Správce Sítě

Logpoint SIEM Review & Alternatives

Recenze LogPoint SIEM



Logpoint SIEMvyhledává škodlivé události v IT systému procházením souborů protokolů a monitorováním síťového provozu. SIEM je schopen kombinovat metody detekce a vzorové indikátory z několika bodů v síti, aby bylo možné odhalit tajné útoky a pokročilé přetrvávající hrozby.

O SIEM

SIEM je zkratka pro Security Information and Event Management. Tento typ systému kombinuje dvě metody detekce narušení.



Hostitelský systém detekce narušení prozkoumá soubory protokolu na každém koncovém bodu a také na těch, které cestují po síti. Dva hlavní standardy pro zprávy protokolu jsou Události systému Windows pro operační systém Windows a Syslog , která funguje na systémech Linux, macOS a Unix. Ne všechny zprávy protokolu se automaticky ukládají, takže prvním úkolem systému SIEM je poskytnout server protokolu, který shromažďuje a ukládá zprávy protokolu.

Nástroj SIEM potřebuje prohledávat protokoly z různých zdrojů, takže tyto zprávy je třeba před uložením reorganizovat do neutrálního formátu. Tento úkol se nazývá konsolidace protokolů. Část SIEM, která pracuje se soubory protokolu, se nazývá Správa bezpečnostních událostí (SEM) .



Druhá část SIEM je Ano . Tohle je Správa bezpečnostních informací a funguje v reálném čase, shromažďuje živá data a hledá vzorce škodlivé činnosti. Tohle je síťová detekce narušení (NIDS) a funguje hlavně prostřednictvím monitorování sítě.

SIM je okamžitá a dokáže velmi rychle rozpoznat vetřelce. Většina hackerů však ví, jak se vyhnout detekčním systémům, jako jsou tradiční metody detekce založené na signaturách používané firewally a systémy NIDS. Například zkoumání hlaviček paketů neodhalí typické signatury útoku, které jsou rozděleny mezi pakety.

Moderní hackerské metody potřebují k nalezení kombinace dat. Tento úkol lze provést pouze zpětně. Kromě skenování procházejícího provozu generují monitory SIM své vlastní protokoly, které doplňují informace dostupné doprovodnému systému SEM. SIM a SEM tedy pokrývají slabiny toho druhého.

O Logpointu

Logpointje partnerství se svými senior partnery, kteří jsou všichni předními odborníky na kybernetickou bezpečnost. Sídlo firmy je v Kodaň, Dánsko a má pobočky ve Velké Británii, Francii, Německu, Švédsku, Finsku, USA a Nepálu.

Logpoint SIEM je jediný produkt společnosti. Modulární design softwaru však znamená, že nástroj SIEM je skutečně svazkem bezpečnostních zařízení.

Funkce Logpoint SIEM

Jak název společnosti napovídá, Logpoint je velmi silný ve správě a analýze zpráv protokolu. Analýza dat protokolu je však jen polovinou funkcí systému SIEM. Služba Logpoint SIEM také monitoruje a analyzuje živá data.

Řídicí panel LogPoint SIEM – Správa uživatelských účtů

Správa protokolů

Logpoint SIEMje k dispozici pro podniky všech velikostí, ale bude obzvláště atraktivní pro velké organizace. Systém je schopen zpracovat velké objemy protokolových zpráv. Jeho nejvyšší propustnost je jeden milion událostí za sekundu (EPS) z až 25 000 různých zdrojů událostí.

Software Logpoint SIEM je systém založený na Linuxu , takže je velmi dobře připraven shromažďovat zprávy Syslog. Toto však není jediný typ zprávy protokolu, který může systém shromažďovat. Mezi ostatními formáty zpráv protokolu, které Logpoint SIEM shromažďuje, jsou pozoruhodné zprávy protokolu událostí systému Windows.

Získávání zpráv protokolu z různých zdrojů má za následek různé formáty zpráv. Systémy SEM vynikají v konsolidaci informací z mnoha zdrojů a aby toho dosáhl, musí Logpoint SIEM reorganizovat všechny přijaté záznamy protokolu do neutrálního formátu. To umožňuje centrální ukládání dat protokolu bez ohledu na standard, který byl dodržen při jejich vytváření.

Pokročilá ochrana před hrozbami

An Pokročilá trvalá hrozba (APT) je dnes velmi běžnou činností hackerů. Zahrnuje to, že skupina hackerů získá přístup k soukromému systému a provede úpravy konfigurace zařízení, aby byl opakovaný nezjištěný přístup mnohem snazší. Služba Logpoint SIEM monitoruje aktivitu systému sledováním síťového provozu.

Pokročilá ochrana před hrozbami LogPoint SIEM

Analýzou dat protokolu a aplikací podezření získaných z této analýzy na konkrétní zdroje aktivit může správce sítě ušetřit spoustu času a zdrojů. Vyhnete se tak plýtvání úsilím na zkoumání veškerého provozu. Zjištění analýzy souboru protokolu dávají službě sledování provozu specifické uživatelské účty a adresy IP, které je třeba hledat.

