LogPoints SIEM-system – sådan virker det

SIEM, der står for Security Information and Event Management, er processen, hvor logdata fra forskellige systemer indsamles og derefter korreleres med det formål at detektere indikationer på kompromittering, angreb eller adfærdsmønstre. Problemet med denne tilgang er, at den har været yderst kompliceret at implementere rent teknisk, hvilket har ført til at et stort antal virksomheder ikke har implementeret sådan et system.

LogPoints SIEM-system er designet fra bunden til at være enkelt, fleksibelt og skalerbart. Vi leverer et værktøj med et strømlinet design, der er nemt at implementere og integrere, hvilket gør det nemt at bruge for alle typer organisationer. Dette betyder at værktøjets arkitektur kan udvides med yderligere funktioner, uden behov for en større opdatering, for fortsat at kunne understøtte din virksomheds skiftende behov i takt med jeres vækst. LogPoints system tager udgangspunkt i følgende dogmer:

  • Ingen virksomhed eller organisation skal have begrænsninger på mængden af data, de kan indsætte i et SIEM-system
  • De arkitektoniske principper skal være enkle for at muliggøre hurtigere og mere effektiv implementering af software
  • Support i verdensklasse, der skal være tilgængelig 24×7, for at hjælpe kunderne med at få mest muligt ud af deres SIEM-system
  • Hos LogPoint har vi mange års erfaring med korrekt implementering- og dimensionering af SIEM-systemer til alle størrelser af virksomheder. Baseret på vores erfaringer har vi udviklet et enkelt LogPoint SIEM Sizing-værktøj, der hjælper med at udregne jeres EPS og GB/dag.

     

LogPoint-arkitektur

LogPoint SIEM-software til administrering af netværkssikkerhed kan opdeles i tre hovedmoduler, der leverer den funktionalitet, der typisk forventes fra et SIEM-system. Disse komponenter kan leveres i en enkelt fysisk enhed eller opdeles på fysiske/virtuelle servere efter behov. Modulariseringen af ​​de enkelte komponenter i LogPoint giver kunderne større fleksibilitet, når de beslutter sig for den SIEM-arkitektur, der fungerer til deres organisation. Mindre netværk ønsker måske at understrege enkeltheden ved design gennem implementering af alle komponenter i en enkelt virtuel enhed, mens større netværk kan opdele komponenterne på tværs af forskellige netværkszoner for at reducere den potentielle belastning på netværket. De tre hovedkomponenter i LogPoint-platformen er:

Get in touch with us and learn why leading brands choose LogPoint:

Get in touch

LogPoint Collectors – Indtagelseskomponenten i LogPoint-systemet

Collectors er ansvarlige for indtagelse, normalisering og berigelse af logdata fra forskellige logkilder til LogPoint-platformen. Dette opnås gennem LogPoints enkle taksonomi og kompilerede plugins, der normaliserer enhver logfil til LogPoints standardiserede nøgle/værdiparformat til langtidsopbevaring. Ved at normalisere logdata ved indtagelse (snarere end ved søgning) kan LogPoint fremskynde søge- og korrelationsprocessen væsentligt.

Der er hundredvis af tilgængelige plugins, når du implementerer LogPoint-softwaren, hvilket forenkler processen med logindtagelse yderligere ved at fjerne besværet med at konfigurere disse selv. Hvis der er et COTS-produkt (commercial-off-the-shelf), som LogPoint ikke har et plugin til, forpligter LogPoint sig faktisk til at få dette skrevet til kunder, som en del af den normale supportproces.

Collector-arkitekturen giver også fuld kapacitet til berigelse af data, hvilket betyder, at samlede events kan korreleres med eksterne metadata til kontekstuel analyse. LogPoint kan bruges til at korrelere Threat Intelligence-feeds mod enhver indsamlet datakilde eller korrelere hændelser med CMDB’er for hurtigt at målrette lokaliseringer af enheder. Alle strukturerede data kan bruges til at berige de indsamlede data. Disse funktioner øger ydeevnen og nøjagtigheden af ​​analyser gennem indtagningstid-berigelse – uden behov for at importere og fragmentere eksisterende data.

