LogRhythm SIEM Recenze a alternativy
LogRhythm je jedním z nejvíce na světě inovační SIEM řešení s možností instalace on-premise nebo k nim přistupovat jako ke cloudové službě. Software SIEM je velmi komplikovaný a také velmi výkonný. Návrháři balíčku však hodně přemýšleli o tom, aby se systém snadno používal tím, že do něj zahrnuli Deployment Center , která nasazuje průvodce, kteří uživatele provedou úkoly vyšetřování dat.
Vše o SIEM
SIEM je forma Systém detekce narušení (IDS) . Zkratka znamená Bezpečnostní informace a správa událostí . Termín označuje smíšenou strategii složenou ze dvou přístupů ke zkoumání dat.
Správa bezpečnostních informací (SIM) je postup, při kterém se v souborech protokolu vyhledávají náznaky škodlivé činnosti. To je to, co se nazývá a Host-based Intrusion Detection System (HIDS) .
Správa bezpečnostních událostí (SEM) zahrnuje hledání neoprávněné aktivity v projíždějícím provozu. Toto je podobné jako Deep Packet Inspection (DPI) provádějí pokročilé firewally. SEM je a Network-based Intrusion Detection System (NIDS) který pracuje s daty hlavičky procházejících paketů a získává informace o aktivitách uživatelů.
Výhodou SEM je, že je velmi rychlý. Pokud je zaznamenána podezřelá aktivita, lze s touto aktivitou okamžitě jednat. To však není příliš účinné v boji proti aktivitám stealth hackerů, jako je např Pokročilé trvalé hrozby (APT) . V APT získá skupina hackerů přístup k systému a je schopna prohledávat soubory a dokonce využívat systémové prostředky pro své vlastní účely, aniž by byla odhalena. Hacker se vyhýbá detekci tím, že pracuje prostřednictvím běžných uživatelských účtů.
SIM dokáže identifikovat neoprávněné akce prováděné legitimními uživateli. To nejen rozpoznává APT, ale také blokuje zasvěcené hrozby . Moderní událost ztráty dat lze identifikovat pouze při pohledu na řadu akcí, z nichž každá se jednotlivě zdá neškodná, ale při společném zkoumání naznačují útok. Velkým problémem SIM karty je, že vytvoření úplného obrazu o aktivitách může chvíli trvat. V době, kdy se objeví podezřelý vzorec činnosti, jsou data společnosti pravděpodobně již ukradena.
Kombinací SIM a SEM mohou systémy SIEM zlepšit rychlost identifikace hrozeb a zároveň jsou schopny vidět útoky, které se vyhýbají detekci tradičními opatřeními kybernetické bezpečnosti. SIEM není určen k tomu, aby nahradil firewally a jiné hraniční ochrany; jeho cílem je identifikovat a odhalit typy útoků, které firewally nemohou blokovat.
O LogRhythm
Společnost LogRhythm, Inc zahájila činnost v roce 2003. Společnost sídlí v Boulder, Colorado ale má také pobočky po celém světě. Podnik začal konkrétně vyvíjet bezpečnostní řešení, která těží informace ze souborů protokolů systému. SIEM je primárním příkladem systému založeného na logfile, a proto byl vývoj LogRhythm SIEM prioritou společnosti.
Zakladatelé společnosti, Chris Petersen a Filip Villella zkoumali inovativní metody pro sběr, formátování a zpracování logových dat a jsou držiteli několika patentů v této oblasti. To dává LogRhythm konkurenční výhodu na trhu SIEM, protože čím rychleji lze zpracovat soubory protokolu, tím dříve lze anomální událost zaznamenat.
Přehled LogRhythm SIEM
Úplný název LogRhythm SIEM je Platforma LogRhythm NextGen SIEM . Služba se skládá z pěti základních prvků a dvou volitelných modulů. Tyto jsou:
- NetMon – Živý monitor sítě, který získává důležité informace o paketech pro analýzu.
