Sumo Logic Review og alternativer
Du spekulerer måske på, om Sumo Logik er et SIEM-værktøj, er det korte svar ja. I sin kerne giver Sumo Logic sikkerhedsindsigt genereret fra hændelseslogfiler på tværs af flere kilder.
Er Sumo Logic et SIEM?
Sumo Logic tager disse logdata og kan automatisk advare dig om specifikke hændelser eller foretage automatisk handling for at løse problemer og stoppe trusler, før de skrider frem. Udover live alarmering og detektion har Sumo Logic mulighed for at parse gennem hændelseslogfiler for at skabe en retsmedicinsk analyse af et indtrængen eller et cyberangreb. Det er denne kombination af logstyring og realtidsbeskyttelse, der gør Sumo Logic til et fuldt udstyret SIEM-værktøj.
Hvordan virker Sumo Logic?
I sin kerne fungerer Sumo Logic ved at indsamle logdata på tværs af alle dine servere og analysere disse logfiler for at skabe realtidssikkerhed og driftsindsigt.
Under den indledende opsætning vil Sumo Logic kræve, at små agenter kaldet Collectors installeres på hvert endepunkt, du ønsker at indsamle data fra. Disse indsamlere er konfigureret til at trække relevante logoplysninger fra den server til din Sumo Logic-sky til behandling. Efterhånden som de ustrukturerede data kommer ind i systemet, kan Sumo Logic automatisk eller manuelt søges igennem for at opdage indtrængen, identificere insidertrusler eller levere årsagsanalyse til komplekse problemer.
At have en centraliseret SIEM-platform giver dig mulighed for at analysere sikkerhedshændelser fra ét sted, uanset hvilken server eller applikation der genererede hændelsen. Andre problemer såsom overholdelsesfejl og applikationsfejl kan detekteres gennem platformen gennem dens logningsanalyse. Den sande værdi af et SIEM-produkt som Sumo Logic bliver mere tydelig, efterhånden som din virksomhed og netværk bliver mere komplekse med tiden.
Nu hvor vi ved lidt om, hvordan Sumo Logic fungerer, lad os dykke ned i hver af de funktioner, Sumo Logic bringer til bordet.
Kom godt i gang med Sumo Logic
Vi nævnte kort, at Sumo Logic bruger samlere til at indsamle data. Disse lette endepunkter er relativt nemme at implementere og kan installeres manuelt eller gennem en automatiseret proces såsom gruppepolitik eller batchscript. I øjeblikket kan Collectors installeres på Windows, Linux eller macOS.
Sammenlignet med andre SIEM-løsninger er agentinstallationsprocessen for Sumo Logic enkel og kræver ikke for mange komplekse trin. Du kan installere Collector med enten UI-installationsprogrammet eller kommandolinjeinstallationsprogrammet. Hvis du vælger UI-installationsprogrammet, vil nogle af de mere avancerede installationsmuligheder ikke være tilgængelige. At have begge muligheder tilgængelige giver mindre tekniske personer mulighed for at komme i gang med Sumo Logic uden at skulle lære programmering eller hvordan man bruger kommandolinjen.
Det næste trin er at forbinde en kilde til din samler. En kilde er, hvor indsamlere forbinder for at indsamle data fra dit websted. Kilder giver dig mulighed for bedre at organisere dine data og kan have op til 1000 samlere tilknyttet. Kilder kan variere afhængigt af dit miljø. For eksempel er der kilder til dedikerede Windows-hændelseslogfiler, Docker-logfiler, Syslogs og andre værtsdata.
Det lyder måske lidt komplekst, men det hele kan gøres direkte i Sumo Logic Collection-dashboardet gennem en guidet guide. Du kan nemt teste for at sikre, at dine connectors og kilder arbejder sammen ved at indtaste en forespørgsel efter disse data. Hvis du får et resultat, ved du, at du er i gang.
Søger inde i Sumo Logic
Søgning inde i Sumo Logic efter dine data ligner platforme såsom Graylog eller Splunk. Mens du bygger din forespørgsel, vil søgelinjen forudsige og foreslå funktioner, når du begynder at skrive dem. En af mine personlige foretrukne dele af søgning i Sumo Logic er at have muligheden for at visualisere dine søgedata, mens du skriver dem.
