LogRhythm SIEM Review & Alternativer
LogRhythm er en af verdens mest innovative SIEM-løsninger med mulighed for at installere det on-premises eller få adgang til det som en cloud-tjeneste. SIEM-software er meget kompliceret og også meget kraftfuld. Udviklerne af pakken har dog tænkt meget over at gøre systemet nemt at bruge ved at inkludere Implementeringscenter , som implementerer guider til at guide brugeren gennem dataundersøgelsesopgaver.
Alt om SIEM
SIEM er en form for Intrusion Detection System (IDS) . Akronymet står for Sikkerhedsinformation og Event Management . Udtrykket angiver en blandet strategi, der består af to dataundersøgelsestilgange.
Sikkerhedsinformationsstyring (SIM) er praksis med at gennemse logfiler for indikationer på ondsindet aktivitet. Det er det, der kaldes en Værtsbaseret Intrusion Detection System (HIDS) .
Security Event Management (SEM) indebærer at se gennem forbipasserende trafik for uautoriseret aktivitet. Dette ligner Deep Packet Inspection (DPI) udføres af avancerede firewalls. SEM er en Netværksbaseret Intrusion Detection System (NIDS) der opererer på header-dataene for videregivelse af pakker for at udtrække information om brugernes aktiviteter.
Fordelen ved SEM er, at det er meget hurtigt. Hvis mistænkelig aktivitet opdages, kan denne aktivitet reageres med det samme. Dette er dog ikke særlig effektivt til at bekæmpe stealth hacker aktiviteter, som f.eks Advanced Persistent Threats (APT'er) . I en APT får en hackergruppe adgang til systemet og er i stand til at søge gennem filer og endda bruge systemressourcer til sine egne formål uden at blive opdaget. Hackeren unddrager sig opdagelse ved at operere gennem almindelige brugerkonti.
SIM kan identificere uautoriserede handlinger udført af legitime brugere. Dette opdager ikke kun APT'er, men blokerer også insidertrusler . En moderne hændelse for datatab kan kun identificeres ved at se på en række handlinger, som hver for sig virker harmløse, men når de undersøges sammen indikerer et angreb. Det store problem med SIM er, at det kan tage tid at opbygge et fuldt overblik over aktiviteter. På det tidspunkt, hvor et mistænkeligt aktivitetsmønster bliver synligt, er virksomhedens data sandsynligvis allerede blevet stjålet.
Ved at kombinere SIM og SEM kan SIEM-systemer forbedre hastigheden af trusselsidentifikation, samtidig med at de er i stand til at se angreb, der unddrager sig opdagelse med traditionelle cybersikkerhedsforanstaltninger. SIEM er ikke beregnet til at erstatte firewalls og andre grænseforsvar; det har til formål at identificere og spotte de typer angreb, som firewalls ikke kan blokere.
Om LogRhythm
LogRhythm, Inc startede sin virksomhed i 2003. Virksomheden er baseret i Boulder, Colorado men har også kontorer rundt om i verden. Virksomheden begyndte specifikt at udvikle sikkerhedsløsninger, der henter systemlogfiler til information. SIEM er et primært eksempel på et logfil-baseret system, og derfor var udviklingen af LogRhythm SIEM virksomhedens prioritet.
Virksomhedens stiftere, Chris Petersen og Philip Villella forsket i innovative metoder til logdataindsamling, formatering og behandlingsmetoder, og de har adskillige patenter på det felt. Det giver LogRhythm en konkurrencefordel på SIEM-markedet, fordi jo hurtigere logfilerne kan behandles, jo hurtigere kan en unormal hændelse opdages.
LogRhythm SIEM oversigt
Den fulde titel på LogRhythm SIEM er LogRhythm NextGen SIEM-platform . Tjenesten er sammensat af fem væsentlige elementer plus to valgfrie moduler. Disse er:
- NetMon – En live netværksmonitor, der udtrækker vigtig pakkeinformation til analyse.
- SysMon – En distribueret dataindsamlingsagent og slutpunktsmonitor.
- AnalytiX – En logmanager.
- DetectX – Trusselsjagtmodulet.
- RespondX – Et Security Orchestration and Response (SOAR) system.
- NetworkXDR – Et valgfrit modul, der giver forbedret netværksovervågning.
- UserXDR – Et valgfrit modul, der er en UEBA-løsning (User and Entity Behaviour analytics).
Hvert af disse moduler er forklaret yderligere nedenfor.
NetMon
NetMon er hovedkilden til live netværkstrafikdata til SIEM-analysemotoren. Den bruger Deep Packet Inspection (DPI) til at læse metadataene i pakkeoverskrifter. Dette gør det muligt for tjenesten at logge trafik pr. applikation, pr. bruger og pr. slutpunkt. Disse oplysninger er formateret i henhold til SmartFlow protokol til analyse, når den uploades til den centrale analytiske motor. Dette system samler netværksstakperspektiver hele vejen fra lag 2 til lag 7.
