LogPoints SIEM-system – Hvordan det fungerer

SIEM, som står for sikkerhetsinformasjon og hendelseshåndtering, er prosessen med å innhente loggdata fra forskjellige systemer og deretter korrelere dataene for å prøve å finne indikatorer på kompromiss/angrep eller atferdsmønstre. Det eneste problemet med denne tilnærmingen har vært den svært tekniske naturen av implementeringer, noe som har medført at et stort antall selskaper avgir et nøkkelstyrt nettverk sikkerhetsverktøy.

LogPoints SIEM-system er designet fra grunnen av for å være enkelt, fleksibelt og skalerbart, og gir strømlinjeformet design-, distribusjon- og integreringsverktøy for å åpne bruken av et nettverk sikkerhetsverktøy for alle virksomheter. Dette betyr at arkitekturen kontinuerlig kan utvides med tilleggsfunksjonalitet, uten behovet for en fullstendig utgivelse, for å fortsette å støtte virksomhetens voksende og skiftende behov.

LogPoint arkitektur

LogPoint SIEM-programvare for administrert nettverk sikkerhet kan inndeles i tre hovedmoduler som leverer funksjonaliteten som vanligvis forventes av et SIEM system. Disse komponentene kan leveres i et fysisk apparat eller deles opp på så mange fysiske/virtuelle servere som er fornuftig for forretningsbehovene.

Modulariseringen av de enkelte komponentene i LogPoint gir kundene større fleksibilitet når de bestemmer seg for SIEM-arkitekturen som fungerer for organisasjonen deres. Mindre nettverk vil muligens legge vekt på enkelt design ved distribusjon av alle komponenter i et enkelt virtuelt apparat, mens større nettverk kan dele komponentene på tvers av forskjellige nettverkssoner for å redusere potensiell belastning på nettverket.

De tre hovedkomponentene i LogPoint-plattformen er:

Get in touch with us and learn why leading brands choose LogPoint:

Get in touch

LongPoint Collectors – Innsamlingsenheten i LogPoint-systemet

Collectors er ansvarlig for innsamling, normalisering og berikelse av loggdata fra ulike loggkilder til LogPoint-plattformen. Dette oppnås med LogPoints enkelte taksonomi og kompilerte plugins som normaliserer hvilken som helst loggfil til LogPoints standardiserte nøkkel/verdiparformat for langvarig lagring. Ved å normalisere loggdataene ved inntak (i stedet for ved søk) kan LogPoint øke hastigheten på søke- og korrelasjonsprosessen betydelig.

Det er hundrevis av plugins tilgjengelig out-of-the-box når du distribuerer LogPoint-programvaren, ytterligere forenkler prosessen med inntak av logg ved å ta bort bryet med å konfigurere disse selv. Faktisk, hvis det er et kommersielt “off-the-shelf” produkt (COTS) som LogPoint ikke har et plugin for, vil LogPoint forplikte seg til å skaffe dette skrevet for kunder som en del av den normale støtteprosessen.

Collector arkitekturen gir også muligheter for full databerikelse, noe som betyr at samlede hendelser kan korreleres med eksterne metadata for kontekstuell analyse. For eksempel kan LogPoint brukes til å korrelere ‘Threat Intelligence feeds’ mot alle innsamlede datakilder eller korrelere hendelser med CMDB for å raskt målrette lokalisering av enheter. Eventuelle strukturerte data kan brukes til å berike innsamlede data. Disse evnene øker ytelsen og nøyaktigheten av analyser gjennom ingest-time berikelse, uten behovet for å importere eller fragmentere eksisterende data.

Ved siden av Collector, tilbyr LogPoint en LogPoint Agent som muliggjør overføring av krypterte loggdata, og integritet overvåkning av loggkilder og henting av loggdata fra kilder som muligens ikke har en enkel og naturlig metode for dataoverføring til nettverk sikkerhetsverktøy. LogPoint Agenten kan implementeres og administreres fra en sentral LogPoint-server for å forenkle formidlingen av funksjonaliteten over kundens brede nettverk.

LogPoint Backend – Lagringskomponenten i LogPoint-løsningen

LogPoint sin backend er en NOSQL-basert lagringsløsning, som betyr at alle data lagres i flat fil, noe som muliggjør søk som tar sekunder. Denne arkitekturen deles deretter opp i individuelle arkiver, definert av kunden, slik at det passer best for forretningsbehov.

Disse repositories (repos) kan håndtere retensjonspolitikk på individuell basis, noe som betyr at fornuftig bruk av repos kan gi virksomheten store besparelser på lagring infrastruktur. LogPoint-plattformen lar deg til og med automatisk migrere data i repo ti forskjellige lagringsnivåer når dataen blir eldre, til det tidspunktet dataene ikke lenger er nødvendige, når de automatisk kan slettes.

Til slutt er tilgangskontroll integrert i systemet slik at administratorer kan kontrollere hvilke av sikkerhetsanalytikerne som kan se hvilken repo. Dette kan være spesielt nyttig i miljøer der kunder ønsker å lagre loggdata, men ønsker å begrense korrelasjonen av dataen til noen få pålitelige ansatte (for eksempel HR ressurser)

LogPoint Search head – Den analytiske komponenten i LogPoint sitt administrerte nettverk sikkerhetssystem
“Search head” er hvor kundene vil utvikle tilpasset innhold som trekker ut verdi fra den rå og normaliserte loggdataen. Den innebygde logg analyse motoren vil bruke dette innholdet til å automatisk oppdage og varsle om kritiske hendelser på systemene dine. Hendelser som overvåkes kan være svært forskjellige og kan for eksempel inkludere et pågående angrep, et kompromittert system, ondsinnet insider-aktivitet, ytelsesforringelser og mye mer.

