//Funktionsweise

Das SIEM-System von LogPoint– Funktionsweise

SIEM steht für Security Information and Event Management und bezeichnet das Verfahren des Sammelns von Log-Daten aus heterogenen Systemen und der anschließenden Korrelation und Analyse dieser Daten mit dem Ziel, Anzeichen für eine Gefährdung/einen Angriff oder Verhaltensmuster zu finden. Das einzige Problem bei dieser Herangehensweise waren die technisch hochkomplizierten Implementierungen, die dazu führten, dass eine ganze Reihe von Unternehmen auf ein entscheidendes Sicherheitstool verzichteten.

Das LogPoint SIEM-System ist von Grund auf einfach, flexibel und skalierbar gestaltet und bietet optimiertes Design, Bereitstellung und Integrationstools, die allen Unternehmen den Einsatz von SIEM-Tools ermöglicht. Das heißt, die Architektur kann ständig durch Zusatzfunktionen erweitert werden, ohne dass eine vollständige Major Release erforderlich wäre, um die wachsenden und sich verändernden Anforderungen Ihres Unternehmens zu unterstützen.

Das LogPoint-System beruht auf einer Reihe festgelegter Mandaten;

  • Kein Unternehmen sollte durch die Datenmenge, die es in ein SIEM-System eingeben kann, eingeschränkt werden.
  • Vereinfachte Architekturprinzipien für schnellere und effizientere Software-Implementierungen
  • Erstklassiger 24/7 Support, damit Kunden den größtmögliche Nutzen aus ihrem SIEM-System ziehen können

Bei LogPoint verfügen wir über jahrelange Erfahrung in der SIEM-Implementierung und der korrekten Dimensionierung von Kundeninstallationen in allen Bereichen. Basierend auf unseren Erfahrungen haben wir einen einfachen LogPoint SIEM Sizing Calculator entwickelt, der Ihnen hilft, das EPS und GB/Tag zu schätzen.

LogPoint-Architektur

LogPoints SIEM-Software kann in drei Hauptmodule untergliedert werden, welche Funktionen bieten, die von einem SIEM-System typischerweise erwartet werden. Diese Komponenten können im Rahmen einer einzigen physischen Appliance geliefert werden oder verteilt über viele physische/virtuelle Server, je nachdem, was für die Geschäftsanforderungen sinnvoll ist.

Die Modularisierung der einzelnen Komponenten in LogPoint ermöglicht Kunden größere Flexibilität bei der Entscheidung über die SIEM-Architektur, die in ihrem Unternehmen verwendet wird. Kleinere Netzwerke legen vielleicht Wert auf die Einfachheit des Designs durch Implementierung aller Komponenten in einer einzigen virtuellen Appliance, während größere Netzwerke die Komponenten über verschiedene Netzwerkzonen verteilen können, um die potentielle Last für das Netzwerk zu reduzieren.

Die drei Hauptelemente der LogPoint-Plattform sind:

LogPoint Collectors – Die Ingest-Komponente des LogPoint-Systems

Collectors sind für die Aufnahme, Normalisierung und Anreicherung von Log-Daten aus heterogenen Log-Quellen in die LogPoint-Plattform verantwortlich. Erreicht wird das durch LogPoints einfache Taxonomie und seine kompilierten Plugins, die jede Log-Datei zur Langzeitspeicherung in LogPoints standardisiertes Schlüssel-/Wertepaar-Format normalisiert. Durch Normalisierung der Log-Daten bei ihrer Aufnahme (statt bei der Suche), kann LogPoint den Such- und Korrelationsprozess erheblich beschleunigen.

Bei der Implementierung der LogPoint-Software stehen Hunderte Plugins out-of-the-box zur Verfügung, die Ihnen den Prozess der Log-Aufnahme weiter vereinfachen, da Sie sie nicht mehr selbst konfigurieren müssen. Falls es wirklich ein Commercial-off-the-Shelf (COTS)-Produkt gibt, für das LogPoint keinen Plugin bietet, verpflichtet sich LogPoint, im Rahmen des normalen Support-Verfahrens in wenigen Tagen eines für die Kunden zu schreiben.

Die Collector-Architektur bietet auch umfassende Funktionen zur Datenanreicherung, das heißt, die erfassten Ereignisse können für kontextbezogene Analysen mit externen Metadaten korreliert werden. LogPoint kann beispielsweise genutzt werden, um Threat-Intelligence-Feeds mit jeder gesammelten Datenquelle oder Vorfälle mit CMDBs zu korrelieren, um schnell und zielgenau die Position von einzelnen Geräten zu bestimmen. Zur Anreicherung der gesammelten Daten können beliebige strukturierte Daten verwendet werden. Diese Funktionen erhöhen die Leistung und Genauigkeit der Analyse, da die bestehenden Daten bereits während der Aufnahmezeit angereichert werden, ohne sie erst importieren und fragmentieren zu müssen.

Neben dem Collector bietet LogPoint den LogPoint Agent, der die Übertragung verschlüsselter Log-Daten, die System- und Integritätsüberwachung von Log-Quellen sowie die Abholung von Log-Daten aus Quellen, die über keine einfache systemeigene Datenübertragungsmethode verfügen, ermöglicht.

