LogPoints SIEM-system – så fungerar det

SIEM står för Security Information and Event Management och är en process som tar in loggdata från olika system och jämför sedan dessa data för att försöka hitta indikatorer på kompromisser/attacker eller beteendemönster. Det enda problemet med detta tillvägagångssätt har varit att implementeringarna är väldigt tekniska, och det har lett till att många företag har avstått från att använda ett viktigt verktyg för nätverkssäkerhet.

LogPoints SIEM-system är designat för att vara enkelt, flexibelt och skalbart. Det ger strömlinjeformade verktyg för design, driftsättning och integrering som öppnar upp för användning av ett nätverkssäkerhetsverktyg för alla företag. Det innebär att arkitekturen kan utökas kontinuerligt med ytterligare funktionalitet utan behov av en fullständig större release. Samtidigt fortsätter den att stötta företagets växande och föränderliga behov.

LogPoint-systemet bygger på en uppsättning specifika användare:

  • Inget företag ska begränsas av mängden data de kan ta in i ett SIEM-system.
  • Förenklade arkitektoniska principer för att möjliggöra snabbare och effektivare programvaruinstallationer.
  • Support i världsklass som är tillgänglig dygnet runt för att hjälpa kunderna att få ut så mycket som möjligt av sitt SIEM-system.

På LogPoint har vi många års erfarenhet av SIEM-implementering och dimensionering av kundinstallationer i alla branscher. Baserat på vår erfarenhet har vi utvecklat en enkel LogPoint SIEM-storleksberäknare som hjälper dig att uppskatta EPS och GB/dag.

LogPoint-arkitektur

LogPoint SIEM-programvara för hanterad nätverkssäkerhet kan delas upp i tre huvudmoduler som levererar den funktionalitet som normalt förväntas av ett SIEM-system. Dessa komponenter kan levereras i en enda fysisk enhet eller delas upp på så många fysiska/virtuella servrar som är rimliga för företagets behov.

Modulariseringen av de enskilda komponenterna i LogPoint ger kunderna större flexibilitet när de beslutar om vilken SIEM-arkitektur som fungerar för deras företag. Mindre nätverk kanske vill ha en enklare design genom att alla komponenter installeras i en enda virtuell enhet, medan större nätverk kan dela upp komponenterna i olika nätverkszoner för att minska den potentiella belastningen på nätverket.

LogPoint-plattformens tre huvudkomponenter är:

Kontakta oss så berättar vi mer om varför ledande varumärken väljer LogPoint:

Contact LogPoint

Get in touch with us and learn why leading brands choose LogPoint:

Get in touch

LogPoint Collectors – inhämtningskomponenten i LogPoint-systemet

Collectors ansvarar för inhämtning, normalisering och berikning av loggdata från olika loggkällor till LogPoint-plattformen. Detta uppnås med LogPoints klassificeringssystem och sammansatta plugins som normaliserar eventuell loggfil i LogPoints standardiserade nyckel-/värdeparsformat för långtidslagring. Genom att normalisera loggdata vid inhämtning (snarare än vid sökning) kan LogPoint avsevärt påskynda sökningen och korrelationsprocessen.

Det finns hundratals plugin-program tillgängliga direkt när LogPoint-programvaran driftsätts som ytterligare förenklar processen med att logga insamling genom att man slipper krånglet med att konfigurera dessa själv. Om det finns en COTS-produkt (Commercial Of the Shelf) som LogPoint inte har någon plugin för, åtar sig LogPoint att skapa detta till kunderna som en del av den normala supportprocessen.

Collector-arkitekturen erbjuder också fullständiga databerikningsfunktioner som innebär att insamlade händelser kan korreleras med externa metadata för kontextuell analys. LogPoint kan till exempel användas för att korrelera hotinformation mot alla insamlade datakällor eller korrelera incidenter med CMDB för att snabbt hitta enheternas exakta platser. Alla strukturerade data kan användas för att berika insamlade data. Dessa funktioner ökar prestandan och precisionen i analyser genom berikning av inhämtning, utan behov av att importera och fragmentera befintliga data.

