Logpoint SIEM преглед и алтернативи

Logpoint SIEMтърси злонамерени събития в ИТ система, като преглежда лог файлове и наблюдава мрежовия трафик. SIEM е в състояние да комбинира методи за откриване и примерни индикатори от няколко точки в мрежата, за да забележи стелт атаки и напреднали постоянни заплахи.

Относно SIEM

SIEM означава Информация за сигурността и управление на събития. Този тип система съчетава два метода за откриване на проникване.

Базирана на хост система за откриване на проникване проверява регистрационните файлове на всяка крайна точка, както и тези, които пътуват по мрежата. Двата основни стандарта за регистрационните съобщения са Windows събития за операционната система Windows и Syslog , който работи на Linux, macOS и Unix. Не всички регистрационни съобщения се архивират автоматично, така че първата задача на SIEM системата е да осигури регистрационен сървър, който събира и съхранява регистрационни съобщения.

Инструментът SIEM трябва да търси в регистрационни файлове от различни източници, така че тези съобщения трябва да бъдат реорганизирани в неутрален формат, преди да бъдат запазени. Тази задача се нарича консолидация на регистрационни файлове. Частта от SIEM, която работи с лог файлове, се нарича Управление на събития за сигурност (SEM) .

Втората част на SIEM е да . Това е Управление на информацията за сигурност и работи в реално време, като събира данни на живо, за да търси модели на злонамерена дейност. Това е мрежово базирано откриване на проникване (NIDS) и работи главно чрез наблюдение на мрежата.

SIM е незабавна и може да забележи нарушителите много бързо. Повечето хакери обаче знаят как да избегнат системите за откриване, като традиционните методи за откриване, базирани на подписи, използвани от защитни стени и NIDS системи. Например, проверката на заглавките на пакетите не забелязва типичните сигнатури на атака, които са разделени на пакети.

Съвременните хакерски методи се нуждаят от комбинации от данни, за да ги забележат. Тази задача може да бъде изпълнена само ретроспективно. Освен че сканират преминаващия трафик, SIM мониторите генерират свои собствени регистрационни файлове, които добавят към наличната информация за придружаващата SEM система. Така че SIM и SEM всяка покриват слабостта на другата.

Относно Logpoint

Регистрационна точкае партньорство със своите старши партньори, които са всички видни експерти по киберсигурност. Бизнесът е със седалище в Копенхаген, Дания и има офиси във Великобритания, Франция, Германия, Швеция, Финландия, САЩ и Непал.

Logpoint SIEM е единственият продукт на компанията. Модулният дизайн на софтуера обаче означава, че инструментът SIEM наистина е набор от съоръжения за сигурност.

Функции на Logpoint SIEM

Както подсказва името на компанията, Logpoint е много силен в управлението и анализа на съобщенията в журнала. Анализът на регистрационните данни обаче е само половината от функционалността на SIEM системата. Услугата Logpoint SIEM също така наблюдава и анализира данни на живо.

Управление на регистрационни файлове

Logpoint SIEMе наличен за фирми от всякакъв размер, но ще бъде особено привлекателен за големи организации. Системата е в състояние да обработва големи обеми от лог съобщения. Неговата най-висока производителност е един милион събития в секунда (EPS) от до 25 000 различни източника на събития.

Софтуерът Logpoint SIEM е Linux базирана система , така че е много добре настроен да събира съобщения от Syslog. Това обаче не е единственият тип регистрационни съобщения, които системата може да събира. Забележителни сред другите формати на регистрационни съобщения, които Logpoint SIEM събира, са съобщенията в регистъра на събитията на Windows.

Извличането на регистрационни съобщения от различни източници води до разнообразие във формата на съобщенията. SEM системите превъзхождат в консолидирането на информация от много източници и за да направи това, Logpoint SIEM трябва да реорганизира всички получени регистрационни записи в неутрален формат. Това позволява регистрационните данни да се съхраняват централно, независимо от стандарта, който е следван за тяхното създаване.

Разширена защита от заплахи

Ан Усъвършенствана постоянна заплаха (APT) е много често срещана хакерска дейност днес. Това включва хакерската група да получи достъп до частна система и да направи корекции в конфигурациите на устройството, за да улесни многократния незабелязан достъп. Услугата Logpoint SIEM следи активността на системата чрез проследяване на мрежовия трафик.

Чрез анализиране на регистрационните данни и прилагане на подозренията, събрани от този анализ, към конкретни източници на активност, мрежовият мениджър може да спести много време и ресурси. Той избягва загубата на усилия за изследване на целия трафик. Констатациите от анализа на регистрационните файлове дават на услугата за наблюдение на трафика потребителски акаунти и IP адреси, за които трябва да следите.