NetMon-modulet samler ikke kun data til analyse; den virker også. Det kan rekonstruere vedhæftede filer i e-mails, mens de rejser i en række pakker, opdage ondsindet indhold og slette dem, hvis der er tid, eller opdatere deres status på deres destination for at indikere et problem.
NetMon har sine egne netværksovervågningsskærme i LogRhythm-dashboardet, der inkluderer statusadvarsler og justerbare tærskler . Dataskærmene kan tilpasses, og netværkstrafikdata kan også føres til andre applikationer via en API. Trafikdata inkluderer kilden og destinationen for eksterne forbindelser, identificeret kommunikation med botnet-controllere og en opdaterbar liste over forbudte IP-adresser.
SysMon
SysMon er LogRhythms vigtigste dataindsamlingssystem. Den har komponenter på hvert overvåget slutpunkt, og den har også en central controller. Det Sysmon controller modtager data fra hver agent og sender instruktioner tilbage til svar.
Det SySMon-agenter installere på slutpunkter og servere for at indsamle logdata og generere proprietære LogRhythm-statistik og derefter sende dem til den centrale controller.
Opgaverne omfatter overvågning af filintegritet for at sikre, at der ikke manipuleres med lokale filer. Den centrale SysMon udfører samme pligt med indsamlede data. Agenterne overvåger også processer på hver maskine, udfører lokale sikkerhedstjek, herunder registerbeskyttelse, overvågning af tilsluttede enheder og blokerer ondsindet brugeradgang lokalt.
SysMon-agenterne bidrager også til live overvågning af netværkstrafik ved at logge hver forbindelse oprettet eller accepteret af den overvågede enhed. Alle aktiviteter på enhederne logges mod den brugerkonto, der var aktiv på det tidspunkt.
AnalytiX
AnalytiX er log manager af LogRhythm. Den modtager alle logdata kanaliseret af SysMon og sætter disse poster i et fælles format, før de sendes til Dashboardet til visning og arkivering.
Under omformatering af poster markerer AnalytiX mistænkelige handlinger og linker begivenheder. Logfilerne gemmes i meningsfulde mapper og en søgemaskinekomponent leveret af Elasticsearch gør disse rå logs tilgængelige for direkte adgang for brugeren og enhver anden interesseret part, såsom en standard compliance auditor.
DetectX
DetectX er trusseljæger af LogRhythm. Det tager de strukturerede filer, der er oprettet af AnalytiX, og anvender tjenesterdetektionsreglerne på dem. Denne komponent kan tilpasses kravene i datasikkerhedsstandarder. Reglerne for detektion bliver konstant opdateret af et live-trusselsefterretningsfeed.
DetectX-processen identificerer ondsindede aktiviteter og starter passende arbejdsgange for at lukke dem ned. Disse handlinger vil blive gennemført af SvarX .
SvarX
RespondX er Sikkerhedsorkestrering, automatisering og respons (SOAR) enhed af LogRhythm. Den linker til andre systemtjenester såsom firewalls og adgangsrettighedsadministratorer for at indsamle ekstra data og også implementere responsarbejdsgange.
RespondX-reduktionsmetoden kaldes SmartResponse Automation . Det ændrer firewall-regler for at blokere mistænkelige IP-adresser og grænseflader med brugeradgangssystemer for at suspendere konti.
NetworkXDR
NetworkXDR er et valgfrit modul, der forbedrer registreringsmulighederne i NetMon. Den er i stand til at spotte aktivitet på flere punkter på netværket, der indikerer en lateralt angreb . Det bruger maskinelæring at etablere en baseline for almindelig netværksaktivitet frem for at pålægge et tærskelniveau, der kunne være for stramt.
UserXDR
UserXDR er et valgfrit modul, der forbedrer brugeradfærdsovervågningen af SysMon. Dette er en Bruger- og enhedsadfærdsanalyse (UEBA) service, der anvender AI maskinlæring for at etablere et mønster af normal adfærd for hver bruger og brugergruppe.
UserXDR-systemet leder efter forladte konti, som er sikkerhedssvagheder. Det er også i stand til at administrere de tilladelser, der gives til brugere, der forbinder med deres egne enheder.
LogRhythm SIEM dashboard
Dashboardet til LogRhythm SIEM er webbaseret og kan tilgås fra enhver af følgende webbrowsere:
- Google Chrome
- Microsoft Internet Explorer
- Microsoft Edge
- Mozilla Firefox
SIEM'ens konsol er faner med Dashboard som et element i layoutet. Andre faner har adgang til hjælpeprogrammer såsom advarselslister og rapporter. Yderligere to faner nederst på skærmen giver adgang til en opgaveliste og direkte adgang til logfiler for søgninger.
Baggrunden på instrumentbrættet er sort med lysere farver, der bruges til tekst og grafik. Hver skærm i dashboardet tilbyder en blanding af grafer og tekstpaneler, som vist i eksemplet med Analysere dashboard nedenfor.
