Analytics

Hur levereras analyser i LogPoint?

Analysnivån i LogPoint levereras i form av en hybridmodell. Nodanalys av LogPoint är en komponent som förbrukar data från ett stort antal LogPoint Backends. Backends strömmar data i realtid gentemot analytics-noden, där data bearbetas för realtidskorrelationer och aviseringar. När en analytiker kräver kriminaltekniska data eller utför långvarig analys så exekveras frågor mot datalagren. Mer information:https://www.logpoint.com/en/solutions-industries/cybersecurity-solution/

Hur fungerar LogPoint analysen?

LogPoints analytiska funktioner omfattar både regelbaserade korrelations- och maskininlärningsmetoder. En regelbaserad korrelation utförs med hjälp av regler som identifierar ett mönster inom loggdata, mellan loggdata och den svarade incidenten inklusive mellan loggdata och beteenderapportering. Avancerade analyser kan utföras av kaskadregler för att korrelera den sekventiella förekomsten av händelser som distribueras över tiden. Korrelationen förstärks genom att integrera hotfeeds och icke-tidsseriedata data såsom SQL, LDAP, etc.

Mer information:https://www.logpoint.com/en/solutions-industries/cybersecurity-solution/

Har LogPoint inbyggd Maskininlärning?

Ja. Maskininlärning är inbyggt i LogPoint-lösningen. Analytiker drar nytta av alla varningar och incidenter prioriteras av maskininlärning. Utdata från regler samt avancerad analys och UEBA (om den finns installerad), blir alla kanaliserade genom en prioriteringsmotor. Med prioriteringsmotorn utvärderas varje avisering eller incident mot andra observationer från de inblandade entiteterna. I slutändan garanterar prioriteringsmotorn för varningar utgör en väsentlig (90%) minskning av falska positiva och ”irrelevanta” varningar.

Mer information:https://www.logpoint.com/en/product/ueba-solution/

Vad är fördelen med inbyggd Maskininlärning?

LogPoint-kunder rapporterar att ML-prioriteringen som genereras i SIEM ökar effektiviteten i SOC samtidigt som den även ökar medvetenheten om situationen i fråga. LogPoint har ingen kännedom om att konkurrenterna implementerat liknande metoder. Ml-driven prioritering av varningar är avgörande för att hjälpa analytiker med snabb upptäckt av hot.

Den är även trivial för att kunna uppnå medvetenheten om situationen i fråga, något som görs genom att använda ML för att pussla ihop alla de olika bitar av information om händelsen. En kund rapporterade in en minskning av den genomsnittliga incidentutredningen från dåvarande 63 minuter till 2 minuter!

Utförs LogPoint-analys i realtid?

Ja. Realtidsanalyser i LogPoint används för instrumentpaneler, aviseringar och rapporter. Utdata för den strömmande analytics-ramverket används för att bygga instrumentpanel tillägg med hjälp av historiska data. Den strömmande ramverket används också för att utlösa klassiska SIEM-varningar. Dessutom används strömningsskiktet när användare skickar eller schemalägger rapporter.

Hur analyserar LogPoint historiska data?

LogPoint kan strömma historiska data genom ramverk i realtid för kriminalteknik och utredningsändamål, något som många av de konkurrerande lösningarna kämpar ständigt med att kunna erbjuda till slutkunden.
Följaktligen gör LogPoint verkligen ingen skillnad när det kommer till historiska och realtidsdata. Just därför så är det givet för alla LogPoint-kunder att kunna söka igenom tre år gammal data utan att behöva förta sig.