Analysen

Wie stellt LogPoint Analysen bereit?

LogPoint stellt Analysen in einem Hybridmodell bereit. Der Analyseknoten von LogPoint ist eine Komponente, die Daten von vielen LogPoint-Backends nutzt. Die Backends streamen Daten in Echtzeit in den Analyseknoten, wo die Daten für Echtzeit-Korrelationen und -Benachrichtigungen verarbeitet werden. Sobald ein Analyst forensische Daten benötigt oder eine langfristige Analyse durchführt, werden Anfragen an die Datenspeicher gestellt.

Weitere Informationen: https://www.logpoint.com/de/losungen-branchen/cybersicherheit/

Wie funktioniert die LogPoint-Analyse?

Die Analysefunktionen von LogPoint beinhalten sowohl regelbasierte Korrelationen als auch Machine Learning-Konzepte. Eine regelbasierte Korrelation wird mithilfe von Regeln durchgeführt, die ein Muster innerhalb der Protokolldaten, zwischen den Protokolldaten und dem Störfall und auch zwischen den Protokolldaten und dem gemeldeten Verhalten erkennen. Eine erweiterte Analyse kann durchgeführt werden, indem Regeln kaskadiert werden, um das aufeinander folgende Auftreten von Ereignissen im zeitlichen Verlauf zu korrelieren. Die Korrelation wird durch die Integration von Bedrohungsfeeds und nicht zeitlich gereihten Daten wie SQL, LDAP usw. verbessert.

Weitere Informationen: https://www.logpoint.com/de/losungen-branchen/cybersicherheit/

Bietet LogPoint integriertes Machine Learning?

Ja. Die LogPoint-Lösung enthält Machine Learning. Analysten profitieren von allen Alarmen, und Vorfälle werden durch Machine Learning priorisiert. Die Ausgabe von Regeln sowie der erweiterten Analyse und UEBA (falls installiert) wird durch eine Priorisierungsengine kanalisiert. Mithilfe der Priorisierungsengine wird jeder Alarm oder Vorfall mit anderen Beobachtungen aus involvierten Entitäten abgeglichen. Letztlich sorgt die Alarmpriorisierungsengine für eine wesentliche Verringerung (90 %) von falsch-positiven oder „irrelevanten“ Alarmen.

Weitere Informationen: https://www.logpoint.com/de/product/ueba-solution/

Was ist der Vorteil von integriertem Machine Learning?

LogPoint-Kunden berichten, dass die ML-Priorisierung aller im SIEM generierten Elemente die Effizienz des SOC erhöht und das situationsbedingte Bewusstsein schärft. LogPoint sind keine Mitbewerber bekannt, die ähnliche Methoden anwenden. Die ML-gestützte Alarmpriorisierung ist ausschlaggebend für die Unterstützung von Analysten bei der schnellen Erkennung von Bedrohungen und beim Aufbau eines situationsbedingten Bewusstseins, um alle verschiedenen Informationsteile eines Vorfalls zusammenzufügen. Ein Kunde berichtet von einer Verringerung der Dauer von Vorfallsuntersuchungen von durchschnittlich 63 auf 2 Minuten.

Werden LogPoint-Analysen in Echtzeit ausgeführt?

Ja. Die Echtzeit-Analyse in LogPoint wird für Dashboards, Alarme und Berichte genutzt. Die Ausgabe des Analyse-Frameworks dient der Entwicklung von Dashboard-Widgets mithilfe von historischen Daten. Das Framework, das über Streaming Daten bezieht, nutzt ebenfalls klassische SIEM-Alarme. Die Streaming-Ebene kommt zum Einsatz, wenn Benutzer Berichte übertragen oder planen.

Wie analysiert LogPoint historische Daten?

LogPoint kann historische Daten für forensische und investigative Zwecke über das Framework in Echtzeit streamen; etwas, das viele konkurrierende Lösungen nur schwer unterstützen.

Folglich macht LogPoint keinen Unterschied zwischen historischen oder aktuellen Daten. Für LogPoint-Kunden gehört die Möglichkeit, Daten aus 3 Jahren zu durchsuchen, zur Normalität.