Implementierung und Management des LogPoint SIEM-Tools
LogPoint is based on a highly scalable and flexible architecture. The solution offers many options for a SIEM implementation custom fit for your environment. Starting with just one server, LogPoint easily scales to provide a future-proof upgrade path.
The LogPoint licensing model is based on the number of log sources consumed, not the data volume or events per second. The model is unique, allowing you to design and deploy a multi-server environment, irrespective of the size of the archive, amount of log data or number of users – without affecting the cost.
The LogPoint implementation can be performed in part or full by a LogPoint-certified partner. Our partners provide installation, configuration and customization support. Many partners are also Managed Security Service Providers (MSSPs).
Tipp: Brauchen Sie ein SIEM Sizing Tool? Schauen Sie sich unseren Sizing Calculator an.
Buchen Sie eine Demo
Würden Sie gerne selbst sehen, wie LogPoint SIEM und UEBA neu definiert? Buchen Sie untenstehend eine Demo und finden Sie heraus, wie LogPoint mit jeder Datenquelle funktionieren kann.
Workshop
Leiten Sie den LogPoint-Implementierungsprozess mit einem Workshop ein. Dieser kann entweder intern oder von einem LogPoint-Partner veranstaltet werden, um den Projektumfang und die Zeitachse zu definieren und zu vereinbaren. Im Workshop sollten folgende Themen behandelt werden:
Anwendungsfälle
Entwickeln Sie eine Prioritätenliste der ersten Anwendungsfällen, um die erforderlichen Log-Quellen zu bestimmen.
Log-Quellen
Identifizieren Sie Log-Quellen im Rahmen des Projektumfangs, um festzustellen, ob es nötig ist, Geräte zu konfigurieren, um die entsprechenden Informationen zu erhalten.
Datenhaltung
Definieren Sie den Zeitrahmen für die Log-Daten-Speicherung von verschiedenen Quellen.
PID-Dokumentation
Stellen Sie das Projektinformationsdokument fertig, das alle Log-Quellen, die entsprechenden IP-Adressen, Systemtypen und -Marken enthalten sollte.
Rollen und Verantwortlichkeiten
Bestimmen Sie die wichtigsten Mitglieder des Implementierungsteams, einschließlich eines Projektmanagers für große Implementierungen, und weisen Sie die Verantwortlichkeiten zu.
Prozesse
Legen Sie ein Verfahren zur Verwaltung von Daten fest, die nach der Implementierung erzeugt wurden.
Design
Nach dem Workshop und der Festlegung des Umfangs können Sie Ihre LogPoint-Lösung für die SIEM-Implementierung gestalten. Das Design umfasst:
Architektur
Berücksichtigen Sie eine eigenständige oder dezentralisierte Lösung sowie künftige Skalierungsmöglichkeiten. LogPoint-Lösungen beinhalten:
- Standalone-Server
- „Search Head“, der eine webbasierte Benutzeroberfläche mit Dashboards und Reports liefert
- Backend-Server zur Indizierung und Speicherung
- LogPoint-Collector, zum Empfangen von Logs und Weiterleiten von Logs zu einem zentralisierten Backend zu Speicherzwecken
- Syslog Forwarder, zum Transport von Logs über sichere Netzwerkgrenzen hinweg
Hardware-Bemessung
Berechnen Sie die erforderlichen LogPoint-Ressourcen durch Bestimmung der erwarteten Menge an Log-Daten (EPS), der Anzahl gleichzeitiger Security Analysten (Nutzer) und der Anzahl an Alarmmeldungen.
Speicheranforderungen
Prüfen Sie die Anforderungen an die Datenhaltung im Hinsicht auf der voraussichtlichen Speicherung. Sie können auch verschiedene mehrschichtige Speicherlösungen in Betracht ziehen.

Installation
Wählen Sie für Ihre SIEM-Implementierung einen physischen oder virtuellen LogPoint-Server. Physische Server liefern Indizierungsservern eine bessere Leistung. Installieren Sie die LogPoint Software-Appliance und das Betriebssystem (Ubunto 16.04 LTS) von einem ISO-Image. Prüfen Sie alternativ eine LogPoint-Appliance, die vorinstalliert mit der Software geliefert wird. Wenn Sie eine dezentrale Lösung implementieren, können Sie nach Bedarf physische und virtuelle Geräte kombinieren. LogPoint liefert eine Lizenzdatei und Updates zu Anwendung.
Konfiguration
Um LogPoint zu konfigurieren, stellen Sie einfach Systemparameter, einschließlich einer IP-Adresse und Netzwerkinformationen ein. Eine zusätzliche Konfiguration wird durch das webbasierte Nutzerinterface ausgeführt:
- Schließen Sie bei dezentralen Lösungen die LogPoint-Server an.
- Aktivieren Sie die LDAP-Authentifizierung für Nutzer, die ihre AD-Zugangsdaten für den Zugang zu LogPoint verwenden möchten.
- Importieren Sie Application Packs, die fertige Normalisierungen, Dashboards und Report-Vorlagen für Ihre Log-Quellen enthalten.
- Konfigurieren Sie Ihre Log-Quellen in LogPoint, damit Sie Daten empfangen können.
- Richten Sie die nötigen Dashboards ein.
- Planen Sie die nötigen Reports.
- Aktivieren Sie die nötigen Alarmmitteilungen.
Wenn Sie bei Ihrer SIEM-Implementierung oder dem laufenden SIEM-Management Hilfe benötigen, kontaktieren Sie einen LogPoint- zertifizierten Partner oder wenden Sie sich direkt an uns.

Mehr zum Thema Verstehen