Vanliga frågor gällande implementringsfasen

Vad är fördelen med realtidsanalys kontra anrop?

Medan andra SIEM-plattformar är beroende av anrop så har genomförandet av realtidsströmmning i LogPoint dramatiskt minskat maskinvarukraven och ökat SIEM:s kapacitet jämfört med konkurrenterna. Andra SIEM-plattformar förlitar sig fortfarande på distributioner av ”Elastisk sökning” där anrop utgör grunden för det analytiska, vilket är en långsam och relativt föråldrad metod för att lösa utmaningar gällande analyser av stora data.

Har LogPoint stöd för tredjeparts säkerhetsorkestrering, automation och respons (SOAR) plattformar?

Ja. LogPoint levereras med full ”native” integration för Swimlane, Phantom Cyber, DFLabs, SIEMPLIFY, och Demisto

Hur ser arbetsflödet för utredningen av LogPoint ut?

Undersökningsnivån i LogPoint hanteras via analysnivån och ingår i komponenten. Det är genom den här komponenten som kunder kan integrera existerande biljettförsäljnings-, arbetsflödes och SOAR-verktyg alternativt distribuera svarsregler för att automatisera avhjälpande steg när hot upptäcks

Har LogPoint stöd för tredjeparts Servicedesk-lösningar?

Ja. LogPoint levereras med tvåvägsintegreringen för HP Openview, BSM, ServiceNow och Remedy. Dessa plattformar kan hämta ytterligare information genom användning av Seach-API och kan uppdatera tillståndet för biljetten i SIEM genom användning av management APIn

Kan LogPoint Integreras med Skyddsplatformar av Slutpunktskaraktär?

LogPoint erbjuder konventionellt stöd vid användning av alla de allmänna detekteringsplattformar av slutpunktskaraktär, inklusive Symantec, Kaspersky och Trend Micro. De flesta andra slutpunktsleverantörer som Sentinel One och Carbon Black skickar tillbaka syslog-meddelanden till LogPoint. Med hjälp av en gemensam händelse-taxonomi kan LogPoint identifiera, korrelera och prioritera observationer från slutpunktslösningar. Händelse-data från Slutpunktsplattformar är helt integrerade med UEBA och incidentutrednings-plattformar, så att kunderna har möjlighet till full insyn samtidigt som de erbjuds möjligheten att njuta av avancerad detektering som överbryggar slutpunkten och andra källor sömlös

Hur fungerar Avancerad Identifiering av Hot i LogPoint?

LogPoint levererar en lösning med avancerade algoritmer som implementeras för att stödja identifiering av attacker och andra otaliga användningsfall. LogPoint är beroende av ett ramverk för direktuppspelningsanalys som används i UEBA-kontexter och för att möjliggöra maskininlärning och avancerade statistiska modeller för att förflytta sig över och bortom ”fråga och filter”- baserade tillvägagångssätt vid statistiska aviseringar. Med den här strömningsbaserade modellen kan LogPoint-kunder använda konventiella aviseringar vilka kombinerar peer-gruppering av aktiviteter med historiska mönster för att upptäcka när användare börjar avvika från resten

Vilka tillägg finns tillgängliga i LogPoint?

LogPoint använder sig av en nodbaserad licensmodell där plattformens fulla kapacitet låses upp genom en giltig licens utan behov av ytterligare tillägg, något som skiljer oss från konkurrerande leverantörer. Det enda undantaget är LogPoint UEBA-modulen, som är en helt-Integrerad turn-key tillägg som kan börja nyttjas inom en dag från att den aktiverats.
LogPoint har en omfattande och enkelt åtkomlig applikationsbas för sina kunder och partners där dessa får möjligheten att komma åt alla valfria tillägg, pluginer etc. Föregående element tillhandahålls kostnadsfritt, vilket gör det lättare för kunderna att hantera kostnaden för sina SIEM

Vilka regler och modeller ingår i Den Konventionella LogPoint Erbjudandet?

LogPoint erbjuder hundratals konventionella regler och modeller. Varje applikation levereras med regler för instrumentpaneler, rapporter och aviseringar som enkelt kan kopieras eller ändras till kundernas specifika krav. Alla applikationer och regler levereras som en del av baslicensen.
LogPoint UEBA-modulen levereras med mer än 400 maskininlärningsmodeller – allt ingår i UEBA-licensen baserat på vilka entiteter som ska övervakas

Hur stöder LogPoint övervakning och analys av nätverkstrafik?

LogPoint stöder flera olika nätverksövervaknings-plattformar. Genom OEM och djupa tekniska partnerskap erbjuder LogPoint den immateriella egendomen från RedSocks, Qosmos (ENEA), Trend Micro Deep Security, Plixer och liknande för att kunderna ska kunna påskynda upptäckten samt kunna svara med adekvata åtgärder på alla de hot som identifierats utanför nätverket.

LogPoint möjliggör kombinationen av ÖVERVAKNING av SIEM och nätverkstrafik för ökad synlighet. Övervakningsverktyg för utgående nätverkstrafik stöds fullt ut och utgör en del av UEBA och ML-prioriterade erbjudanden, som ett led i att kunna säkerställa fullständig produktintegrering för slutkund.

Med LogPoint så behöver analytiker använda sig av en enda konsol som överbryggar samman teknikerna för att uppnå snabbare medvetenhet för den aktuella situationen.

Hur stöder LogPoint övervakning och identifiering av hot i molnbaserade miljöer?

UEBA och avancerad analys i LogPoint levereras enbart baserat på LogPoint-taxonomin. Det innebär att så länge källor kan mata ut data där dessa kan mappas så innebär det även att dessa kan analyseras i LogPoint. LogPoint har stöd för MITRE ATT&CK modellering av attacker, hot från olika aktörer och genom taxonomin där nuvarande integrationsintervall rapporterar direkt till LogPoint att så att dessa hot kan identifieras och besvaras på ett adekvat sätt oavsett om de handlar om molnbaserade eller fysiska miljöer

Hur stöder LogPoint säkerhetskopiering av SIEM-lösningen och tillhörande data?

LogPoint innehåller flera funktioner vid säkerhetskopiering av data; Säkerhetskopiering och återställning, Snapshots och Synkronisering.

  •   Säkerhetskopiering & Återställning: Tillåter användaren att antingen säkerhetskopiera konfigurationen och/eller skapa en zip-fil som kan laddas ner från apparaterna via S/FTP och kan användas vid återställning för varje given tidpunkt
  •   Snapshots: Om användaren vill göra ett fullständigt snapshot av apparaten innan ändringar appliceras eller under en uppdatering på apparaten i fråga så kan man snabbt skapa så kallade snapshots vilka lagras i systemet med datum och tid, tillsammans med namnet på adekvat snapshot.
  • Synkronisering: Tillåter användaren att endast säkerhetskopiera informationen för loggkällorna, till exempel normaliseringspolicyer, insamlingspolicyer

Hur stöder LogPoint agenter för övervakning av applikationsaktivitet?

Agenter trycker vanligtvis in data via API eller ODBC eller Syslog. LogPoint stöder Onapsis/AgileSI och många andra liknande lösningar.

På grund av den enda gemensamma taxonomin så passar analysen från aktivitetsövervakning av applikationer sömlöst in i LogPoint och kan lätt korreleras och förstå sig på