//Comment mettre en œuvre et gérer l’outil SIEM de LogPoint

Comment mettre en œuvre et gérer l’outil SIEM de LogPoint

LogPoint repose sur une architecture hautement évolutive et flexible. La solution offre de nombreuses options pour une implémentation SIEM adaptée à votre environnement. En commençant avec un seul serveur, LogPoint évolue facilement pour fournir un chemin de mise à niveau évolutif.

Le modèle de licence LogPoint est basé sur le nombre de sources de logs utilisées, et non sur le volume de données ou les événements. Ce modèle est unique et vous permet de concevoir et de déployer un environnement multi-serveurs, quelle que soit la taille de l’archive, la quantité de données de logs ou le nombre d’utilisateurs, sans affecter le coût.

L’implémentation de LogPoint peut être effectuée en partie ou en totalité par un partenaire certifié par LogPoint. Nos partenaires fournissent un support pour l’installation, la configuration et la personnalisation. De nombreux partenaires sont également des fournisseurs de services de sécurité managés (MSSP).

Conseil: avez-vous besoin d’un outil de dimensionnement SIEM ? Découvrez notre calculateur

Demandez une démo

Voulez-vous voir par vous-même comment LogPoint a redéfini le SIEM et UEBA ? Planifiez une démo ci-dessous et découvrez comment LogPoint fonctionne avec différentes sources de données.

Atelier

Commencez le processus de la mise en œuvre de LogPoint par un atelier, soit en interne, soit dans les locaux d’un partenaire LogPoint, pour définir ensemble le périmètre et le calendrier du projet. Au cours de cet atelier, nous vous conseillons d’aborder :

LogPoint scalable architecture and extensive use cases

Les cas d’utilisation

Établissez une première liste des cas d’utilisation, classés par ordre de priorité pour déterminer les sources de log nécessaires.

Streamlined Normalisation Architecture

Les sources de log

Identifiez les sources de log nécessaires au projet afin de déterminer s’il faut configurer certains périphériques pour obtenir les informations souhaitées.

Data Privacy Mode copy

La conservation des données

définissez un délai de stockage des données de log provenant des diverses sources.

Processor

La documentation d’initiation de projet

Finalisez le document d’information sur le projet. Il doit comprendre toutes les sources de log, les adresses IP correspondantes, les types et marques des systèmes.

Simplified role-based access control (kontrol)

Les rôles et les responsabilités

Indiquez les membres clés de l’équipe de mise en œuvre, y compris le chef de projet pour les implémentations volumineuses, et attribuez les responsabilités.

Data Protection officer

Le processus

Établissez un processus pour gérer les informations générées après la mise en œuvre.

Conception

Après l’atelier et une fois effectuée la définition du périmètre des opérations, vous pouvez concevoir votre solution LogPoint pour implémenter le SIEM. La phase de conception recouvre :

L’architecture

Envisagez une solution autonome ou distribuée avec des options d’évolution dans le futur. Les solutions LogPoint sont caractérisées par :

  • un serveur autonome
  • une unité de recherche qui fournit une interface utilisateur Web avec des tableaux de bord et des rapports
  • un serveur backend pour l’indexation et le stockage
  • le collecteur LogPoint pour recevoir les logs et les transférer à un backend centralisé pour le stockage
  • un redirecteur Syslog pour transporter les logs au-delà des limites des réseaux sécurisées

Le dimensionnement matériel

calculez les ressources LogPoint nécessaires en déterminant la quantité attendue de données de log (EPS), le nombre d’analystes simultanés (utilisateurs) et le nombre d’alertes.

Exigences de stockage

Examinez les impératifs de conservation des données pour une estimation du stockage. Vous pouvez également envisager plusieurs solutions de stockage hiérarchisé.

Installation

Sélectionnez un serveur LogPoint physique ou virtuel pour votre implémentation du SIEM. Les serveurs physiques offrent de meilleures performances pour les serveurs d’indexation. Installez le logiciel LogPoint et le système d’exploitation (Ubuntu 16.04 LTS) à partir d’une image ISO. Vous pouvez également envisager une appliance LogPoint, livrée avec le logiciel préinstallé. Vous pouvez combiner des appliances physiques et virtuelles, selon vos besoins, dans une solution de mise en œuvre distribuée.  LogPoint fournit un fichier de licence et des mises à jour à appliquer.

Configuration

Pour configurer LogPoint, définissez simplement les paramètres système, y compris une adresse IP et les informations sur le réseau. Une configuration additionnelle est exécutée via l’interface utilisateur Web :

  • Pour les solutions distribuées, connectez les serveurs LogPoint.
  • Activez l’authentification LDAP des utilisateurs qui souhaitent accéder à LogPoint à l’aide de leurs identifiants AD.
  • Importer les packs d’applications comprenant les normalisations, les tableaux de bord et les modèles de rapport prêts à l’emploi pour vos sources de log.
  • Configurez vos sources de log dans LogPoint pour commencer à recevoir des données.
  • Configurez les tableaux de bord requis.
  • Planifiez les rapports choisis.
  • Activez les alertes voulues.

Si vous avez besoin d’aide pour la mise en œuvre ou la gestion en cours de votre SIEM, prenez contact avec un partenaire certifié LogPoint ou directement avec nous.