Sledování uživatelů

Uživatelské účty nabízejí vetřelcům nejjednodušší způsob, jak obejít systém nedetekován. Logpoint SIEM posuzuje všechny stávající účty k identifikaci opuštěných nebo málo používaných účtů, které by byly ideálními nástroji pro hackery. Systém Logpoint také shromažďuje zprávy protokolu událostí generované pomocí Aktivní adresář pro detekci neúspěšných pokusů o přihlášení a akce prolomení hesla hrubou silou.

Software Logpoint SIEM zahrnuje specializované Analýza chování uživatelů a entit (UEBA) . Tím se stanoví základní linie pro typické chování uživatelů a normální provoz, který lze očekávat od každého zařízení v síti. Proces UEBA využívá strojové učení k vytvoření základní linie normální aktivity. To je důležité, protože předem připravená sada pravidel detekce anomálií se nebude vztahovat na každého uživatele v každé firmě na světě. Když SIEM začínaly, aplikace nastavených pravidel vytvořila příliš mnoho falešných poplachů. UEBA přizpůsobuje nastavení výstrah, aby zabránila označení legitimní aktivity jako podezřelé.

Inteligence hrozeb

Logpoint poskytuje nástroji SIEM informace o typické útočné vektory ve formě informačního kanálu o hrozbách. Analytici společnosti Logpoint neustále zkoumají nové metodologie útoků a vymýšlejí seznam zranitelností, které usnadňují přístup pro pokročilé přetrvávající hrozby. Logpoint SIEM také funguje jako skener zranitelnosti a identifikuje body na monitorovaném systému, které je třeba překalibrovat, aby se zabránilo podobným útokům.

Dodržování bezpečnostních standardů

Logpoint je jako podnik se sídlem v EU velmi silný GDPR dodržování. Bezpečnostní nástroj má na řídicím panelu celé sekce, které se zaměřují na soulad s GDPR a zahrnuje funkce auditu a hlášení GDPR.

LogPoint SIEM soulad s GDPR

Umístění údajů je pro GDPR obzvláště důležité. Je to proto, že předpisy stanoví, že informace o občanech EU by neměly být zasílány mimo EU. Logpoint SIEM je schopen sledovat všechna připojení podle fyzické polohy korespondenta. Tyto informace jsou prezentovány jako živá data a jako analytický graf historických dat.

Tyto záznamy založené na umístění urychlují audit shody a hlášení pro GDPR. Předem napsané formáty zpráv, které jsou dodávány s Logpoint SIEM, zahrnují řadu rozložení, která jsou potřebná pro Soulad s GDPR .

Reakce na incident

Funkce odezvy na incidenty aplikace Logpoint SIEM spoléhají na analýzu síťového provozu a souborů protokolů k detekci možného narušení nebo vnitřních hrozeb. Detekce podezřelé aktivity spustí upozornění pro pracovníky správy sítě, každé s vysvětlením důvodů varování. Systémové skenování v reakci na nové informace o hrozbách také produkuje doporučení pro zpevnění systému .

LogPoint SIEM Incident Response

Logpoint SIEM nezahrnuje akce pro zmírnění hrozeb automatizace. To by mohlo být vnímáno jako slabina služby Logpoint SIEM ve srovnání s proaktivnějšími konkurenčními produkty SIEM. Společnosti mohou být nervózní z toho, že nechají počítačový program řídit činnost blokováním provozu a rušením účtů. V takovém případě by byla atraktivnější strategie Logpoint SIEM doporučení akcí spíše než automatizace akcí.

Možnosti konfigurace logpointu

Software Logpoint SIEM běží na Ubuntu Linux. Alternativně může být spuštěn na virtuálním počítači, v takovém případě může být hostován na libovolném serveru. Logpoint také nabízí Logpoint SIEM jako zařízení s předinstalovaným veškerým softwarem SIEM.

Logpoint implementace

Software není tak snadné nastavit a obvykle jeden z distributorů Logpoint zajde na stránku klienta, aby software nastavil. Na jedné straně je tato zakázková služba známkou vysoce speciálního produktu, ale na druhé straně může tento instalační postup odradit některé potenciální zákazníky. Někteří se mohou obávat, že jakékoli změny provedené v IT infrastruktuře by vyžadovaly, aby se distributor Logpoint vrátil a změnil instalaci softwaru, což by znamenalo poplatky za volání.

Proces nákupu, jak je popsán na webu Logpoint, se zdá být dlouhý, zdlouhavý proces, počínaje dílna zahrnující klíčové pracovníky IT a konzultanty Logpoint. Tento přístup šitý na míru a vedený poradenstvím je ve velkém kontrastu s mnoha dnes dostupnými hlavními produkty SIEM.