Der LogPoint Agent kann von einem zentralen LogPoint-Server aus implementiert und verwaltet werden, um die Verbreitung der Funktionalität über das größere Netzwerk der Kunden zu erleichtern.

LogPoint Backend – Die Speicher-Komponente der LogPoint-Lösung

Das Backend des LogPoint-Systems ist eine NOSQL-basierte Speicherlösung. Das heißt, dass alle Daten in einer flachen Datei gespeichert werden, die Suchläufe in Sekundenschnelle ermöglicht. Diese Architektur wird dann in individuelle Projektarchive unterteilt, die vom Kunden so definiert werden, wie sie den Geschäftsanforderungen am besten entsprechen.

Diese Projektarchive (Repos) können Aufbewahrungsrichtlinien individuell verwalten, d.h. die sinnvolle Nutzung von Repos kann Unternehmen zu massiven Einsparungen bei der Speicherinfrastruktur verhelfen. Mit der LogPoint-Plattform können Sie alternde Daten in Repos auch automatisch auf verschiedene Speicherebenen migrieren, solange bis die Daten nicht mehr gebraucht werden und automatisch gelöscht werden können.

Schließlich wird die Zugangskontrolle in das System integriert, so dass Administratoren kontrollieren können, welche ihrer Sicherheitsanalysten welches Repo einsehen können. Das kann besonders in Umgebungen nützlich sein, in denen Kunden Log-Daten speichern möchten, die Korrelation dieser Daten aber auf wenige vertrauenswürdige Mitarbeiter beschränken möchten (z.B. HR-Dokumente).

LogPoint Search Head – Die Analyse-Komponente des LogPoint-Systems

Search Head ist dort, wo Kunden den benutzerdefinierten Inhalt entwickeln, der Werte aus rohen und normalisierten Log-Daten nutzt. Die eingebaute Log-Analyse-Engine nutzt diesen Inhalt, um kritische Ereignisse in Ihren Systemen automatisch zu erkennen und zu melden. Überwachte Ereignisse können sehr verschieden sein und beispielsweise einen andauernden Angriff, ein kompromittiertes System, bösartige Insider-Aktivitäten, Performance-Einbrüche und vieles mehr umfassen.

Damit Ihr Unternehmen schnell einen Mehrwert generieren kann, bietet LogPoint mehrere vorkonfigurierte Einstellungen an, die auf über 400 Anwendungsfällen basieren und Ihrem Team ermöglichen, Analysen und Playbooks zu orchestrieren, ohne unzählige Stunden professioneller Dienstleistungen in Anspruch zu nehmen. Analysten produzieren Inhalt (Dashboards, Alerts, Reports) mithilfe der Suchfunktion des LogPoint-Portals, das die einfache Taxonomy nutzt, um den Prozess zu vereinfachen. Alles, was im LogPoint-Backend gespeichert ist, kann mithilfe derselben Schlüssel-/Wert-Paar-Bezeichner gesucht werden. Das heißt, selbst wenn LogPoint eine neue Funktion freigibt, alle bestehenden Inhalte weiter funktionieren wie ursprünglich vorgesehen.

In LogPoint können Ereignisse Warnungen auslösen, sie können aber auch so konfiguriert sein, dass sie einen Vorfall auslösen. Vorfälle in LogPoint können Risikostufen zugeordnet werden, die dann einem Nutzer zugeordnet werden. Damit kann man dann direkt durch das GUI zu den Daten springen, die den Vorfall ausgelöst haben. Sobald der Vorfall untersucht wurde, kann der Analyst den Vorfall entweder kommentieren, lösen, schließen oder erneut öffnen.

Um die Trennung von Daten schließlich weiterhin zu ermöglichen, ist es durch Implementierung des Data Privacy Mode möglich, einzelnen Schlüssel-Wert-Paaren in den Logs das Vier-Augen-Prinzip zuzuordnen. In LogPoint kann jedes Feld, das zur Identifizierung eines bestimmten Nutzers verwendet werden kann, verschlüsselt/verschleiert werden, wenn es der Konsole so präsentiert wird, dass kein Analyst die Originaldaten sehen kann. Der Analyst kann Abfragen durchführen, Dashboards und Reports usw. ansehen; gezeigt werden aber die verschlüsselten Felddaten, nicht die realen Daten. Sollte es nötig sein, dass der Analyst die unverschlüsselten Daten sieht, kann er von dem vom Unternehmen ernannten Datenschutzbeauftragten zeitlich beschränkten Zugang erhalten.

LogPoint Director

Der Director ist eine mandantenfähige Komponente des LogPoint-Systems, mit der Kunden (oder MPPs) große Umgebungen in getrennten „LogPoint Pools“, die aus den 3 anderen LogPoint-Modulen in jeder gewünschten Konfiguration bestehen, verwalten können.

Die logische Trennung dieser Pools ermöglicht Kunden, sowohl die Sichtbarkeit als auch die langfristige Speicherung von Daten ausschließlich auf die Analysten und Regionen zu beschränken, in denen diese Daten gespeichert werden sollten. Beispielsweise könnte die Speicherung deutscher Logdaten auf einen speziell in Deutschland gehosteten Pool beschränkt sein.