Ud over ​​Collector leverer vi også LogPoint Agent, der muliggør transmission af krypterede logdata, system- og integritetsovervågning af logkilder og hentning af logdata fra kilder, der ikke har en metode til datatransmission indbygget til netværkssikkerhedsværktøjet. LogPoint Agent kan implementeres og styres fra en central LogPoint-server for at forenkle formidlingen af ​​funktionaliteten på tværs af kundernes bredere netværk.

LogPoint Backend – Opbevarings komponenten i LogPoint-løsningen LogPoint-systemets backend er en NOSQL-baseret opbevaringsløsning. Dette betyder, at alle data gemmes i flat file, hvilket muliggør søgninger, der kun tager sekunder. Denne arkitektur opdeles derefter i individuelle opbevaringssteder, der defineres af kunden, så det passer bedst til forretningsbehov. Disse repositories (repos) kan styre opbevaringspolitikker på individuelt grundlag, hvilket betyder, at fornuftig brug af repos kan give virksomhederne enorme besparelser på lager infrastruktur. LogPoint-platformen giver jer endda mulighed for automatisk at migrere data inden for repo til forskellige lagringsniveauer, når dataene bliver ældre, indtil et tidspunkt, hvor data ikke længere er påkrævet, hvor de automatisk kan slettes. Adgangskontrol er integreret i systemet, så administratorer kan kontrollere, hvilken af ​​deres sikkerheds analytikere, der kan se, hvilken repo. Dette kan være særligt nyttigt i miljøer, hvor kunder ønsker at gemme logdata, men ønsker at begrænse korrelationen af ​​disse data til et par pålidelige medarbejdere (såsom HR-oplysninger).

LogPoint Search head – LogPoints analytiske komponent Search Head er der, hvor kunderne udvikler det brugerdefinerede indhold, der udtrækker værdi fra de rå og normaliserede logdata. Den indbyggede loganalysemotor bruger dette indhold til automatisk at registrere og advare om kritiske hændelser på dine systemer. Overvågede begivenheder kan være meget forskellige og kan f.eks. Omfatte et igangværende angreb, et kompromitteret system, ondsindet insideraktivitet, forringelse af ydeevnen og meget mere.

For at gøre det muligt for din organisation at skabe værdi hurtigt tilbyder LogPoint flere forudkonfigurerede konfigurationer baseret på over 400 cases, så dit team kan orkestrere analyser og playbooks uden besvær. Analytikere producerer indhold (dashboards, alarmer, rapporter) gennem søgefunktionen i LogPoint-portalen, som udnytter den enkle taksonomi for at forenkle processen. Alt, der er gemt i LogPoint-backend, kan søges frem ved hjælp af de samme nøgle-/værdipar-identifikatorer, hvilket betyder, at selv i tilfælde af ny funktionalitet, der frigives af LogPoint, vil alt det eksisterende indhold fortsat fungere som før.

Hændelser inden for LogPoint kan tildeles risikoniveauer og derefter tildeles en bruger. Dette kan derefter bruges til at undersøge de data, der har udløst hændelsen direkte gennem GUI. Når hændelsen er undersøgt, kan analytikeren enten kommentere, løse, lukke eller genåbne hændelsen. Endeligt er det muligt at tildele four eye-princippet til individuelle nøgle/værdipar inden for logfiler gennem implementeringen af ​​Data Privacy mode.

I LogPoint kan ethvert felt, der kan bruges til at identificere en given bruger, krypteres/tilsløres, når de præsenteres for GUI. Analytikeren kan stadig køre forespørgsler, se dashboards, rapporter osv., Men de krypterede feltværdier vises og ikke de rigtige data. Hvis analytikeren skal se de ukrypterede data, kan man anmode om tidsbaseret adgang fra organisationens, Data Privacy Officer.

