LogRhythm SIEM преглед и алтернативи
LogRhythm е един от най-големите в света иновативен SIEM решения с възможност за инсталиране на място или достъп до него като облачна услуга. Софтуерът SIEM е много сложен и също много мощен. Дизайнерите на пакета обаче са помислили много, за да направят системата лесна за използване, като включват Център за внедряване , който внедрява съветници, за да води потребителя през задачите за проучване на данни.
Всичко за SIEM
SIEM е форма на Система за откриване на проникване (IDS) . Акронимът означава Информация за сигурността и управление на събития . Терминът обозначава смесена стратегия, съставена от два подхода за изследване на данни.
Управление на информацията за сигурност (SIM) е практиката за преглеждане на лог файлове за индикации за злонамерена дейност. Това е, което се нарича a Хост-базирана система за откриване на проникване (HIDS) .
Управление на събития за сигурност (SEM) включва проверка на преминаващия трафик за неоторизирана дейност. Това е подобно на Дълбока проверка на пакети (DPI) извършвани от усъвършенствани защитни стени. SEM е a Мрежова система за откриване на проникване (NIDS) който работи със заглавните данни на преминаващите пакети, за да извлече информация за дейностите на потребителите.
Предимството на SEM е, че е много бързо. Ако бъде забелязана подозрителна дейност, може да се действа незабавно. Това обаче не е много ефективно в борбата срещу стелт хакерските дейности, като напр Разширени постоянни заплахи (APT) . В APT хакерска група получава достъп до системата и е в състояние да търси във файлове и дори да използва системни ресурси за собствените си цели, без да бъде открита. Хакерът избягва откриването, като работи през обикновени потребителски акаунти.
SIM може да идентифицира неоторизирани действия, извършени от законни потребители. Това не само открива APT, но и блокира вътрешни заплахи . Модерен събитие за загуба на данни могат да бъдат идентифицирани само чрез разглеждане на поредица от действия, които всяко поотделно изглеждат безобидни, но когато се изследват заедно, показват атака. Големият проблем със SIM е, че може да отнеме време, за да се изгради пълна картина на дейностите. Докато стане видим подозрителен модел на дейност, данните на компанията вероятно вече са били откраднати.
Чрез комбиниране на SIM и SEM, SIEM системите могат да подобрят скоростта на идентифициране на заплахи, като същевременно могат да видят атаки, които избягват откриването от традиционните мерки за киберсигурност. SIEM не е предназначен да замени защитни стени и други гранични защити; има за цел да идентифицира и забележи типовете атаки, които защитните стени не могат да блокират.
Относно LogRhythm
LogRhythm, Inc започва дейност през 2003 г. Компанията е базирана в гр Боулдър, Колорадо но има и офиси по целия свят. Бизнесът започна специално да разработва решения за сигурност, които копаят системни регистрационни файлове за информация. SIEM е основен пример за система, базирана на логфайлове и затова разработването на LogRhythm SIEM беше приоритет на компанията.
Основателите на компанията, Крис Петерсен и Филип Вилела проучват иновативни методи за събиране на данни от регистрационни файлове, форматиране и методи за обработка и притежават няколко патента в тази област. Това дава на LogRhythm конкурентно предимство на пазара на SIEM, тъй като колкото по-бързо могат да се обработват регистрационните файлове, толкова по-скоро може да бъде забелязано аномално събитие.
Общ преглед на LogRhythm SIEM
Пълното заглавие на LogRhythm SIEM е LogRhythm NextGen SIEM платформа . Услугата се състои от пет основни елемента плюс два незадължителни модула. Това са:
- NetMon – Мрежов монитор на живо, който извлича важна пакетна информация за анализ.
- SysMon – Разпределен агент за събиране на данни и монитор на крайни точки.
- AnalytiX – Мениджър на регистрационни файлове.
- DetectX – Модулът за лов на заплахи.
- RespondX – Система за оркестриране и реагиране на сигурността (SOAR).
- NetworkXDR – Допълнителен модул, който осигурява подобрен мониторинг на мрежата.
- UserXDR – Допълнителен модул, който е решение за анализ на поведението на потребителите и обектите (UEBA).
Всеки от тези модули е обяснен допълнително по-долу.
NetMon
NetMon е основният източник на данни за мрежовия трафик на живо за машината за анализ на SIEM. Той използва Deep Packet Inspection (DPI) за четене на метаданните в заглавките на пакетите. Това позволява на услугата да регистрира трафик за приложение, потребител и крайна точка. Тази информация е форматирана според SmartFlow протокол за анализ, когато се качи в централната аналитична машина. Тази система събира перспективи на мрежовия стек по целия път от слой 2 до слой 7.
Модулът NetMon не просто събира данни за анализ; също действа. Той може да реконструира имейл прикачени файлове, докато пътуват в поредица от пакети, като забелязва злонамерено съдържание и ги изтрива, ако има време, или актуализира състоянието им на местоназначението им, за да покаже проблем.