LogPoint Director managed network security tool

LogPoint Support

Der Support von LogPoint ist führend in der Bereitstellung von schneller und effektiver Unterstützung für die LogPoint-Community, wie das auch die führenden Bewertungen bei den Peer Insights Awards von Gartner belegen. Neben den Standardfunktionen erwartet Kunden auch zusätzliche Betreuung vom LogPoint Support-Team, um einen reibungslosen Ablauf der SIEM Bereitstellung zu gewährleisten. Dies einschließt:

Blog

Entwicklung von Plugins

Sollten Kunden die Anbindung einer neuen Log Quelle benötigen und ein Plugin noch nicht vorhanden ist, kann sich das Support-Team engagieren, diese innerhalb weniger Tage zu entwickeln, ohne auch nur Beispiele von Logdaten zu sehen. Wenn es sich bei der Protokollquelle um ein kommerzielles Standardprodukt handelt, erfolgt dies alles im Rahmen des bestehenden Supportvertrags.

Resources

Unterstützung bei Anwendungsfällen

Sollte sich ein Kunde bei der Entwicklung von Anwendungsfällen nicht besonders sicher fühlen, steht unser Support-Team zur Verfügung, um die im Klartext formulierte Idee eines Kunden in die LogPoint-Suchsprache zu übersetzen.

Ease of use

Reports, Dashboards, Anwendungsfälle

LogPoint Support – wir arbeiten ständig an zusätzlichen Inhalten für unsere Kunden, um ihnen schnellstens so viel Funktionalität wie möglich zur Verfügung zu stellen.

Die wichtigsten Vorteile von LogPoint

Single Taxonomy

Einfache Taxonomie

LogPoint sorgt für eine einfache Taxonomie zur Normalisierung von Log-Daten und ermöglicht so eine benutzerfreundliche Suchfunktion zur Erstellung von Dashboards, Warnungen und Reports. Durch die Übersetzung aller Log-Dateien in eine einzige vereinfachte Taxonomie wird die Suche in einem breiten Spektrum an Log-Quellen einfacher und effizienter.

Simplified role-based access control (kontrol)

Vereinfachte, rollenbasierte Zugangskontrolle

Zur einfacheren Rechtedefinition ist der Zugriff administrativer Nutzer über das LDAP in das AD eingebunden. Gruppenrechte für das System sind an einem rollenbasierten Ansatz der Administratorrechte ausgerichtet und bieten volle Kontrolle über den Zugriff auf Log-Repositories und die Dashboard-Nutzung.

Fully HA deployment (genbrug raket)

Vollständige HA-Implementierung

Die LogPoint HA-Architektur ermöglicht die fehlertolerante Synchronisierung von Index- und Ereignisdaten und liefert dem Datenspeicher robuste Integrität. Wiederherstellungen haben eine schnelle Recovery Point Objective, während die Plattform im Ausfallsicherungsmodus läuft.

Agile Platform Design

Agiles Plattform-Design

Das LogPoint-System verfügt über ein agiles Design mit einer intuitiven Schnittstelle und wurde für erfahrene Administratoren und Ad-hoc-Nutzer gleichermaßen erstellt.

Scalable achitecture

Flexible / skalierbare  Architektur

Die LogPoint-Architektur ist völlig flexibel und skaliert linear mit großen und komplexen Implementierungen. Die Software kann entweder in physischen oder virtuellen Umgebungen sowie On-premise oder in der Cloud implementiert werden.

Unique Licence model

Einzigartiges Lizenzierungsmodell

Faires und ganzheitliches Lizenzierungsmodell, keine versteckten Extrakosten aufgrund der transparenten Lizenzstruktur. Einführung eines Node-basierten Modells, statt des EPS/MPS-basierten Modells, dem viele andere SIEM-Anbieter folgen.

Data Privacy Mode copy

Data Privacy Mode

Durch Nutzung des Data Privacy Mode kann sichergestellt werden, dass der Kontext der Log-Dateien in multinationale Suchvorgänge integriert werden kann, unbeschadet der Notwendigkeit, die permanente Sicherheit der Daten zu gewährleisten.

Streamlined Normalisation Architecture

Optimierte Normalisierungsarchitektur

LogPoint bietet eine Plugin-Architektur, die eine dynamische Entwicklung zulässt, und als Hub zum Vernetzen neuer Features, Funktionen und benutzerdefinierter Erweiterungen dient. LogPoint kann Logs anbieterunabhängig mit einer Reihe gängiger Methoden sammeln. Als solches wird LogPoint Daten von allen Quellen sammeln, die in der Lage sind, Log-Daten zu erzeugen. Steht vor einer Implementierung kein Plugin zur Verfügung, ist LogPoint bestrebt, einen Plugin zu erstellen. Handelt es sich bei der Log-Quelle um ein Commercial-off-the-Shelf (COTS)-Produkt, wird LogPoint die Entwicklung nicht in Rechnung stellen.