Datadog Cloud SIEM срещу LogPoint SIEM

Преглед на Datadog Cloud SIEM

Datadogвлезе в SIEM приложение пазар с пускането на Datadog Cloud SIEM през 2020 г.Datadog Cloud SIEM(Информация за сигурността и управление на събития) е базирано на SaaS решение, което осигурява цялостно покритие за сигурност на динамични, разпределени системи. Той е част от Datadog Cloud Security Platform и е предназначен да осигури единна централизирана платформа за събиране, наблюдение и управление на свързани със сигурността събития и регистрационни данни от цялото предприятие. Това позволява на екипите по сигурността да идентифицират и реагират на подозрителни модели на поведение по-ефективно, отколкото би било възможно чрез разглеждане на данни от отделни системи.

с Datadog Cloud SIEM , можете да анализирате оперативни регистрационни файлове и регистрационни файлове за сигурност в реално време, независимо от техния обем. Разработчиците, екипите по сигурността и операциите могат да използват подробни данни за наблюдение, за да ускорят разследванията на сигурността в единна унифицирана платформа.

Основните функции и възможности включват:

• Наблюдаемост и сигурностВижте всичките си данни за сигурност на едно място и ги свържете със събития по време на изпълнение, регистрационни файлове на приложения и услуги и др. Екипите за разработка, сигурност и операции могат да имат достъп до едни и същи данни за наблюдение и да провеждат разследвания за сигурност в единна унифицирана платформа.
• Табла за управление извън кутиятаТаблото за преглед на сигурността ви позволява да имате изглед на високо ниво на вашата позиция на сигурност. Таблата за управление на IP Investigation и User Investigation позволяват на потребителите да свързват конкретни IP адреси и потребители със сигнали за сигурност, събития и регистрационни файлове, така че да могат бързо да усъвършенстват моделите на злонамерена дейност.
• Правила за откриване на заплахи извън кутиятаDatadog Cloud SIEM е оборудван с готови правила за откриване на заплахи, които не изискват език за заявки за широко разпространени техники на атакуващи и неправилни конфигурации, които са картографирани към рамката MITER ATT&CK.
• Вградени интеграции за сигурност, поддържани от доставчикаВградените интеграции за сигурност с AWS CloudTrail, Okta, G Suite и други позволяват на потребителите да приемат допълнителни данни за сигурност за минути, което осигурява по-дълбок контекст и помага за ускоряване на разследванията.

А безплатна персонализирана демонстрация и а безплатен 14-дневен пробен период с пълен достъп до всички функции са налични при поискване. След това софтуерът обикновено се продава чрез месечни абонаментни планове въз основа на хостове, събития или регистрационни файлове.

Преглед на Logpoint SIEM

Регистрационна точка е базиран в Дания доставчик на решения за киберсигурност, който разработва SIEM и други продукти за сигурност. Logpoint SIEM събира, съхранява и анализира регистрационни данни от цялата ИТ инфраструктура, за да открие подозрителни дейности и да отговори на заплахи. Модулният дизайн на решението обаче означава, че инструментът SIEM е пакет от възможности за сигурност, включително автоматизирано управление на съответствието, наблюдение на оперативната производителност и управление на регистрационни файлове. Точно както подсказва името, Logpoint демонстрира опит в агрегирането, управлението и анализа на регистрационни файлове.

Logpoint SIEM е наличен локално и като SaaS, в облака. Конвергираният SIEM на Logpoint е унифицирана платформа, която предоставя възможности за SIEM+SOAR, UEBA и BCAS като услуга директно на предприятия и MSSP – всичко от едно стъкло. Той е насочен към фирми от всякакъв размер, но ще бъде особено привлекателен за големи организации. Системната архитектура на Logpoint се разделя на:

• Колектори на логпойнтКолекторите са отговорни за приемането, нормализирането и обогатяването на регистрационни данни от различни източници на регистрационни файлове в платформата Logpoint.
• Бекенд на LogpointBackend е компонентът за съхранение на решението Logpoint, базирано на NoSQL, което съхранява данни в плосък файл, което позволява търсения, които отнемат секунди.
• Logpoint Търсенеhead е аналитичният компонент, където клиентите разработват персонализирано съдържание, което извлича стойност от тези необработени и нормализирани регистрационни данни.