Мониторинг на потребителите

Потребителските акаунти предлагат най-лесния начин за нарушителите да заобиколят системата незабелязани. Logpoint SIEM оценява всички съществуващи акаунти за идентифициране на изоставени или рядко използвани акаунти, които биха били идеални средства за хакери. Системата Logpoint също така събира съобщения за регистър на събития, генерирани от Активна директория за откриване на неуспешни опити за влизане и действия за кракване на пароли с груба сила.

Софтуерът Logpoint SIEM включва специализирани Анализ на поведението на потребителите и субектите (UEBA) . Това установява базова линия за типично потребителско поведение и нормалния трафик, който може да се очаква от всяко устройство в мрежата. Процесът на UEBA използва машинно обучение, за да установи базова линия на нормална дейност. Това е важно, тъй като готовият набор от правила за откриване на аномалии няма да се прилага за всеки потребител във всеки бизнес по света. Когато започнаха SIEMs, прилагането на зададени правила създаде твърде много фалшиви аларми. UEBA адаптира настройките за предупреждение, за да предотврати маркирането на законна дейност като подозрителна.

Разузнаване на заплахите

Logpoint предоставя на инструмента SIEM информация за типични вектори на атака под формата на емисия за разузнаване на заплахи. Анализаторите в Logpoint непрекъснато проучват нови методологии за атака и изготвят списък с уязвимости, които улесняват достъпа за напреднали постоянни заплахи. Logpoint SIEM също действа като скенер за уязвимости и ще идентифицира точки в наблюдаваната система, които трябва да бъдат калибрирани отново, за да се предотврати извършването на подобни атаки.

Съответствие със стандартите за сигурност

Като бизнес, базиран в ЕС, Logpoint е много силен GDPR съответствие. Инструментът за сигурност има цели секции на таблото за управление, които се фокусират върху спазването на GDPR и включва функции за одит и докладване на GDPR.

Местоположението на данните е особено важно за GDPR. Това е така, защото разпоредбите гласят, че информация за граждани на ЕС не трябва да се изпраща извън ЕС. Logpoint SIEM може да проследява всички връзки по физическото местоположение на кореспондента. Тази информация се представя като живи данни и като аналитична графика на исторически данни.

Тези базирани на местоположение записи ускоряват одита на съответствието и докладването за GDPR. Предварително написаните формати на отчети, които се доставят с Logpoint SIEM, включват редица оформления, които са необходими за Съответствие с GDPR .

Реагиране на инциденти

Функциите за реагиране при инцидент на Logpoint SIEM разчитат на анализа на мрежовия трафик и регистрационните файлове за откриване на възможно проникване или вътрешни заплахи. Откриването на подозрителна дейност задейства предупреждения към персонала за управление на мрежата, всяко с обяснение на причините за предупреждението. Произвеждат се и системни сканирания в отговор на информация за нови заплахи препоръки за втвърдяване на системата .

Logpoint SIEM не включва действия за намаляване на автоматизираните заплахи. Това може да се разглежда като слабост в услугата Logpoint SIEM в сравнение с по-проактивните конкурентни SIEM продукти. Компаниите може да са нервни да позволят на компютърна програма да контролира дейността чрез блокиране на трафика и затваряне на акаунти. В този случай стратегията на Logpoint SIEM за препоръки за действие, а не автоматизация на действията, би била по-привлекателна.

Опции за конфигуриране на Logpoint

Софтуерът Logpoint SIEM работи на Ubuntu Linux. Като алтернатива може да се изпълнява на виртуална машина, като в този случай може да се хоства на всеки сървър. Logpoint също предлага Logpoint SIEM като устройство с предварително зареден целия SIEM софтуер.

Реализация на Logpoint

Софтуерът не е толкова лесен за настройка и обикновено един от дистрибуторите на Logpoint влиза в сайта на клиента, за да настрои софтуера. От една страна, тази персонализирана услуга е индикация за висококачествен продукт, но от друга страна, тази процедура за инсталиране може да отблъсне някои потенциални клиенти. Някои може да се притесняват, че всички промени, направени в ИТ инфраструктурата, ще изискват от дистрибутора на Logpoint да се върне и да промени инсталацията на софтуера, което ще доведе до такси за извикване.

Процесът на покупка, както е описан на уебсайта на Logpoint, изглежда е дълъг, продължителен процес, като се започне с работилница с участието на ключов ИТ персонал и консултанти на Logpoint. Този персонализиран, ръководен от консултации подход е в голям контраст с много от основните SIEM продукти, налични днес.