Ve zbytku odvětví se konkurenti Logpointu přesunuli do cloudových služeb. Tyto systémy vyžadují předplatné a poté je služba okamžitě dostupná. Průvodci na řídicím panelu SaaS SIEM vedou nového uživatele ke stažení programu agenta, který pak provede proces automatického zjišťování a sám se nainstaluje po síti.

Podniky, které nemají vlastní IT tým, budou mít problém najít klíčové zaměstnance, které by poslaly na úvodní implementační workshop Logpoint, a lépe by jim posloužila jedna ze spravovaných služeb SIEM, které jsou nyní k dispozici.

Řídicí panel Logpoint

Uživatelské prostředí Logpoint je barevné a atraktivní . Obrazovka konzoly je opatřena záložkami, takže uživatelé mohou rychle přepínat mezi daty týkajícími se každého detekčního modulu. Příkladem je níže zobrazená obrazovka Správa uživatelských účtů.

LogPoint SIEM - přidat správu uživatelských účtů

Analytické funkce konzoly nabízejí příležitost odhalit související události a rozhodnout o vhodných reakcích. Kromě prezentace dat o incidentu v grafické podobě obsahuje Logpoint předem napsané formáty zpráv. Součástí je i analytický engine ad-hoc vyhledávací a třídicí funkce které umožňují analytikům zahájit vlastní vyšetřování.

Níže je uveden příklad obrazovky analýzy dat.

LogPoint SIEM - vyhledávání a třídění

V tomto příkladu analytik požádal Logpoint SIEM, aby vykreslil data za několik dní, aby hledal pokročilou trvalou hrozbu. Období analýzy lze upravit tak, aby zobrazovaly události za nastavitelné časové období, nejen nedávná data.

Chcete-li se dozvědět více o cenách, zaregistrujte se na anabídku a bezplatné demo.

Logpoint SIEM Zaregistrujte se a získejte ZDARMA demo

Alternativy k Logpoint

Implementační model Logpointu je velmi elegantní a všechny předinstalační schůzky s konzultanty pravděpodobně osloví IT ředitele velkých společností. Malé podniky s ohledem na rozpočet však nebudou mít peníze ani čas projít všemi překážkami, které nákup tohoto bezpečnostního softwaru zřejmě zahrnuje. Proč se nezaregistrovat online pro některý z dalších nástrojů SIEM na trhu a nechat si jej nainstalovat?

Logpoint je velmi silný na správu protokolů a analýzu ale existují silnější rivalové, kteří mají lepší možnosti sledování provozu. Podniky, které chtějí implementovat nástroj SIEM automatické zmírňování hrozeb by bylo také lepší s jedním z dalších nástrojů SIEM na trhu.

Chcete-li se dozvědět více o SIEM a nejlepších systémech, které konkurují na trhu, podívejte se na náš příspěvek na nejlepší nástroje SIEM . Místo toho byste mohli zaměstnat tým odborníků SIEM na základě předplatného, ​​podívejte se na nejlépe spravované služby SIEM pošta.

Zde je deset nejlepších alternativ k Logpoint SIEM:

  1. Správce událostí zabezpečení SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA) Nástroj SIEM, který zahrnuje odezvu na incidenty v reálném čase a předem nakonfigurované modely dodržování norem. Tento software se instaluje na Windows Server. Zahajte 30denní bezplatnou zkušební verzi.
  2. ManageEngine EventLog Analyzer (ZKUŠEBNÍ ZKOUŠKA ZDARMA) Tento systém je součástí sady nástrojů pro správu infrastruktury, které lze všechny integrovat dohromady. EventLog Analyzer poskytuje funkce SIMLog360lze přidat pro služby SEM. Instaluje se na Windows a Linux. Získejte přístup k 30denní bezplatné zkušební verzi.
  3. Monitorování zabezpečení Datadog Jedná se o cloudový systém monitorování infrastruktury, který obsahuje modul monitorování zabezpečení SIEM.
  4. McAfee Enterprise Security Manager Nástroj SIEM, který je zvláště silný ve správě Active Directory. Instaluje se na Windows a macOS.
  5. Fortinet FortiSIEM Komplexní zahrnuje automatizované obranné reakce. Je založen na cloudu se softwarem agenta na místě.
  6. Rapid7 InsightIDR Cloudová bezpečnostní služba, která obsahuje software agenta pro monitorování zařízení k instalaci. Snadno se instaluje a zahrnuje automatické zmírňování hrozeb.
  7. OSSEC Bezplatný open-source IDS se zvláštním zaměřením na analýzu protokolů. Instaluje se na Windows, MacOS, Linux a Unix.
  8. Platforma LogRhythm NextGen SIEM Zahrnuje metody umělé inteligence pro analýzu provozu a protokolu. Instaluje se na Windows a Linux.
  9. Jednotná správa zabezpečení AT&T Cybersecurity AlienVault Kompletní IDS, které lze klasifikovat jako SIEM plus, protože zahrnuje celou řadu metod detekce a systémových monitorů. Běží na Windows a macOS.
^