LogPoint Support

LogPoints supportfunktion er førende inden for hurtig og effektiv support til LogPoint-fællesskabet, hvilket vores score i Gartners Peer Insights-awards bevidner om. Ud over standardsupportfunktionerne tilbyder LogPoints supportteam også yderligere assistance for at sikre en jævn løbende SIEM-implementering for kunderne. Dette inkluderer:

Plugin udvikling ikon

Plugin-udvikling

Hvis kunder har brug for nye logkilder, og der ikke findes et plugin, kan teamet forpligte sig til at få dette udviklet inden for få dage. Hvis logkilden er et kommercielt produkt, gøres det som en del af den eksisterende kontrakt.

use case assistance ikon

Use case-assistance

Hvis en kunde ikke føler sig sikker i udviklingen af casen, står vores supportteam klar til at hjælpe med at oversætte en kundes idé til almindelig tekstbrug til LogPoint-søgesproget.

Rapporter ikon

Rapporter, dashboards, use cases

LogPoints support arbejder konstant på yderligere indhold til kunder og bestræber sig på at levere så meget funktionalitet som muligt til kunder så hurtigt som muligt.

LogPoints Director til kontrolleret netværkssikkerhed

LogPoints Director er et multi-tenant-komponent i det LogPoint-styrede netværkssikkerhedsværktøj, der tillader kunder (eller MSSP’er) at administrere store miljøer i adskilte “LogPoint Pools”, der består af de tre ovennævnte LogPoint-moduler, uanset hvilken konfiguration der kræves.

Logisk opdeling af disse puljer giver kunderne mulighed for at begrænse både synlighed og langvarig lagring af data til analytikere og regioner, hvor disse data skal opbevares. Eksempler på dette kan omfatte begrænsning af lagring af tyske logdata til en pool, der er specielt hosted i Tyskland.

Læs mere
managed network security

Fordele ved LogPoint

Enkel taksonomi ikon

Enkel taksonomi

LogPoint sikrer en enkel taksonomi til normalisering af logdata, hvilket muliggør en brugervenlig søgefunktion til oprettelse af dashboards, alarmer og rapporter. Ved at oversætte alle logfiler til en forenklet taksonomi bliver søgning på tværs af en bred vifte af logkilder lettere og mere effektiv.

Simplificeret rod-baseret ikon

Simplificeret rolle-baseret adgangskontrol

Administrativ brugeradgang er bundet til AD via LDAP, for at gøre det nemmere at definere tilladelser. Gruppetilladelser til systemet er tilpasset en rollebaseret tilgang til administrative rettigheder, hvilket giver fuld kontrol over adgang til både logopbevaringsstederne og dashboard-brugen

Fuld HA implementeringsikon

Fuld HA-implementering

LogPoint HA-arkitekturen tillader synkronisering af både indeks- og hændelsesdata på en fejltolerant måde, hvilket giver en robust integritet til datalagring. Enhver gendannelse foregår hurtigt, mens platformen fungerer i failover-tilstand.

Platform design ikon

Agilt platformsdesign

LogPoint-systemet har et agilt design med en intuitiv grænseflade, der er bygget til administratorer med erfaring inden for netværkssikkerhedværktøjer eller ad hoc-brugere.

Fleksibel arkitektur ikon

Fleksibel / skalerbar arkitektur

LogPoint-arkitektur er fleksibel og kan skaleres lineært til store og komplekse implementeringer. Netværkssikkerheds værktøjet kan implementeres i enten fysiske eller virtuelle miljøer og on-location eller i skyen.

Unik licens model ikon

Unik licensmodel

Fair og holistisk licensmodel. Ingen skjulte omkostninger, takket være den transparente licensstruktur. Vedtagelse af en node-baseret model fremfor et EPS/MPS-grundlag, som mange andre SIEM-leverandørmodeller bruger til kontrolleret netværkssikkerhed.

Data privatlivstilstands ikon

Data privatlivstilstand

Ved at bruge Data privatlivstilstand er det muligt at sikre, at konteksten af ​​logfilerne kan medtages i multinationale søgninger uden at gå på kompromis med behovet for at sikre, at oplysningerne forbliver sikre. Denne funktionalitet er især fordelagtig, når data skal forblive i en region.

 

Strømlinet normaliserings ikon

Strømlinet normaliseringsarkitektur

Plugin-arkitektur muliggør en dynamisk udvikling og brugerdefineret forbedring. Logfiler indsamles ved hjælp af forskellige metoder og kilder. Hvis der ikke findes et plugin inden implementeringen, opretter LogPoint det. Udvikling opkræves ikke for kommercielle produkt.