LogPoint  erbjuder parallellt med Collector också LogPoint Agent som möjliggör överföring av krypterade loggdata, system- och integritetsövervakning av loggkällor och hämtning av loggdata från källor som kanske inte har en enkel metod för dataöverföring till nätverkssäkerhetsverktyget. LogPoint Agent kan implementeras och hanteras från en central LogPoint-server för att förenkla distribution av funktionaliteten över kundens bredare nätverk.

LogPoint Backend – lagringskomponenten i LogPoint-lösningen

Backend i LogPoint-systemet är en NOSQL-baserad lagringslösning som innebär att all data lagras i en platt fil och möjliggör därmed sökningar som tar sekunder. Arkitekturen delas sedan upp i individuella kataloger som definieras av kunden och som bäst passar verksamhetens behov.

Dessa kataloger kan hantera lagringspolicyer på individuell basis, vilket innebär att förnuftig användning av lagringsplatser kan ge stora besparingar på lagringsinfrastrukturen. LogPoint-plattformen gör det till och med möjligt för dig att automatiskt migrera data inom centralkatalogen till olika lagringsnivåer när data blir äldre, tills de inte längre behövs och de kan raderas automatiskt.

Slutligen integreras åtkomstkontroll i systemet så att administratörer kan styra vilken av deras säkerhetsanalytiker som kan se de olika katalogerna. Detta kan vara särskilt användbart i miljöer där kunder vill lagra loggdata men vill begränsa korrelationen av dessa data till ett fåtal betrodda medarbetare (exempelvis HR-register).

LogPoint Search Head – analyskomponenten i det LogPoint-hanterade nätverkssäkerhetssystemet

I Search Head utvecklar kunderna det anpassade innehållet som extraherar värde från rådata och normaliserade loggdata. Den inbyggda logganalysmotorn använder detta innehåll för att automatiskt upptäcka och varna vid kritiska incidenter i dina system. Händelser som övervakas kan vara mycket varierande och kan till exempel omfatta en pågående attack, ett komprometterat system, skadlig insideraktivitet, prestandaförsämringar och mycket mer.

För att din organisation snabbt ska kunna skapa värde erbjuder LogPoint flera förkonfigurerade konfigurationer baserade på över 400 användningsfall. Det innebär att ditt team kan skapa analyser och playbooks utan krångel med oräkneliga timmar av professionella tjänster.

Analytiker producerar innehåll (dashboards, varningar, rapporter) genom sökfunktionen i LogPoint-portalen, som utnyttjar det enskilda klassificeringssystemet för att förenkla processen. Allt som lagras i LogPoints backend kan sökas med samma nyckel-/värdeparsidentifierare. Det innebär att även om nya funktioner släpps av LogPoint fortsätter allt befintligt innehåll att fungera som avsett från början.

Inom LogPoint kan händelser utlösa varningar, men de kan även konfigureras för att utlösa en incident. Incidenter inom LogPoint kan tilldelas risknivåer och sedan tilldelas en användare. Detta kan sedan användas för att gå direkt till de data som har utlöst incidenten direkt via användargränssnittet. När incidenten har undersökts kan analytikern antingen kommentera, lösa, stänga eller öppna incidenten på nytt.

Slutligen, för att ytterligare möjliggöra uppdelning av data, är det möjligt att tilldela en four-eyes-principle till enskilda nyckel-/värdepar i loggar genom implementering av dataintegritetsläget. I LogPoint kan alla fält som kan användas för att identifiera en viss användare krypteras/kopplas bort när de presenteras för användargränssnittet på ett sådant sätt att ingen analytiker kan se originaldata. Analytikern kan fortfarande köra förfrågningar, visa instrumentpaneler, rapporter och liknande, men de krypterade fältvärdena visas och inte verklig data. Om det finns krav på att analytikern ska se okrypterade data kan analytikern begära tidsbaserad åtkomst från de företag som utsetts till dataskyddsombud.