LogPoint Support

LogPoint sin support funksjon er ledende innen rask og effektiv støtte til LogPoint-fellesskapet, som bevist av de ledende vurderinger i ‘Gartners Peer Insights’ priser. I tillegg til de vanlige støttefunksjonene, forventer kundene at LogPoint sitt supportteam tilbyr ekstra hjelp for å sikre en jevn pågående SIEM-distribusjon for kundene. Dette inkluderer:

Plugin utvikling ikon

Plugin utvikling

Hvis kundene trenger nye loggkilder og det ikke finnes et programtillegg, kan teamet forplikte seg til å få dette utviklet innen få dager. Hvis loggkilden er et kommersielt produkt, gjøres det som en del av den eksisterende kontrakten.

bruk case assistanse ikonet

Bruk case assistanse

Hvis en kunde ikke føler seg særlig trygg på utviklingen av bruksmønster, er supportteamet tilgjengelig for å hjelpe deg med å oversette en kunde plaintext bruksmønster ide til LogPoint-søkespråket.

Rapporter ikon

Rapporter, dashbord, bruksmønster

LogPoint support jobber kontinuerlig med ekstra innhold for kunder “right out of the box”, og prøver å gi så mye funksjonalitet som mulig til kunden så raskt som mulig.

LogPoint Director for administrert nettverk sikkerhet

Director er en multi-tentant komponent i LogPoint sitt administrerte nettverk sikkerhetsverktøyet, som tillater kunder (eller MSSPer) å administrere miljøer i stor skala i adskilte “LogPoint Pools”, som består av de tre nevnte LogPoint-modulene overfor, uansett hvilken konfigurasjon som er nødvendig.

Logisk segregering av disse “pools” tillater kunder å begrense både synlighet og langsiktig lagring av data til kun analytikere og regioner der data skal oppbevares. Eksempler på dette kan inkludere begrensning av lagring av tyske loggdata til et “pool” spesifikt arrangert innen Tyskland.

Lær mer
administrert nettverkssikkerhet

Viktige LogPoint fordeler

Enkelt taksonomi ikon

Enkel taksonomi

LogPoint sørger for en enkelt taksonomi for normalisering av loggdata, noe som muliggjør en brukervennlig søkefunksjon for oppretting av dashbord varsler og rapporter. Ved å oversette alle loggfiler til en forenklet taksonomi, blir søk på et bredt utvalg av loggkilder gjort enklere og mer effektivt.

Forenklet rod-based ikon

Forenklet rollebasert tilgangskontroll

Administrativ brukertilgang er bundet til AD via LDAP for å gjøre det lettere å definere tillatelse. Gruppetillatelser til systemet er tilpasset en rollebasert tilnærming til administrative rettigheter, noe som gir full kontroll over tilgang til både logg databasene og bruk av dashbord.

Full HA-distribusjon ikon

Full HA distribusjon

LogPoint HA-arkitekturen tillater synkronisering av både indeks- og hendelsesdata på en feil tolerant måte, noe som gir en robust integritet til datalagringen. Enhver utvinning har et veldig raskt mål for gjenoppretting, mens plattformen opererer i failover modus.

Plattform design ikon

Agil plattformdesign

LogPoint-systemet er agil i design med et intuitivt grensesnitt, bygget for administratorer med nettverk sikkerhetsverktøy erfaring eller ad-hoc brukere.

Fleksibelt ariktektur ikon

Fleksibel /skalerbar arkitektur

LogPoint arkitekturen er helt fleksibel og skaleres lineært for store og komplekse implementeringer. Nettverk sikkerhetsverktøyet kan distribueres i fysiske eller virtuelle miljøer og på stedet eller i skyen.

unik lisens modell ikon

Unik lisens modell

Rettferdig og helhetlig lisens modell, ingen skjulte supplementer på grunn av den gjennomsiktige lisensstrukturen. Vedta en node basert modell i stedet for EPS / MPS-grunnlaget som mange andre SIEM-leverandør modeller følger for administrert nettverk sikkerhet.

Ikon for data sikkerhetsmodus

Data sikkerhetsmodus

Ved å bruke data sikkerhetsmodus er det mulig å sikre at konteksten til loggfilene kan inkluderes i multinasjonale søk uten å gå på bekostning av behovet for å sikre at informasjonen forblir sikker. Denne funksjonaliteten er spesielt gunstig der data må forbli i en region.

Strømlinjeformet normaliseringsikon

Strømlinjeformet normaliseringsarkitektur

Plugin-arkitektur, muliggjør dynamisk utvikling og tilpasset forbedring. Å være leverandøragnostiker, kan man samle logger ved hjelp av forskjellige metoder og kilder. Hvis et plugin ikke er tilstede før distribusjonen, oppretter LogPoint det. Utvikling belastes ikke for kommersielt produkt.