Other

Was sind die Vorteile von Echtzeit-Analysen gegenüber Abfragen

Während andere SIEM-Plattformen auf Abfragen basieren, hat die Realisierung von Echtzeit-Streaming in LogPoint die Hardware-Anforderungen erheblich reduziert und die Leistungsfähigkeit der SIEM-Lösung im Vergleich zu den Mitbewerbern erhöht. Andere SIEM-Plattformen stützen sich immer noch auf Anwendungen wie die „Elastic Search“, bei denen Abfragen die Grundlage der Analyse bilden, was ein langsamer und recht veralteter Ansatz zur Lösung der großen Herausforderungen bei der Datenanalyse ist.

Unterstützt LogPoint Plattformen von Drittanbietern für SOAR (Security Orchestration, Automation and Response)?

Ja. LogPoint wird mit vollständiger systemeigener Integration für Swimlane, Phantom Cyber, DFLabs, SIEMPLIFY und Demisto geliefert.

Wie sieht der Arbeitsablauf einer Ermittlung bei LogPoint aus?

Die Untersuchungsebene von LogPoint wird über die Analyseebene verwaltet und ist Teil dieser Funktion. Über diese Systemkomponente können Kunden unterschiedliche Ticketing-, Workflow- und SOAR-Tools einbinden oder Reaktionsregeln bereitstellen, um bei der Erkennung von Bedrohungen automatische Gegenmaßnahmen zu ergreifen.

Unterstützt LogPoint Servicedesk-Lösungen von Drittanbietern?

Ja. LogPoint wird mit beidseitigen Integrationen für HP Openview, BSM, ServiceNow und Remedy geliefert. Diese Plattformen können durch die Verwendung der Seach API zusätzliche Informationen abrufen und den Status des Tickets im SIEM mithilfe der Management API aktualisieren.

Kann LogPoint in Endpoint Protection Plattformen integriert werden?

LogPoint unterstützt standardmäßig alle gängigen Plattformen zur Erkennung von Endgeräten, einschließlich Symantec, Kaspersky und Trend Micro. Die meisten anderen Endpoint Hersteller wie Sentinel One und Carbon Black senden Syslog-Nachrichten an LogPoint zurück. Mithilfe der einheitlichen Event Taxonomie kann LogPoint Beobachtungen von den verschiedenen Endgerätelösungen identifizieren, miteinander vergleichen und nach Priorität ordnen. Die Logdaten von Endpoint-Plattformen sind vollständig in die UEBA- und Incident-Untersuchungsplattform integriert, so dass Kunden volle Transparenz und eine erweiterte Erkennungsfähigkeit erzielen können, die eine nahtlose Verbindung zwischen Endpoint und anderen Quellen herstellt.

Wie funktioniert die erweiterte Bedrohungserkennung in LogPoint?

LogPoint liefert eine Lösung mit fortschrittlichen Algorithmen, die zur Unterstützung der Angriffserkennung und unzähliger Anwendungsfälle implementiert wurden. LogPoint stützt sich auf ein Streaming-Analytics-Framework, das in UEBA-Kontexten und für das maschinelle Lernen (leyving machine learning) verwendet wird, sowie auf fortschrittliche statistische Modelle, um über den „Abfrage- und Filter“-Ansatz für statistische Alarmierungen hinauszugehen. Mit diesem streaming-basierten Modell können LogPoint-Kunden sofort einsatzbereite Alarmierungen verwenden, die die Gruppierung von Aktivitäten unter gleichrangigen Benutzern und historische Mustern kombinieren, um zu erkennen, wenn Benutzer von den Verhaltensweisen Ihrer Kollegen abweichen.

Welche Add-ons sind in LogPoint verfügbar?

LogPoint wird anhand der Anzahl der angebundenen Logquellen (Nodes) lizenziert, und der volle Funktionsumfang der Plattform wird durch die erworbene Lizenz freigeschaltet, ohne dass zusätzliche Add-on-Technologien erforderlich sind, was uns von unseren Mitbewerbern unterscheidet. Die einzige Ausnahme ist das LogPoint UEBA, bei dem es sich um ein vollständig integriertes, betriebsbereites Erweiterungsmodul handelt, das nach der Aktivierung innerhalb eines Tages einsatzbereit ist.