- SysMon – Agent pro distribuovaný sběr dat a monitor koncových bodů.
- AnalytiX – Správce protokolů.
- DetectX – Modul pro vyhledávání hrozeb.
- RespondX – Systém bezpečnostní organizace a odezvy (SOAR).
- NetworkXDR – Volitelný modul, který poskytuje rozšířené monitorování sítě.
- UserXDR – Volitelný modul, který je řešením analýzy chování uživatelů a entit (UEBA).
Každý z těchto modulů je dále vysvětlen níže.
NetMon
NetMon je hlavním zdrojem živých dat o síťovém provozu pro analytický stroj SIEM. Ke čtení metadat v hlavičkách paketů používá Deep Packet Inspection (DPI). To službě umožňuje protokolovat provoz podle aplikace, uživatele a koncového bodu. Tyto informace jsou formátovány podle SmartFlow protokol pro analýzu při nahrání do centrálního analytického nástroje. Tento systém shromažďuje perspektivy síťového zásobníku od vrstvy 2 po vrstvu 7.
Modul NetMon neshromažďuje pouze data pro analýzu; také působí. Dokáže rekonstruovat přílohy e-mailů, když cestují v řadě paketů, zaznamenává škodlivý obsah a smaže je, pokud je čas, nebo aktualizuje jejich stav v cíli, aby indikoval problém.
NetMon má vlastní monitorovací obrazovky sítě v řídicím panelu LogRhythm, které zahrnují stavová upozornění a nastavitelné prahové hodnoty . Obrazovky s údaji jsou přizpůsobitelné a údaje o síťovém provozu lze také předávat jiným aplikacím prostřednictvím rozhraní API. Údaje o provozu zahrnují zdroj a cíl externích připojení, identifikovanou komunikaci s řadiči botnetů a aktualizovatelný seznam zakázaných IP adres.
SysMon
SysMon je hlavní systém sběru dat LogRhythm. Má komponenty na každém sledovaném koncovém bodě a má také centrální ovladač. The Ovladač sysmon přijímá data od každého agenta a posílá zpět pokyny pro odpovědi.
The Agenti SySMon nainstalovat na koncové body a servery, abyste mohli shromažďovat data protokolu a generovat vlastní statistiky LogRhythm a poté je odesílat do centrálního řadiče.
Mezi úkoly patří monitorování integrity souborů, aby se zajistilo, že s místními soubory nebude manipulováno. Centrální SysMon plní stejnou povinnost se shromážděnými daty. Agenti také monitorují procesy na každém počítači, provádějí místní bezpečnostní kontroly včetně ochrany registru, monitorování připojených zařízení a místního blokování přístupu uživatelů se zlými úmysly.
K tomu přispívají také agenti SysMon živé sledování síťového provozu protokolováním každého připojení vytvořeného nebo přijatého monitorovaným zařízením. Všechny aktivity na zařízeních jsou protokolovány proti uživatelskému účtu, který byl v danou chvíli aktivní.
AnalytiX
AnalytiX je správce protokolů logRhythm. Přijímá všechna data protokolu přenášená SysMon a vkládá tyto záznamy do společného formátu, než je odešle na Dashboard, kde je zobrazí a uloží.
Při přeformátování záznamů AnalytiX označuje podezřelé akce a spojuje události. Soubory protokolu jsou uloženy ve smysluplných adresářích a součást vyhledávače, kterou dodává Elasticsearch zpřístupňuje tyto nezpracované protokoly pro přímý přístup uživateli a jakékoli další zainteresované straně, jako je například auditor dodržování norem.
DetectX
DetectX je lovec hrozeb logRhythm. Vezme strukturované soubory vytvořené AnalytiX a aplikuje na ně pravidla detekce služeb. Tato komponenta je přizpůsobitelná požadavkům standardů bezpečnosti dat. Pravidla pro detekci jsou neustále aktualizována prostřednictvím živého informačního kanálu o hrozbách.