Облакът Logpoint предоставя единна централизирана платформа за използване, наблюдение и управление на свързани със сигурността данни със скорост и мащаб на облака от цялото предприятие. Тъй като Logpoint SIEM корелира данни от голямо разнообразие от източници на събития и контекстуални данни, той може да позволи на екипите по сигурността да откриват и реагират на подозрителни модели на поведение по-ефективно.

Основните функции и възможности включват:

• Подобрете откриването и реагирането на заплахиLogpoint помага за визуализирането на данни за разузнаване на заплахи в реално време и автоматично ги поставя в контекст, за да позволи усилия за бърз отговор.
• Подобрете цялостната позиция на сигурностОсигурява съответствие за основни регулаторни области като PCI, SOX, HIPAA, GDPR и други, което улеснява представянето на доказателства за съответствие.
• Намалете времето за откриване и отговорLogpoint помага на екипите за сигурност да бъдат по-ефективни чрез автоматизиране на задачите и предоставяне на структурирани работни потоци.
• Рационализиране на разследването, автоматизиран отговорУнифицираното решение SIEM-SOAR на Logpoint дава възможност на анализаторите с вградени учебници за откриване, разследване, автоматизация, оркестрация и реагиране, за да повишат производителността на SOC.
• Конвергирани SIEM 75+ готови за използване книги с игриавтоматизирайте и ускорете процесите на разследване и реакция.
• Открийте подозрително поведениеВъзможностите на LogPoint UEBA обогатяват данните с информация за поведението на потребителите и активите, заплахите и уязвимостите и откриват инциденти със сигурността, които други решения оставят незабелязани.

Продуктът се доставя във виртуално устройство, физическо устройство или като част от софтуер или облачен конвергиран SIEM, позволяващ на организацията пълна гъвкавост при внедряването. При поискване се предлага безплатна онлайн демонстрация.

Datadog Cloud SIEM срещу Logpoint SIEM: Как се сравняват

Модел на внедряване

Точно както подсказва името, Datadog Cloud SIEM е облачно базирано приложение за облачни среди; което означава, че няма локални системни изисквания и никакви затруднения при инсталирането, освен обичайния процес на регистрация чрез свързано с интернет устройство с поддържан браузър. Въпреки това ще трябва да инсталирате локални агенти, специфични за устройството или услугата, които искате да наблюдавате, в по-голямата си част. Това внедряване го прави идеален за организации, които не искат да се натоварват с каквото и да е ресурсоемко локално SIEM решение

От друга страна, Logpoint SIEM предлага както базирани на SaaS, така и самостоятелно хоствани (локални) версии. Версията, базирана на SaaS, също като Datadog, не се нуждае от инсталация, освен обичайния процес на регистрация с помощта на свързано с интернет устройство с поддържан браузър. Въпреки това, за да активирате комуникацията между вашите устройства Cloud Connector и облачната услуга, ще трябва да инсталирате Logpoint Cloud Connector на вашето локално устройство. Моделът за самостоятелно хоствано внедряване на Logpoint SIEM е идеален за организации, които искат да имат детайлен контрол, но си има цена – вие също трябва да го управлявате сами.

Събиране на данни и анализ

Datadog Cloud SIEM събира регистрационни файлове от много различни източници в Datadog. Всички погълнати регистрационни файлове първо се анализират и нормализират (преформатират) за последователност, лесна корелация и анализ. Това помага да се разкрият злонамерени дейности в мрежата, като не позволява на лошите участници да скрият своите следи. След като регистрационните файлове бъдат събрани, погълнати и обработени, те са достъпни в Log Explorer. Log Explorer е мястото, където можете да търсите, обогатявате и преглеждате предупреждения във вашите регистрационни файлове. Това улеснява търсенето и филтрирането на регистрационни данни в цялата ви инфраструктура за откриване и разследване на заплахи.

По същия начин колекторите на Logpoint SIEM са отговорни за приемането, нормализирането и обогатяването на регистрационните данни от различни източници на регистрационни файлове в платформата Logpoint за вашите случаи на употреба. Всички регистрационни файлове са централизирани в една платформа, наречена Logpoint Backend, за рационализиране на анализа, търсенето и разследванията. Уникалната таксономия на Logpoint хармонизира данни от облачни приложения, основна инфраструктура, продукти за сигурност и патентовани приложения, наред с други източници. Използвайки тази таксономия, анализът е последователен във всички източници на данни и случаи на използване. Logpoint осигурява добре изглеждащ потребителски интерфейс, където можете да получите достъп до структуриран преглед на критични събития и инциденти със сигурността в реално време.