LogPoint bietet für seine Kunden und Partner einen umfangreichen und einfach bedienbaren App Store, in dem sie auf alle optionalen/zusätzlichen Plugins usw. zugreifen können. Alle dort aufgeführten Produkte werden kostenlos zur Verfügung gestellt, wodurch Kunden die Kosten für ihr SIEM leichter selbst verwalten können.

Welche Regeln und Mustern sind im vorkonfigurierten Angebot von LogPoint enthalten?

LogPoint bietet Hunderte von vorkonfigurierten Regeln und Mustern. Jede Anwendung wird mit Regeln für Dashboards, Berichte und Alarmierungen geliefert, die einfach kopiert oder an die Anforderungen des Kunden angepasst werden können. Alle Anwendungen und die vorgefertigten Regeln werden als Teil der Basislizenz geliefert.

Das LogPoint UEBA-Modul wird mit mehr als 400 maschinellen Lernmodellen ausgeliefert – alle in der UEBA-Lizenz enthalten, die anhand der Anzahl der überwachten Entitäten lizenziert wird.

Wie unterstützt LogPoint die Überwachung und Analyse des Netzwerk-Traffics?

LogPoint unterstützt mehrere verschiedene Netzwerküberwachungsplattformen. Durch OEMs und tiefgreifende technische Partnerschaften bringt LogPoint das geistige Eigentum von RedSocks, Qosmos(ENEA), Trend Micro Deep Security, Plixer und anderen ein, um es Kunden zu ermöglichen, die Erkennung und Reaktion auf außerhalb des Netzwerks identifizierte Bedrohungen zu beschleunigen.

LogPoint ermöglicht die Kombination von SIEM und Überwachung des Netzwerk-Traffics für mehr Transparenz. Die Ergebnisse aus Überwachungsprogrammen für den Netzwerkverkehr werden vollständig unterstützt und sind Teil des vorrangigen Angebots von UEBA und Maschinelles Lernen, wodurch eine vollständige Produktintegration für den Kunden gewährleistet wird.

Mit LogPoint steht Analysten eine einzige Konsole zur Verfügung, die eine Brücke zwischen den Technologien schlägt, um ein schnelleres Situationsbewusstsein zu erreichen.

Wie unterstützt LogPoint die Überwachung und Bedrohungserkennung in Cloud-Umgebungen?

UEBA und erweiterte Analysen in LogPoint werden ausschließlich mithilfe der LogPoint-Taxonomie bereitgestellt. Das bedeutet, dass Daten in LogPoint analysiert werden können, solange die Quellen Daten ausgeben können und diese zugeordnet werden können. LogPoint unterstützt die MITRE ATT&CK-Modellierung von Angriffen, Bedrohungsakteuren und Bedrohungen, und durch die Taxonomie und das aktuelle Angebot an Integrationen bestätigt LogPoint, dass die Lösung Bedrohungen in Cloud-Umgebungen ebenso gut identifizieren und darauf reagieren kann wie On-Premise.

Wie unterstützt LogPoint die Sicherung der SIEM-Lösung und der zugehörigen Daten?

LogPoint umfasst mehrere Funktionen zur Sicherung von Konfiguration und Daten: Datensicherung und -wiederherstellung, Momentaufnahmen und Synchronisierung.

  • Datensicherung und -wiederherstellung: Ermöglicht es dem Benutzer, entweder die Konfiguration und/oder die Protokolle in einer Zip-Datei zu sichern, die über S/FTP von den Anwendungen heruntergeladen werden und jederzeit zur Wiederherstellung verwendet werden kann
  • Momentaufnahmen: Wenn der Benutzer eine vollständige Momentaufnahme der Anwendung erstellen möchte, bevor er Änderungen an der Anwendung vornimmt oder ein Update durchführt, kann er schnell Momentaufnahmen erstellen, die zusammen mit Datum und Uhrzeit und dem Namen der Momentaufnahme auf dem System gespeichert werden
  • Synchronisierung: Erlaubt dem Benutzer, nur die Log-Quellinformationen zu sichern, wie z.B. Normalisierungsrichtlinien, Sammelrichtlinien

Wie unterstützt LogPoint Agenten bei der Überwachung von Anwendungsaktivitäten?

Üblicherweise übertragen die Agenten Daten über API, ODBC oder Syslog. LogPoint unterstützt Onapsis/AgileSI und viele andere.

Aufgrund der einheitlichen Taxonomie fügen sich die Analysen aus der Anwendungsaktivitätsüberwachung nahtlos in LogPoint ein und können leicht miteinander verglichen und verstanden werden.