Analyse

Hvordan leveres analyser i LogPoint?

Analysenivået i LogPoint leveres i en hybridmodell. Analysenoden til LogPoint er en komponent som bruker data fra mange LogPoint Backends. Backendene streamer data i sanntid mot analysenoden, der data behandles for sanntidskorrelasjoner og varsler. Hver gang en analytiker krever utredende data eller foretar langsiktig analyse, blir spørringer utført mot datalagrene. Mer informasjon: https://www.logpoint.com/en/solutions-industries/cybersecurity-solution/

Hvordan fungerer LogPoint-analyse?

LogPoints analytiske evner inkluderer både regelbasert korrelasjon og maskinlæringsmetoder. En regelbasert korrelasjon utføres ved hjelp av regler som identifiserer et mønster i loggdataene, mellom loggdataene og den responderte hendelsen, og mellom loggdataene og atferdsrapporteringen. Avansert analyse kan utføres av kaskaderegler for å korrelere den sekvensielle forekomsten av hendelser fordelt over tid. Korrelasjon forbedres ved å integrere trusselmatinger og ikke-tidsseriedata som SQL, LDAP, osv. Mer informasjon: https://www.logpoint.com/en/solutions-industries/cybersecurity-solution/

Har LogPoint innebygd maskinlæring?

Ja. Maskinlæring er innebygd i LogPoint-løsningen. Analytikere drar nytte av alle varsler, og hendelser prioriteres av maskinlæring. Produksjonen fra regler, så vel som avansert analyse og UEBA (hvis installert), blir alt trukket gjennom en prioriteringsmotor. Med prioriteringsmotoren blir hver varsel eller hendelse vurdert mot andre observasjoner fra de involverte enhetene. Til slutt sørger Alert Prioritization Engine for en betydelig (90%) reduksjon av falske positive og “irrelevante” varsler. Mer informasjon: https://www.logpoint.com/en/product/ueba-solution/

Hva er fordelen med innebygd maskinlæring?

LogPoint-kunder rapporterer at ML-prioritering av alt som genereres i SIEM øker effektiviteten til SOC og øker situasjonsbevisstheten. LogPoint er ikke klar over at konkurrenter implementerer lignende metoder. ML-drevet varslingsprioritering er viktig for å hjelpe analytikere med rask oppdagelse av trusler og for å oppnå situasjonsbevissthet, ved å bruke ML til å samle alle de forskjellige informasjonene om hendelsen. En kunde forteller om en reduksjon i hendelse etterforskningen fra et gjennomsnitt på 63 til 2 minutter.

Utføres LogPoint-analyse i sanntid?

Ja. Sanntidsanalyse i LogPoint brukes til dashbord, varsler og rapporter. Resultatet av streaming analytics-rammeverket brukes til å bygge dashbord-widgets med historiske data. Streaming-rammeverket brukes også til å utløse klassiske SIEM-varsler. Streaming-laget brukes også når brukere sender inn eller planlegger rapporter.

Hvordan analyserer LogPoint historiske data?

LogPoint kan streame historiske data gjennom et sanntids streaming-rammeverk for utredning- og etterforskningsformål, noe mange av de konkurrerende løsningene sliter med å støtte. Derfor skiller ikke LogPoint virkelig mellom historisk- og sanntidsdata. For LogPoint-kunder er muligheten til å søke gjennom data på tre år en gitt ting.