Откриване и смекчаване на инциденти/заплахи

Datadog открива заплахи въз основа на правила и създава сигнал за сигурност. Datadog предоставя готови правила за широко разпространени техники за нападатели, съпоставени с рамката на MITER ATT&CK. Правилата за откриване се възползват напълно от „Регистрацията без ограничения“ на Datadog, която ви позволява да персонализирате какви регистрационни файлове искате да индексирате, докато все още приемате, обработвате и архивирате всичко. Правилата се прилагат към пълния поток от погълнати, анализирани и обогатени регистрационни файлове, така че да можете да увеличите максимално покритието на откриването без каквито и да било от традиционно свързаните проблеми с производителността или разходите за индексиране на всичките ви регистрационни данни.

От друга страна, конвергентната облачно базирана SIEM платформа на Logpoint предоставя управлявани от AI SIEM-SOAR-UEBA услуги директно на предприятия и MSSP. SOAR (Security Orchestration Automation and Response) и UEBA (User Entity Behavior Analytics) възможностите позволяват на организациите да събират данни за заплахи за сигурността от множество източници и да реагират на събития, свързани със сигурността, без човешка помощ. Чрез автоматизиране на рутинни действия. UEBA идентифицира подозрителни модели в поведението на потребителите.

И SOAR, и UEBA помагат на екипите по сигурността да станат по-ефективни и освобождават времето им за по-взискателни задачи. Възможностите за сигурност на критичните за бизнеса приложения (BCAS) на Logpoint също ви позволяват да откривате и реагирате на заплахи във вашата SAP среда. Откриванията са съгласувани с MITER ATT&CK и се споделят открито за преглед и активиране. Това ви позволява да получите представа за обектите с най-висок риск с разузнаване на заплахи и анализ на сигурността.

Известия и сигнали

Подходът на Datadog към предупрежденията и известията се основава на машинно обучение (ML), което той нарича Watchdog. Watchdog използва техники за машинно обучение, за да идентифицира проблеми във вашата инфраструктура, ефективност на приложенията и услугите и да маркира аномалии. Сигналите в Datadog се наричат ​​Монитори. Потребителите могат да получават известия с помощта на PagerDuty , Slack и имейл. Те могат да се основават на почти всеки показател, който Datadog може да улови. В резултат на това всяко предупреждение е конкретно, приложимо и контекстуално – дори в големи и временни среди. Този уникален подход към предупрежденията и известията прави Datadog открояващ се и помага да се сведе до минимум времето за престой и да се предотврати умората от предупреждения.

Сигналите в Logpoint са предупреждения, генерирани за уведомяване на потребителите, когато възникнат значими събития. Те задействат инциденти, които ви позволяват да изпълнявате подходящи действия. Всяка валидна заявка за търсене може да задейства предупреждение за генериране на инциденти. Можете да създадете правило за предупреждение и да изберете носителя, който да ви уведомява за инцидента. Ако създадете правило за предупреждение за откриване на системни сривове, предупреждение се задейства всеки път, когато резултатите от търсенето отговарят на критериите за предупреждение. След това Logpoint създава съответния инцидент въз основа на правилото за предупреждение. Logpoint ви дава гъвкавостта да проектирате механизъм за предупреждение въз основа на вашите изисквания. Logpoint може да уведомява потребителите чрез имейл, SSH, SNMP, HTTP или Syslog. Logpoint ви позволява да намирате събития като системен срив, изключване на захранването, извадени кабели, високо използване на диска, високо използване на процесора и криминалистика, като създава инциденти за всяко от тях.

Отчитане и интегриране

Вместо да генерира обичайните готови отчети, които повечето мрежови администратори очакват, подходът на Datadog към отчитането има за цел да направи показателите лесни за търсене и се справя отлично. Cloud SIEM е напълно интегриран с всички продукти за наблюдение на приложения и инфраструктура на Datadog, което позволява на потребителите безпроблемно да преминават от потенциална заплаха към свързани данни за наблюдение, за да сортират бързо сигналите за сигурност. Над 500-те интеграции на Datadog ви позволяват да събирате показатели, регистрационни файлове и проследявания от целия ви стек, както и от вашите инструменти за сигурност, което ви дава видимост от край до край във вашата среда. Интегрирането на Datadog със Slack и PagerDuty ви позволява автоматично да включите съответните екипи, когато правило с висока степен на сериозност открие заплаха. Можете също да експортирате сигнали за сигурност към инструменти за сътрудничество като JIRA или ServiceNow.

