Analyse

Hvordan leveres analyser i LogPoint?

Analysetrinnet i LogPoint leveres i en hybridmodel. Analyse noden i LogPoint er en komponent, som bruger data fra mange LogPoint backends. Backenden streamer data i realtid mod analysenoden, hvor data behandles til realtidskorrelationer og alarmeringer. Når en analytiker kræver undersøgelser af data eller foretagelser af langsigtede analyser, udføres forespørgsler mod datalagerne.

Mere information: https://www.logpoint.com/da/loesninger-og-industrier/cybersikkerhed/

Hvordan virker LogPoint analyser?

LogPoints analytiske kapacitet inkluderer både regelbaseret korrelation og machine learning metoder.
En regelbaseret korrelation udføres ved hjælp af regler, der identificerer et mønster i logdataene, mellem logdata og den reagerede hændelse og også mellem logdata og adfærdsrapportering. Avanceret analyse kan udføres ved kaskaderegler for at korrelere den sekventielle forekomst af begivenheder fordelt over tid. Korrelation er forbedret ved at integrere trussels feeds og non-time-series data som SQL, LDAP osv.

Mere information: https://www.logpoint.com/da/loesninger-og-industrier/cybersikkerhed/

Har LogPoint indbygget Machine Learning?

Ja. Machine learning er indbygget i LogPoint løsningen. Analytikere drager nytte af alle alarmer, og hændelser er prioriteret af machine learning.
Outputtet fra regler såvel som avanceret analyse og UEBA (hvis det er installeret), bliver alt sammen ledt gennem en prioriteringsmotor. Med prioriteringsmotoren evalueres enhver alarm eller hændelse i forhold til andre observationer fra de involverede enheder.
I sidste ende sikrer Alert Prioritization Engine en betydelig (90%) reduktion af falske positive og “irrelevante” alarmer.

Mere information:
https://www.logpoint.com/en/product/ueba-solution/

Hvad er fordelen ved indbygget Machine Learning?

LogPoint kunder rapporterer at ML-prioriteringen af alt genereret i SIEM løsningen øger effektiviteten af SOCen samt at være oplyst. LogPoint kender ikke til konkurrenter med tilsvarende metoder. Ved at bruge ML til at samle alle de forskellige informationer om hændelserne er den ML-drevne alarmprioritering vital til at hjælpe analytikere med hurtig detektion af trusler og til at være oplyst. En kunde fortæller om en reduktion i hændelsesundersøgelsen fra et gennemsnit på 63 til 2 minutter.

Foretages LogPoint analyser i realtid?

Ja. Realtidsanalyser i LogPoint er udnyttet til dashboards, alarmer og rapporter. Resultatet af frameworket for streaming analysen bruges til at bygge dashboard widgets med historisk data. Streaming frameworket bruges også til at udløse klassiske SIEM alarmer. Samtidig udnyttes streaming laget, når brugere indsender eller planlægger rapporter.

Hvordan analyserer LogPoint historiske data?

LogPoint kan streame historiske data gennem realtid streaming rammerne til forensics- eller undersøgelsesformål. Dette er noget flere konkurrerende løsninger kæmper med at understøtte.

Derfor skelner LogPoint virkelig ikke mellem historisk og realtidsdata. For LogPoint kunder er muligheden for at søge i tre års data en given ting.