Proces DetectX identifikuje škodlivé aktivity a spustí příslušné pracovní postupy k jejich ukončení. Tyto akce budou provedeny do RespondX .
RespondX
RespondX je Bezpečnostní organizace, automatizace a reakce (SOAR) jednotka LogRhythm. Propojuje se s dalšími systémovými službami, jako jsou firewally a správci přístupových práv, shromažďuje další data a také implementuje pracovní postupy odezvy.
Metodika zmírnění RespondX se nazývá Automatizace SmartResponse . Mění pravidla brány firewall tak, aby blokovala podezřelé IP adresy a rozhraní se systémy pro přístup uživatelů k pozastavení účtů.
NetworkXDR
NetworkXDR je volitelný modul, který vylepšuje detekční schopnosti NetMon. Je schopen zaznamenat aktivitu na několika bodech sítě, které indikují a boční útok . Používá strojové učení vytvořit základ pro pravidelnou síťovou aktivitu spíše než ukládat prahovou úroveň, která by mohla být příliš přísná.
UserXDR
UserXDR je volitelný modul, který zlepšuje sledování uživatelského chování SysMon. Toto je a Analýza chování uživatelů a entit (UEBA) služba, která používá strojové učení AI k vytvoření vzoru normálního chování každého uživatele a skupiny uživatelů.
Systém UserXDR vyhledává opuštěné účty, které jsou bezpečnostními slabinami. Je také schopen spravovat oprávnění udělená uživatelům, kteří se připojují k vlastním zařízením.
Ovládací panel LogRhythm SIEM
Řídicí panel pro LogRhythm SIEM je webový a lze k němu přistupovat z kteréhokoli z následujících webových prohlížečů:
- Google Chrome
- Microsoft Internet Explorer
- Microsoft Edge
- Mozilla Firefox
Konzole SIEM je záložka přičemž řídicí panel je jedním prvkem rozvržení. Další karty umožňují přístup k nástrojům, jako jsou seznamy výstrah a sestavy. Dvě další karty v dolní části obrazovky umožňují přístup k seznamu úkolů a přímý přístup k protokolům vyhledávání.
Pozadí palubní desky je černé se světlejšími barvami použitými pro text a grafiku. Každá obrazovka na palubní desce nabízí směs grafů a textových panelů, jak je znázorněno na příkladu Analyzovat palubní deska níže.
Každý prvek na obrazovce, například panel Analýza, nabízí přístup k obrazovce s podrobnostmi. Prvky na panelu ligové tabulky jsou aktivní odkazy na obrazovky s podrobnostmi. Všechny obrazovky v řídicím panelu analýzy nabízejí datové filtry takže vizualizovaná data lze izolovat až na konkrétní zařízení nebo uživatele.
Možnosti konfigurace LogRhythm SIEM
Software LogRhythm SIEM běží dál Windows Server 2012 a později. LogRhythm může také dodat veškerý software pro LogRhythm NextGen SIEM Platform předem nainstalovaný na spotřebič . Systém je k dispozici také jako cloudová služba , která zahrnuje výpočetní výkon a úložný prostor.
Hlášení o shodě LogRhythm SIEM
Systém LogRhythm lze přizpůsobit tak, aby se soustředil na dodržování specifických standardů zabezpečení dat. Tyto požadavky na shodu nenahrazují standardní postupy LogRhythm SIEM – každý administrátor má stále přístup ke všem standardním obrazovkám a službám. Úpravy shody přicházejí ve formě zvláštních modulů, které se nazývají moduly automatizace dodržování předpisů .
