som beskrevet på Logpoints hjemmeside, ser ud til at være en lang, udstrakt proces, begyndende med et værksted involverer nøgle IT-medarbejdere og Logpoint-konsulenter. Denne skræddersyede, konsulentbaserede tilgang står i stor kontrast til mange af de store SIEM-produkter, der er tilgængelige i dag.

I resten af ​​branchen er konkurrenterne til Logpoint gået over til cloud-tjenester. Disse systemer kræver et abonnement, og så er tjenesten tilgængelig med det samme. Wizards i dashboardet i SaaS SIEM'er guider den nye bruger mod at downloade et agentprogram, som derefter udfører en autodiscovery-procedure og selvinstallerer rundt på netværket.

Virksomheder, der ikke har et internt it-team, vil kæmpe med at finde nøglemedarbejdere til at sende til den indledende Logpoint-implementeringsworkshop og ville være bedre tjent med en af ​​de administrerede SIEM-tjenester, der nu er tilgængelige.

Logpoint dashboard

Logpoint brugermiljøet er farverig og attraktiv . Konsolskærmen er forsynet med faner, så brugere hurtigt kan skifte mellem data relateret til hvert detektionsmodul. Et eksempel er skærmen Brugerkontostyring, vist nedenfor.

LogPoint SIEM - tilføj brugerkontostyring

Analytiske funktioner i konsollen giver mulighed for at opdage korrelerede hændelser og beslutte passende svar. Ud over at præsentere hændelsesdata i grafisk form inkluderer Logpoint forudskrevne rapportformater ud af boksen. Den analytiske motor omfatter også ad-hoc søge- og sorteringsfunktioner som gør det muligt for analytikere at iværksætte deres egne undersøgelser.

Et eksempel på en dataanalyseskærm er vist nedenfor.

LogPoint SIEM - søg og sorter

I dette eksempel har analytikeren bedt Logpoint SIEM om at plotte data fra flere dage for at lede efter en avanceret vedvarende trussel. Analyseperioder kan justeres for at vise hændelser over en justerbar tidsperiode, ikke kun seneste data.

For at finde ud af mere om priser, tilmeld dig entilbud og en gratis demo.

Logpoint SIEM Tilmeld dig en GRATIS demo

Alternativer til Logpoint

Logpoints implementeringsmodel er meget elegant, og alle præinstallationsmøder med konsulenter vil formentlig appellere til store virksomheders it-direktører. Små, budgetbevidste virksomheder vil dog ikke have pengene eller tiden til at gå igennem alle de forhindringer, som køb af denne sikkerhedssoftware synes at involvere. Hvorfor ikke bare tilmelde dig et af de andre SIEM-værktøjer på markedet online og få det til at installere sig selv?

Logpoint er meget stærk på logstyring og analyse men der er stærkere rivaler, der har bedre trafikovervågningsmuligheder. Virksomheder, der ønsker at implementere et SIEM-værktøj automatiseret trusselbegrænsning ville også være bedre stillet med et af de andre SIEM-værktøjer på markedet.

For at finde ud af mere om SIEM og de bedste systemer, der konkurrerer på markedet, så tag et kig på vores indlæg om de bedste SIEM-værktøjer . I stedet kan du ansætte et team af SIEM-eksperter på abonnementsbasis, se bedst administrerede SIEM-tjenester stolpe.

Her er de ti bedste alternativer til Logpoint SIEM:

  1. SolarWinds Security Event Manager (GRATIS PRØVE) Et SIEM-værktøj, der inkluderer hændelsesrespons i realtid og prækonfigurerede standardoverholdelsesmodeller. Denne software installeres på Windows Server. Start en 30-dages gratis prøveperiode.
  2. ManageEngine EventLog Analyzer (GRATIS PRØVE) Dette system er en del af en suite af infrastrukturstyringsværktøjer, der alle kan integreres sammen. EventLog Analyzer giver SIM-funktioner, mensLog360kunne tilføjes til SEM-tjenester. Det installeres på Windows og Linux. Få adgang til den 30-dages gratis prøveperiode.
  3. Datadog Sikkerhedsovervågning Dette er et cloud-baseret infrastrukturovervågningssystem, der inkluderer et SIEM-sikkerhedsovervågningsmodul.
  4. McAfee Enterprise Security Manager Et SIEM-værktøj, der er særligt stærkt til Active Directory-administration. Det installeres på Windows og macOS.
  5. Fortinet FortiSIEM En omfattende omfatter automatiserede forsvarsreaktioner. Det er baseret på skyen med onsite agentsoftware.
  6. Rapid7 InsightIDR En cloud-baseret sikkerhedstjeneste, der inkluderer enhedsovervågningsagentsoftware til installation. Det er nemt at installere og inkluderer automatisk trusselsbegrænsning.
  7. OSSEC En gratis open source IDS med særligt fokus på loganalyse. Det installeres på Windows, macOS, Linux og Unix.
  8. LogRhythm NextGen SIEM-platform Indeholder AI-metoder til trafik- og loganalyse. Det installeres på Windows og Linux.
  9. AT&T Cybersecurity AlienVault Unified Security Management En fuld IDS, der kunne klassificeres som SIEM plus, fordi den inkluderer en hel række af detektionsmetoder og systemmonitorer. Det kører på Windows og macOS.
^