Under søgelinjen kan du se dine data som en visualisering i diagramform. Herunder vil du se de individuelle rækker og tabeller, mens du forespørger på dine data og foretager ændringer. Hvis du finder dig selv nødt til at forespørge og sammenligne de samme datasæt over tid, kan du nemt gemme dine søgninger. Du kan også organisere disse søgeforespørgsler i mapper enten til din egen personlige brug eller til at blive delt med et team.
Dashboards og paneler
Nøglen til at konceptualisere din nydannede indsigt er at kunne forstå og visualisere dem som en helhed. Sumo Logic bruger fuldt tilpassede dashboardvisninger til at præsentere relevante data i realtid. Hver metrik kan vises af en række paneler, som du kan tilføje eller fjerne til din dashboardvisning.
Ændring af konfigurationen eller output af et eksisterende dashboard er nemmere, end jeg først troede. Over hvert panel er en knap, der viser dig præcis, hvilken forespørgsel der driver det modul. Ved at klikke på dette kan du redigere den forespørgsel for fuldstændig at transformere, hvordan modulet viser data.
Hvis du blot vil ændre, hvordan dataene vises, kan du også skifte mellem 10 forskellige datavisninger med et par enkle klik. Alle paneler, du opretter, kan trækkes og låses på plads baseret på dine præferencer. Når du har det nøjagtige udseende af, hvordan du ønsker, at dit dashboard skal vises, kan du enten gemme det eller dele det med dit team via et URL-link.
Hvis du ikke vil bruge tiden på at oprette dashboards eller paneler, har Sumo Logics App Catalog hundredvis af prækonfigurerede dashboards, der indeholder advarselsskabeloner og søgninger, der er klar til at gå med blot et enkelt klik. Mens du bruger Sumo Logic, vil du opleve, at appkataloget er et af de mere kraftfulde værktøjer på platformen, især hvis du har et mindre team, der muligvis stadig lærer, hvordan man fuldt ud kan udnytte kraften i avanceret analyse.
Oprettelse af alarmer i Sumo Logic
Advarsler kan konfigureres baseret på logdata eller metrics og er baseret på en specifik forespørgsel eller betingelse, du definerer. Det tog noget tid at finde ud af, hvor advarslen skulle oprettes. I stedet for at have en dedikeret advarselsknap har Sumo Logic mulighed for at gemme forespørgslen som en advarselstype, når du klikker Gem som . Hvis du rent faktisk vil modtage en advarsel, skal du sørge for at planlægge, at forespørgslen skal køre. Dette kan gøres, når du har gemt din forespørgsel. Denne proces er ret enkel, men kunne have været designet til at være lettere at finde.
Du har mulighed for at indstille tidsintervallet for advarslen, såvel som specifikke advarselsbetingelser, der kan konfigureres til at hjælpe med at skære ned på gentagne og unødvendige advarselsvolumener. Meddelelsesmuligheder spænder fra e-mail, webhook, ServiceNow eller brugerdefineret scriptudførelse. At have muligheden for at udføre et script på et sæt betingelser giver dig en bred vifte af automatiske afhjælpningsmuligheder. Endelig kan du vælge at gemme en advarsel til indeks i stedet for at sende en notifikation. Denne mulighed registrerer hændelsen og gemmer forespørgslen i et indeks, hvor den kan søges på et senere tidspunkt med øget søgeydeevne.
Oprettelse af advarsler kan være så simpelt eller så komplekst, som dine søgeforespørgsler tillader, og der er ingen reelle begrænsninger for, hvad der kan konfigureres. Sumo Logic kan bruge grundlæggende numerisk-baserede operatorer til at spore problemer eller lidt mere komplekse outlier-forespørgsler, der sporer afvigelsen af gennemsnittet i stedet for et specifikt tal. Dette hjælper med at holde dine advarsler nøjagtige, når trafikken stiger og falder over tid.
I stedet for at bygge disse advarsler fra bunden, kan du finde mange eksempler og eksempler på de mest almindelige advarselsforespørgsler i Sumo Logics Query Library.
Apps og integrationer
Vi har berørt Apps lidt tidligere i denne artikel, men vi vil gå lidt mere i detaljer om, hvad du kan forvente, når du integrerer applikationer i Sumo Logic. App-sektionen blev bygget til at give brugerne øjeblikkelig indsigt på tværs af nogle af de mest populære platforme, der er tilgængelige. Du finder blot den integration, du vil tilføje, og klikker Føj til bibliotek .
