//Implementierung und Verwaltung

Implementierung und Management des LogPoint SIEM-Tools

SIEM-Implementierung

LogPoint is based on a highly scalable and flexible architecture. The solution offers many options for a SIEM implementation custom fit for your environment. Starting with just one server, LogPoint easily scales to provide a future-proof upgrade path.

The LogPoint licensing model is based on the number of log sources consumed, not the data volume or events per second. The model is unique, allowing you to design and deploy a multi-server environment, irrespective of the size of the archive, amount of log data or number of users – without affecting the cost.

The LogPoint implementation can be performed in part or full by a LogPoint-certified partner. Our partners provide installation, configuration and customization support. Many partners are also Managed Security Service Providers (MSSPs).

Tip: Need a SIEM sizing tool? Check out our sizing calculator

Workshop

Leiten Sie den LogPoint-Implementierungsprozess mit einem Workshop ein. Dieser kann entweder intern oder von einem LogPoint-Partner veranstaltet werden, um den Projektumfang und die Zeitachse zu definieren und zu vereinbaren. Im Workshop sollten folgende Themen behandelt werden:

Scalable achitecture

Anwendungsfälle

Entwickeln Sie eine Prioritätenliste der ersten Anwendungsfällen, um die erforderlichen Log-Quellen zu bestimmen.

Streamlined Normalisation Architecture

Log-Quellen

Identifizieren Sie Log-Quellen im Rahmen des Projektumfangs, um festzustellen, ob es nötig ist, Geräte zu konfigurieren, um die entsprechenden Informationen zu erhalten.

Data Privacy Mode copy

Datenhaltung

Definieren Sie den Zeitrahmen für die Log-Daten-Speicherung von verschiedenen Quellen.

Processor

PID-Dokumentation

Stellen Sie das Projektinformationsdokument fertig, das alle Log-Quellen, die entsprechenden IP-Adressen, Systemtypen und -Marken enthalten sollte.

Simplified role-based access control (kontrol)

Rollen und Verantwortlichkeiten

Bestimmen Sie die wichtigsten Mitglieder des Implementierungsteams, einschließlich eines Projektmanagers für große Implementierungen, und weisen Sie die Verantwortlichkeiten zu.

Data Protection officer

Prozesse

Legen Sie ein Verfahren zur Verwaltung von Daten fest, die nach der Implementierung erzeugt wurden.

Design

Nach dem Workshop und der Festlegung des Umfangs können Sie Ihre LogPoint-Lösung für die SIEM-Implementierung gestalten. Das Design umfasst:

Architektur

Berücksichtigen Sie eine eigenständige oder dezentralisierte Lösung sowie künftige Skalierungsmöglichkeiten. LogPoint-Lösungen beinhalten:

  • Standalone-Server
  • „Search Head“, der eine webbasierte Benutzeroberfläche mit Dashboards und Reports liefert
  • Backend-Server zur Indizierung und Speicherung
  • LogPoint-Collector, zum Empfangen von Logs und Weiterleiten von Logs zu einem zentralisierten Backend zu Speicherzwecken
  • Syslog Forwarder, zum Transport von Logs über sichere Netzwerkgrenzen hinweg

Hardware-Bemessung

Berechnen Sie die erforderlichen LogPoint-Ressourcen durch Bestimmung der erwarteten Menge an Log-Daten (EPS), der Anzahl gleichzeitiger Security Analysten (Nutzer) und der Anzahl an Alarmmeldungen.

Speicheranforderungen

Prüfen Sie die Anforderungen an die Datenhaltung im Hinsicht auf der voraussichtlichen Speicherung. Sie können auch verschiedene mehrschichtige Speicherlösungen in Betracht ziehen.

Installation

Wählen Sie für Ihre SIEM-Implementierung einen physischen oder virtuellen LogPoint-Server. Physische Server liefern Indizierungsservern eine bessere Leistung. Installieren Sie die LogPoint Software-Appliance und das Betriebssystem (Ubunto 16.04 LTS) von einem ISO-Image. Prüfen Sie alternativ eine LogPoint-Appliance, die vorinstalliert mit der Software geliefert wird. Wenn Sie eine dezentrale Lösung implementieren, können Sie nach Bedarf physische und virtuelle Geräte kombinieren. LogPoint liefert eine Lizenzdatei und Updates zu Anwendung.

Konfiguration

Um LogPoint zu konfigurieren, stellen Sie einfach Systemparameter, einschließlich einer IP-Adresse und Netzwerkinformationen ein. Eine zusätzliche Konfiguration wird durch das webbasierte Nutzerinterface ausgeführt:

 

 

  • Schließen Sie bei dezentralen Lösungen die LogPoint-Server an.
  • Aktivieren Sie die LDAP-Authentifizierung für Nutzer, die ihre AD-Zugangsdaten für den Zugang zu LogPoint verwenden möchten.
  • Importieren Sie Application Packs, die fertige Normalisierungen, Dashboards und Report-Vorlagen für Ihre Log-Quellen enthalten.
  • Konfigurieren Sie Ihre Log-Quellen in LogPoint, damit Sie Daten empfangen können.
  • Richten Sie die nötigen Dashboards ein.
  • Planen Sie die nötigen Reports.
  • Aktivieren Sie die nötigen Alarmmitteilungen.

 

Wenn Sie bei Ihrer SIEM-Implementierung oder dem laufenden SIEM-Management Hilfe benötigen, kontaktieren Sie einen LogPoint- zertifizierten Partner oder wenden Sie sich direkt an uns.