Докладите на Logpoint SIEM се използват в различни сегменти на бизнеса за анализ, получаване на информация и вземане на решения. Независимо дали вашите данни са в един облак, в множество облаци или локално, Logpoint ви дава гъвкавостта да използвате различни вградени шаблони за отчитане, които ви позволяват да отговаряте на изискванията за съответствие на PCI, SOX, ISO2700X, HIPAA и Повече ▼. Тези шаблони за отчитане могат да бъдат модифицирани, за да отговарят на нуждите за отчитане. Нови отчети могат също да се създават от нулата с помощта на интуитивния съветник за отчети.

Logpoint готови и персонализирани интеграции ви позволяват да имате SIEM решение, което отговаря на нуждите на вашата организация. Той идва с поддръжка за няколко облачни източника като Salesforce, Office365, Azure и Amazon Web Services (AWS). Той също така поддържа интеграция с 400+ източника на журнал. Това ви позволява безпроблемно да придобивате данни от вашата локална и облачна инфраструктура, приложения и услуги във вашата SIEM платформа.

Лицензиране и ценови планове

Ценовият модел на Datadog Cloud SIEM е за GB анализирани регистрационни файлове, на месец, таксуван годишно или при поискване. Анализираният дневник е текстово базиран запис на дейност, генериран от операционна система, приложение или други източници, анализирани за откриване на потенциални заплахи за сигурността. Datadog таксува анализирани регистрационни файлове въз основа на общия брой гигабайти, погълнати и анализирани от услугата Datadog Cloud SIEM.

За разлика от Datadog, моделът за лицензиране на Logpoint се основава на броя на консумираните източници на журнали, а не на обема на данните или събитията в секунда. Независимо дали използвате Logpoint Converged SIEM Cloud или внедрявате на място, основният модел на ценообразуване остава същият, независимо от обема на данните или случая на използване. Това ви позволява да проектирате и внедрите мултисървърна среда, независимо от размера на архива, обема на регистрационните данни или няколко потребителя - без да се отразява на цената. Просто разположете това, от което се нуждаете, и се адаптирайте с развитието на визията си.

Избор между Datadog Cloud SIEM и Logpoint SIEM

Datadog и Logpoint без съмнение са се отличили през годините в пространството за наблюдение, регистриране и сигурност. Решението между дуото не трябва да се основава на това кой е по-добър, а на това кой най-добре отговаря на вашите бизнес нужди.

Трябва да имате предвид различни фактори като:

• Възможно ли е SIEM решението да отговори на изискванията за сигурност и съответствие на вашата организация?
• Колко нативна поддръжка прави SIEM инструмент предоставяне на подходящи източници на регистрационни файлове?
• SIEM решението притежава ли възможностите на следващо поколение SIEM функционалности като SOAR и UEBA?
• Каква е общата цена на притежание, налична ли е поддръжка от доставчици във вашия регион и до каква степен?

Способността на Datadog да поддържа и да се интегрира с повече от 500 технологии го прави по-гъвкав и адаптиран към много различни функции, осигурява по-задълбочен контекст по време на разследвания и ви позволява да хвърлите по-широка мрежа за улавяне на възможни проблеми със сигурността. Въпреки това, липсата на SOAR и УЕБА способностите го правят по-малко ефективен при справяне със съвременните предизвикателства пред сигурността. Независимо от това Datadog Cloud SIEM е отличен инструмент за съществуващи клиенти и организации на Datadog, които нямат специализиран ИТ персонал, който да следи инфраструктурата на детайлно ниво.

Logpoint конвергирана SIEM облачна платформа или опция за самостоятелно хоствано внедряване дава на организациите гъвкавостта да избират най-подходящия за тях модел на внедряване. Опцията за самостоятелно хостване е идеална за организации, които искат да имат пълен контрол, но ще изисква инвестиция в квалифицирани човешки ресурси, за да я управляват. Комбинираните възможности на Logpoint SOAR и UEBA го поставят в по-добра позиция за събиране на данни от множество източници на регистрационни файлове, идентифициране на скрити заплахи и предоставяне на автоматизирани отговори без човешка намеса. Това създава по-ефективна защита срещу съвременните предизвикателства за сигурността.