Moduly jsou k dispozici pro následující standardy:
- 201 CMR 17:00
- Základní ochrana BSI IT
- Kritické bezpečnostní kontroly CIS
- DoDi 8500,2
- FISMA
- GDPR
- GLBA
- GPG 13
- HIPAA, HITECH & MU
- ISO 27001
- VÍCE TRMG
- NYNÍ 08-09 Rev 6
- NERC CIP
- NIST 800-53
- Rámec kybernetické bezpečnosti NIST
- Regulační příručka NRC 57.1
- PCI DSS
- SOX
- SAE-NESA
Kromě toho, že modul pro automatizaci shody zajišťuje úpravy ovládacích prvků monitorování zabezpečení tak, aby byly v souladu s vybraným standardem, upravuje také systémy auditu tak, aby odpovídaly požadavkům standardů. Modul obsahuje knihovnu formátů zpráv, které jsou potřebné při generování dokladu o shodě. LogRhythm distribuuje aktualizace těchto modulů, pokud by se některý ze standardů změnil.
Alternativy k LogRhythm SIEM
LogRhythm SIEM je těžké porazit. Systém je komplexní a zahrnuje automatizované mechanismy odezvy, které mohou být velkou úsporou času. LogRhythm však není jediným SIEM dostupným na trhu a každý, kdo si koupí nový bezpečnostní software, bude pravděpodobně chtít posoudit řadu alternativ.
Chcete-li se dozvědět více o SIEM a nejlepších systémech, které konkurují na trhu, podívejte se na Nejlepší nástroje SIEM . Pokud nemáte čas číst tuto příručku, zde je náš seznam deseti nejlepších alternativ k LogRhythm SIEM.
- Správce událostí zabezpečení SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA) Nástroj, který poskytuje správu protokolů pro analýzu bezpečnostních dat. Nezahrnuje monitorování sítě, ale mohl by být rozšířen o zdroj třetí strany. Tento software se instaluje na Windows Server. Začněte 30denní bezplatnou zkušební verzi.
- ManageEngine EventLog Analyzer (ZKUŠEBNÍ ZKOUŠKA ZDARMA) Systém bezpečnostní analýzy založený na protokolech, který poskytuje SIM část SIEM. To by mohlo být spárováno s OpManager pro poskytování živých síťových dat a vytvoření úplného SIEM. Instaluje se na Windows a Linux. Získejte přístup k 30denní bezplatné zkušební verzi.
- Monitorování zabezpečení Datadog Cloudová služba, která vyžaduje instalaci softwaru agenta na místě. Tento bezpečnostní systém lze spárovat s úplným systémem monitorování sítě.
- McAfee Enterprise Security Manager Dobře naplánovaný SIEM, který zahrnuje správu protokolů a živé sledování provozu. Tento bezpečnostní systém je rozšířen o vysoce kvalitní zdroj informací o hrozbách. Instaluje se na Windows a macOS.
- Fortinet FortiSIEM Cloudový systém SIEM, který nasazuje software agenta na monitorovaná zařízení, aby zajistil kontinuitu během výpadků sítě. Zahrnuje řadu detekčních strategií, jako je UEBA, a integruje automatizované obranné reakce.
- Rapid7 InsightIDR Působivá cloudová bezpečnostní služba, která zajišťuje kontinuitu služeb prostřednictvím modulů agentů na místě. Zahrnuje UEBA a automatizovanou reakci na hrozby.
- OSSEC Bezplatný open source hostitelský systém detekce narušení, který poskytuje funkce SIM. Jako další vstup bude přijímat živá síťová data, ale musí je dodat nástroj třetí strany. Instaluje se na Windows, MacOS, Linux a Unix.
- IBM QRadar Platforma bezpečnostního zpravodajství, která obsahuje modul SIEM. Prvky SIEM zahrnují skenování zranitelnosti, informační kanál o hrozbách, analýzu živého provozu a funkce správy protokolů. Běží na Windows Server.
- Jednotná správa zabezpečení AT&T Cybersecurity AlienVault Dobře uznávaný systém SIEM, který má finanční podporu velmi velké nadnárodní společnosti. Běží na Windows a macOS.