В останалата част от индустрията конкурентите на Logpoint се преместиха към облачни услуги. Тези системи изискват абонамент и тогава услугата е достъпна незабавно. Помощниците в таблото за управление на SaaS SIEM насочват новия потребител към изтегляне на агентска програма, която след това провежда процедура за автоматично откриване и се самоинсталира в мрежата.

Бизнесите, които нямат вътрешен ИТ екип, ще се затруднят да намерят ключовия персонал, който да изпратят на първоначалния семинар за внедряване на Logpoint, и ще бъдат по-добре обслужвани от една от управляваните SIEM услуги, които вече са налични.

Табло за управление на Logpoint

Потребителската среда на Logpoint е цветни и атрактивни . Екранът на конзолата е с раздели, така че потребителите да могат бързо да превключват между данните, свързани с всеки модул за откриване. Пример е екранът за управление на потребителските акаунти, показан по-долу.

Аналитичните функции на конзолата предлагат възможност за забелязване на корелирани събития и вземане на решения за подходящи отговори. Освен че представя данни за инциденти в графична форма, Logpoint включва предварително написани формати на отчети. Аналитичният двигател също включва ad hoc функции за търсене и сортиране които позволяват на анализаторите да започнат свои собствени разследвания.

Пример за екран за анализ на данни е показан по-долу.

В този пример анализаторът е помолил Logpoint SIEM да начертае данни от няколко дни, за да търси усъвършенствана постоянна заплаха. Периодите на анализ могат да бъдат коригирани, за да показват събития за регулируем период от време, а не само скорошни данни.

За да научите повече за цените, регистрирайте се за aоферта и безплатна демонстрация.

Logpoint SIEM Регистрирайте се за БЕЗПЛАТНА демонстрация

Алтернативи на Logpoint

Моделът за внедряване на Logpoint е много елегантен и всички срещи с консултанти преди инсталирането вероятно ще се харесат на ИТ директорите на големи компании. Въпреки това, малките бизнеси, съобразени с бюджета, няма да имат парите или времето да преминат през всички препятствия, които купуването на този софтуер за сигурност изглежда включва. Защо просто не се регистрирате онлайн за някой от другите SIEM инструменти на пазара и не го накарате да се инсталира сам?

Logpoint е много силен в управлението и анализа на регистрационни файлове но има по-силни конкуренти, които имат по-добри възможности за наблюдение на трафика. Бизнеси, които искат SIEM инструмент за внедряване автоматизирано намаляване на заплахите също би било по-добре с някой от другите SIEM инструменти на пазара.

За да научите повече за SIEM и най-добрите системи, които се конкурират на пазара, разгледайте нашата публикация на най-добрите SIEM инструменти . Вместо това можете да наемете екип от SIEM експерти на абонаментна база, вижте най-добре управляваните SIEM услуги пост.

Ето десетте най-добри алтернативи на Logpoint SIEM:

1. SolarWinds Security Event Manager (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ) SIEM инструмент, който включва реакция на инцидент в реално време и предварително конфигурирани модели за съответствие със стандартите. Този софтуер се инсталира на Windows Server. Започнете 30-дневен безплатен пробен период.
2. ManageEngine EventLog Analyzer (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ) Тази система е част от набор от инструменти за управление на инфраструктурата, които могат да бъдат интегрирани заедно. EventLog Analyzer предоставя SIM функции, докатоLog360може да се добави за SEM услуги. Инсталира се на Windows и Linux. Достъп до 30-дневния безплатен пробен период.
3. Мониторинг на сигурността на Datadog Това е облачно базирана система за наблюдение на инфраструктурата, която включва SIEM модул за наблюдение на сигурността.
4. McAfee Enterprise Security Manager SIEM инструмент, който е особено силен при управлението на Active Directory. Инсталира се на Windows и macOS.
5. Fortinet FortiSIEM Цялостното включва автоматизирани защитни реакции. Базиран е на облака със софтуер на агент на място.
6. Rapid7 InsightIDR Базирана на облак услуга за сигурност, която включва софтуер за агент за наблюдение на устройства за инсталиране. Той е лесен за инсталиране и включва автоматизирано намаляване на заплахите.
7. OSSEC Безплатен IDS с отворен код със специален фокус върху анализа на регистрационни файлове. Инсталира се на Windows, macOS, Linux и Unix.
8. LogRhythm NextGen SIEM платформа Включва AI методи за трафик и анализ на регистрационни файлове. Инсталира се на Windows и Linux.
9. AT&T Cybersecurity AlienVault Unified Security Management Пълен IDS, който може да се класифицира като SIEM плюс, защото включва пълен набор от методологии за откриване и системни монитори. Работи на Windows и macOS.