NetMon има свои собствени екрани за наблюдение на мрежата в таблото за управление на LogRhythm, които включват сигнали за състояние и регулируеми прагове . Екраните с данни могат да се персонализират и данните за мрежовия трафик могат също да се подават към други приложения чрез API. Данните за трафика включват източника и местоназначението на външни връзки, идентифицирана комуникация с ботнет контролери и актуализиран списък със забранени IP адреси.
SysMon
SysMon е основната система за събиране на данни на LogRhythm. Той има компоненти на всяка наблюдавана крайна точка и също така има централен контролер. The Sysmon контролер получава данни от всеки агент и изпраща обратно инструкции за отговор.
The SySMon агенти инсталирайте на крайни точки и сървъри, за да събирате регистрационни данни и да генерирате собствени статистики на LogRhythm и след това да ги изпращате до централния контролер.
Задачите включват наблюдение на целостта на файловете, за да сте сигурни, че локалните файлове не са манипулирани. Централният SysMon изпълнява същото задължение със събраните данни. Агентите също така наблюдават процесите на всяка машина, като извършват локални проверки за безопасност, включително защита на регистъра, наблюдение на прикачено устройство и локално блокиране на злонамерен потребителски достъп.
Агентите на SysMon също допринасят за мониторинг на мрежовия трафик на живо чрез регистриране на всяка връзка, осъществена или приета от наблюдаваното устройство. Всички дейности на устройствата се регистрират срещу потребителския акаунт, който е бил активен в момента.
AnalytiX
AnalytiX е лог мениджър на LogRhythm. Той получава всички регистрационни данни, канализирани от SysMon, и поставя тези записи в общ формат, преди да ги изпрати до таблото за управление за показване и архивиране.
Докато преформатира записите, AnalytiX маркира подозрителни действия и свързва събития. Регистрационните файлове се съхраняват в значими директории и компонент на търсачката, предоставен от Еластично търсене прави тези необработени регистрационни файлове достъпни за директен достъп от потребителя и всяка друга заинтересована страна, като например одитор за съответствие със стандартите.
DetectX
DetectX е ловец на заплахи на LogRhythm. Той взема структурираните файлове, създадени от AnalytiX, и прилага към тях правилата за откриване на услуги. Този компонент е адаптивен към изискванията на стандартите за сигурност на данните. Правилата за откриване се актуализират непрекъснато чрез живо разузнаване на заплахи.
Процесът DetectX идентифицира злонамерени дейности и стартира подходящи работни процеси, за да ги изключи. Тези действия ще бъдат изпълнени от RespondX .
RespondX
RespondX е Оркестрация на сигурността, автоматизация и реакция (SOAR) единица на LogRhythm. Той се свързва с други системни услуги като защитни стени и мениджъри на права за достъп, за да събира допълнителни данни и също така да прилага работни потоци за отговор.
Извиква се методологията за смекчаване на RespondX Автоматизация на SmartResponse . Той променя правилата на защитната стена, за да блокира подозрителни IP адреси и интерфейси със системи за потребителски достъп, за да спре акаунти.
NetworkXDR
NetworkXDR е допълнителен модул, който подобрява възможностите за откриване на NetMon. Той е в състояние да забележи активност в няколко точки от мрежата, които показват a странична атака . То използва машинно обучение за установяване на базова линия за редовна мрежова активност, вместо да налагате прагово ниво, което може да е твърде стегнато.
UserXDR
UserXDR е незадължителен модул, който подобрява наблюдението на потребителското поведение на SysMon. Това е Анализ на поведението на потребителите и субектите (UEBA) услуга, която прилага AI машинно обучение за установяване на модел на нормално поведение от всеки потребител и потребителска група.
Системата UserXDR търси изоставени акаунти, които са слабости в сигурността. Той също така може да управлява разрешенията, дадени на потребители, които се свързват със собствените си устройства.
Табло за управление на LogRhythm SIEM
Таблото за LogRhythm SIEM е уеб базирано и може да бъде достъпно от всеки от следните уеб браузъри:
- Google Chrome
- Microsoft Internet Explorer
- Microsoft Edge
- Mozilla Firefox
Конзолата на SIEM е раздели като таблото за управление е един от елементите на оформлението. Други раздели имат достъп до помощни програми като списъци с предупреждения и отчети. Два допълнителни раздела в долната част на екрана дават достъп до списък със задачи и директен достъп до регистрационни файлове за търсения.
Фонът на таблото е черен с по-светли цветове, използвани за текст и графики. Всеки екран в таблото предлага смесица от графики и текстови панели, както е показано в примера на Анализирам таблото отдолу.
Всеки елемент на екран, като например таблото за анализ, предлага достъп до екран с подробности. Елементите в панела с таблица на лигата са активни връзки към екраните с подробности. Всички екрани в таблото за анализ предлагат филтри за данни така визуализираните данни могат да бъдат изолирани до конкретно устройство или потребител.