LogPoint Support

LogPoints supportfunktion är ledande när det gäller att ge snabbt och effektivt stöd till LogPoint-communityn, något som bevisas av poängen i Gartners Peer Insights-utmärkelser. Förutom standardsupportfunktionerna förväntar sig kunderna att LogPoints supportteam erbjuder ytterligare hjälp för att säkerställa en smidig, kontinuerlig SIEM-implementering för kunderna. Detta inkluderar:

Plugin development icon

Plugin-utveckling

Om kunder behöver nya loggkällor och det inte finns något pluginprogran, kan teamet åta sig att utveckla detta inom några dagar. Om loggkällan är en kommersiell produkt görs den som en del av det befintliga avtalet.

use case assistance icon

Hjälp med användningsfall

Om en kund inte känner sig säker på utvecklingen av användningsfall finns supportteamet till hands för att hjälpa till att översätta en kunds idé om användning av klartext till LogPoint-sökspråket.

reports icon

Rapporter, dashboards, användningsfall

LogPoints support – arbetar ständigt med att erbjuda kunderna ytterligare innehåll som fungerar direkt och strävar efter att tillhandahålla så mycket funktionalitet som möjligt till kunderna så fort som möjligt.

LogPoint Director för hanterad nätverkssäkerhet

Director är en multitenant-komponent i LogPoint-hanterade nätverkssäkerhetsverktyg som gör det möjligt för kunder (eller MSSP) att hantera storskaliga miljöer i separata ”LogPoint Pools” som består av de tre ovannämnda LogPoint-modulerna i vilken konfiguration som helst.

Logisk segregering av dessa pooler gör det möjligt för kunder att begränsa både synlighet och långsiktig lagring av data till endast analytiker och regioner där dessa data bör lagras. Exempel på detta kan vara att begränsa lagringen av tyska loggdata till en pool med värddator i Tyskland.

Learn more
managed network security

Viktiga fördelar med LogPoint

Single taxonomi icon

Enkelt klassificeringssystem

LogPoint säkerställer enskilt klassificeringssystem för normalisering av loggdata. Det innebär en lättanvänd sökfunktion för att skapa dashboards, varningar och rapporter. Genom att översätta alla loggfiler till ett enkelt system blir det enklare och effektivare att söka bland en mängd olika loggkällor.

Simplified rod-based icon

Förenklad rollbaserad åtkomstkontroll

Administrativ användaråtkomst är bunden till AD via LDAP för enkel behörighetsdefinition. Gruppbehörigheterna till systemet anpassas efter en rollbaserad metod för administrativa rättigheter. Det ger full kontroll över både loggdatabaserna och instrumentpanelens användning.

Full HA deployment icon

Full HA-driftsättning

LogPoints HA-arkitektur möjliggör synkronisering av både index- och händelsedata på ett feltolerant sätt och det ger en robust integritet till datalagringen. Varje återställning har ett mycket snabbt mål för återställningspunkten när plattformen körs i nödkörningsläge.

Platform design icon

Smidig plattformsdesign

LogPoint-systemet har en flexibel design med ett intuitivt gränssnitt, byggt för administratörer med erfarenhet av nätverkssäkerhetsverktyg eller ad-hoc-användare.

Flexible architecture icon

Flexibel/skalbar arkitektur

LogPoint-arkitekturen är helt flexibel och skalbar för stora och komplexa implementeringar. Nätverkssäkerhetsverktyget kan användas antingen i fysiska eller virtuella miljöer och lokalt eller i molnet.

uniq license model icon

Unik licensmodell

Rättvis och holistisk licensmodell, inga dolda extrafunktioner på grund av den transparenta licensstrukturen. Anta en nodbaserad modell snarare den EPS/MPS-bas som många andra SIEM-leverantörsmodeller följer för hanterad nätverkssäkerhet.

Data privacy mode icon

Datasekretessläge

Genom att använda dataintegritetsläget är det möjligt att säkerställa att loggfilernas kontext kan inkluderas vid multinationella sökningar, utan att kompromissa med behovet av att säkerställa att informationen förblir säker. Denna funktion är särskilt fördelaktig där data måste finnas kvar i ett område.

Streamlined normalisation icon

Effektiviserad normaliseringsarkitektur

Plugin-arkitektur som möjliggör dynamisk utveckling och anpassad förstärkning. Eftersom loggar är leverantörsagnostiska kan de samlas in med olika metoder och källor. Om det inte finns någon plugin före driftsättning kommer LogPoint att skapa den. Utveckling debiteras inte för en kommersiellt färdig produkt.