Hvert element på en skærm, såsom Analyse-dashboardet, giver adgang til en detaljeringsskærm. Elementer i et ligatabelpanel er aktive links til skærmbilleder med detaljer. Skærmene i Analyse-dashboardet tilbyder alle datafiltre så visualiserede data kan isoleres ned til en bestemt enhed eller bruger.
LogRhythm SIEM-konfigurationsmuligheder
LogRhythm SIEM-softwaren kører videre Windows Server 2012 og senere. LogRhythm kan også levere al softwaren til LogRhythm NextGen SIEM-platformen forudindlæst på en apparat . Systemet fås også som en cloud-baseret tjeneste , som omfatter processorkraft og lagerplads.
LogRhythm SIEM compliance rapportering
LogRhythm-systemet kan tilpasses til at fokusere på overholdelse af specifikke datasikkerhedsstandarder. Disse overholdelseskrav erstatter ikke standardprocedurerne i LogRhythm SIEM - enhver administrator har stadig adgang til alle standardskærme og -tjenester. Overholdelsestilpasningerne kommer i form af ekstra moduler, som kaldes compliance automationsmoduler .
Moduler er tilgængelige til følgende standarder:
- 201 CMR 17,00
- BSI IT grundlæggende beskyttelse
- CIS-kritiske sikkerhedskontroller
- DoDi 8500.2
- FISMA
- GDPR
- GLBA
- GPG 13
- HIPAA, HITECH & MU
- ISO 27001
- MERE TRMG
- NU 08-09 Rev 6
- NERC CIP
- NIST 800-53
- NIST Cybersecurity Framework
- NRC Regulatory Guide 57.1
- PCI DSS
- SOX
- UAE-NESA
Ud over at sørge for justeringer af sikkerhedsovervågningskontroller for at overholde den valgte standard, justerer et compliance-automatiseringsmodul også revisionssystemerne, så de passer til standardkravene. Modulet indeholder et bibliotek af rapportformater, der er nødvendige, når der genereres overholdelsesbevis. LogRhythm distribuerer opdateringer til disse moduler, hvis nogen af standarderne ændres.
Alternativer til LogRhythm SIEM
LogRhythm SIEM er svær at slå. Systemet er omfattende og inkluderer automatiserede svarmekanismer, som kan være store tidsbesparende. LogRhythm er dog ikke den eneste SIEM, der er tilgængelig på markedet, og enhver, der køber ny sikkerhedssoftware, vil sandsynligvis vurdere en række alternativer.
For at finde ud af mere om SIEM og de bedste systemer, der konkurrerer på markedet, tag et kig på Bedste SIEM-værktøjer . Hvis du ikke har tid til at læse den guide, er her vores liste over de ti bedste alternativer til LogRhythm SIEM.
- SolarWinds Security Event Manager (GRATIS PRØVE) Et værktøj, der giver logstyring til analyse af sikkerhedsdata. Det inkluderer ikke netværksovervågning, men kan forbedres med et tredjepartsfeed. Denne software installeres på Windows Server. Start 30-dages gratis prøveperiode.
- ManageEngine EventLog Analyzer (GRATIS PRØVE) Et logbaseret sikkerhedsanalysesystem, der leverer SIM-delen af SIEM. Dette kunne parres med OpManager for at levere live netværksdata og skabe en fuld SIEM. Det installeres på Windows og Linux. Få adgang til den 30-dages gratis prøveperiode.
- Datadog Sikkerhedsovervågning En cloud-baseret tjeneste, der kræver, at agentsoftware installeres på stedet. Dette sikkerhedssystem kan parres med et komplet netværksovervågningssystem.
- McAfee Enterprise Security Manager Et velplanlagt SIEM, der inkluderer logstyring og live-trafikovervågning. Dette sikkerhedssystem er forbedret af en højkvalitets trusselsintelligens-feed. Installeres på Windows og macOS.
- Fortinet FortiSIEM Et cloud-baseret SIEM-system, der implementerer agentsoftware på overvågede enheder for at give kontinuitet under netværksnedetid. Det inkluderer en række detektionsstrategier, såsom UEBA, og integrerer automatiserede forsvarsreaktioner.
- Rapid7 InsightIDR En imponerende cloud-baseret sikkerhedstjeneste, der sikrer kontinuitet i tjenesten gennem on-site agentmoduler. Det inkluderer UEBA og automatiseret trusselsrespons.
- OSSEC Et gratis open source værtsbaseret system til registrering af indtrængen, der giver SIM-funktioner. Det vil acceptere live netværksdata som yderligere input, men det skal leveres af et tredjepartsværktøj. Installeres på Windows, macOS, Linux og Unix.
- IBM QRadar En sikkerhedsintelligensplatform, der inkluderer et SIEM-modul. Elementer i SIEM omfatter sårbarhedsscanning, et feed for trusselsintelligens, live trafikanalyse og logstyringsfunktioner. Det kører på Windows Server.
- AT&T Cybersecurity AlienVault Unified Security Management Et velanset SIEM-system, der har økonomisk opbakning fra et meget stort multinationalt. Det kører på Windows og macOS.