Опции за конфигуриране на LogRhythm SIEM
Софтуерът LogRhythm SIEM работи Windows Server 2012 и по-късно. LogRhythm може също да достави целия софтуер за платформата LogRhythm NextGen SIEM, предварително зареден на уред . Системата се предлага и като облачна услуга , което включва процесорна мощност и място за съхранение.
Отчитане на съответствието на LogRhythm SIEM
Системата LogRhythm може да бъде адаптирана, за да се съсредоточи върху спазването на специфични стандарти за сигурност на данните. Тези изисквания за съответствие не заместват стандартните процедури на LogRhythm SIEM – всеки администратор все още има достъп до всички стандартни екрани и услуги. Адаптациите за съответствие идват под формата на допълнителни модули, които се наричат модули за автоматизация на съответствието .
Предлагат се модули за следните стандарти:
- 201 CMR 17.00
- BSI IT основна защита
- CIS критични контроли за сигурност
- DoDi 8500.2
- FISMA
- GDPR
- GLBA
- GPG 13
- HIPAA, HITECH & MU
- ISO 27001
- ПОВЕЧЕ TRMG
- СЕГА 08-09 Rev 6
- NERC CIP
- NIST 800-53
- NIST рамка за киберсигурност
- Ръководство за регулиране на NRC 57.1
- PCI DSS
- SOX
- ОАЕ-НЕСА
Освен че предоставя корекции на контролите за наблюдение на сигурността, за да отговарят на избрания стандарт, модулът за автоматизация на съответствието също настройва системите за одит, за да отговарят на изискванията на стандартите. Модулът включва библиотека от формати на отчети, които са необходими при генериране на доказателство за съответствие. LogRhythm разпространява актуализации на тези модули, ако някой от стандартите се промени.
Алтернативи на LogRhythm SIEM
LogRhythm SIEM е труден за победа. Системата е изчерпателна и включва механизми за автоматизиран отговор, които могат да спестят много време. LogRhythm обаче не е единственият SIEM, наличен на пазара, и всеки, който купува нов софтуер за сигурност, вероятно ще иска да оцени редица алтернативи.
За да научите повече за SIEM и най-добрите системи, които се конкурират на пазара, разгледайте Най-добрите SIEM инструменти . Ако нямате време да прочетете това ръководство, ето нашия списък с десетте най-добри алтернативи на LogRhythm SIEM.
- SolarWinds Security Event Manager (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ) Инструмент, който осигурява управление на регистрационни файлове за анализ на данните за сигурността. Той не включва наблюдение на мрежата, но може да бъде подобрен с емисия на трета страна. Този софтуер се инсталира на Windows Server. Започнете 30-дневен безплатен пробен период.
- ManageEngine EventLog Analyzer (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ) Система за анализ на сигурността, базирана на журнал, която предоставя SIM частта на SIEM. Това може да бъде сдвоено с OpManager, за да предостави мрежови данни на живо и да създаде пълен SIEM. Инсталира се на Windows и Linux. Достъп до 30-дневния безплатен пробен период.
- Мониторинг на сигурността на Datadog Базирана на облак услуга, която изисква инсталиране на място на агентски софтуер. Тази система за сигурност може да бъде сдвоена с пълна система за наблюдение на мрежата.
- McAfee Enterprise Security Manager Добре планиран SIEM, който включва управление на регистрационни файлове и наблюдение на трафика на живо. Тази система за сигурност е подобрена от висококачествена емисия за разузнаване на заплахи. Инсталира се на Windows и macOS.
- Fortinet FortiSIEM SIEM система, базирана на облак, която внедрява агентски софтуер на наблюдавани устройства, за да осигури непрекъснатост по време на прекъсване на мрежата. Той включва набор от стратегии за откриване, като UEBA, и интегрира автоматизирани защитни реакции.
- Rapid7 InsightIDR Впечатляваща услуга за сигурност, базирана на облак, която осигурява непрекъснатост на услугата чрез агентни модули на място. Той включва UEBA и автоматизиран отговор на заплахи.
- OSSEC Безплатна система за откриване на проникване, базирана на хост с отворен код, която предоставя SIM функции. Той ще приема мрежови данни на живо като допълнителен вход, но те трябва да бъдат предоставени от инструмент на трета страна. Инсталира се на Windows, macOS, Linux и Unix.
- IBM QRadar Платформа за разузнаване на сигурността, която включва SIEM модул. Елементите на SIEM включват сканиране на уязвимости, канал за разузнаване на заплахи, анализ на трафика на живо и функции за управление на регистрационни файлове. Работи на Windows Server.
- AT&T Cybersecurity AlienVault Unified Security Management Добре оценена SIEM система, която има финансовата подкрепа на много голяма мултинационална компания. Работи на Windows и macOS.