Når først tilføjet, har du dusinvis af forespørgsler allerede på plads og viser data. Disse out-of-the-box løsninger kan modificeres og ændres efter din smag for virkelig at sætte gang i onboardingsprocessen.
Der er hundredvis af prækonfigurerede forespørgsler og dashboards til snesevis af større mærkeintegrationer såsom Amazon, Google, Microsoft og Cisco. Med hensyn til SIEM og sikkerhedsværktøj integrationer understøtter Sumo Logic i øjeblikket over 20 trusselsdetektionsplatform orkestreringer.
For integrationer, der ikke er dækket af Apps-biblioteket, kan Sumo Logic give dig support. Der er også en dedikeret fællesskabsforum som kan besvare spørgsmål, men den er muligvis ikke så aktiv som nogle open source-platforme såsom Graylog.
Sumo Logic Pris
Sumo Logic har fem forskellige niveauer af SIEM-tilbud baseret på logkapacitet, dataopbevaring og muligheder. For dem, der bare vil have fødderne våde, begynder du at bruge Sumo Logic helt gratis under gratis-planen.
Denne plan giver dig mulighed for at sende op til 500 MB data om dagen og gemmer logdata i en uge. Men under den gratis plan får du kun adgang til omkring en femtedel af de funktioner, som Enterprise Operations-planen inkluderer. I den gratis version kan du stadig søge og oprette visualiseringer, se live og historiske data og bruge forudsigende analyser og afvigende detektion.
Betalte planer er tilgængelige for en 30-dages prøveperiode og bruger et kreditsystem, der opkræver din konto baseret på dataforbrug pr. dag. I stedet for at forsøge at debitere dit kort efter en prøveperiode, hvis du efter de 30 dage ikke forbliver på din betalte plan, vil din konto simpelthen bare vende tilbage til en prøveplan.
På det mest basale betalte niveau vil Sumo Logic Essentials koste 2,50 USD pr. GB logdata indtaget og tilbyder 365 dages dataopbevaring. Essentials-pakken indeholder mange af de mest populære funktioner, som Sumo Logic tilbyder, men udelukker funktioner såsom premium-support, indtag budgetter og søge-API-adgang.
Når du medregner niveauet af fleksibilitet og kontrol, du har over din prissætning, er Sumo Logic bestemt i den mere overkommelige ende af spektret, når det kommer til cloud-baseret logstyring og sikkerhed.
Hvorfor vælge Sumo Logic
Sumo Logic blev bygget til at gøre sikkerhedsintelligens tilgængelig, uanset hvor mange servere du har i dit netværk, og det gjorde et godt stykke arbejde med at gøre præcis det. Med Sumo Logics fleksible prisplaner, nemme onboarding og en funktionsfyldt app-butik, er det bestemt et værktøj, du gerne vil give et rimeligt skud. Hvis du stadig laver dit hjemmearbejde om SIEM-produkter, skal du sørge for at tjekke vores indlæg om bedste SIEM-værktøjer .
Sumo Logic Alternativer
Hvis du leder efter alternativer til Sumo Logic, har vi givet en kort liste over sammenlignelige værktøjer, der er værd at nævne nedenfor.
SolarWinds Security Event Manager (GRATIS PRØVEVERSION) Et omfattende sikkerhedsværktøj med fuld suite, der har til formål at hjælpe MSP'er med at administrere komplekse sikkerhedshændelser uden komplekse integrationer eller opsætning.
- Datahund Udnytter realtidsdata og historiske data til at give handlingsorienteret indsigt, automatiseret udbedring og alarmering på tværs af dit cloud- eller lokale miljø.
- ELK Et populært open source-værktøj dedikeret til gratis logstyring og inkorporerer værktøjer som Elasticsearch, Logstash og Kibana for udvidet funktionalitet.
- sentry.io Leverer logningsløsninger, der primært er fokuseret på at betjene softwareudviklingsteams og DevOps-industrien.
- Splunk En funktionsrig SIEM-platform, der har til formål at betjene store virksomhedsmiljøer. Splunk udmærker sig ved at kombinere state of the art teknologi med brugervenlige grænseflader.