Logpoint SIEM Review & Alternativen
Logpoint SIEMsucht nach bösartigen Ereignissen auf einem IT-System, indem es Protokolldateien durchsucht und den Netzwerkverkehr überwacht. Ein SIEM ist in der Lage, Erkennungsmethoden und Stichprobenindikatoren von mehreren Punkten im Netzwerk zu kombinieren, um Stealth-Angriffe und Advanced Persistent Threats zu erkennen.
Über SIEM
SIEM steht für Security Information and Event Management. Dieser Systemtyp kombiniert zwei Methoden zur Einbrucherkennung.
Ein hostbasiertes Intrusion-Detection-System untersucht die Protokolldateien auf jedem Endpunkt und auch auf denen, die über das Netzwerk übertragen werden. Die beiden Hauptstandards für Protokollnachrichten sind Windows-Ereignisse für das Windows-Betriebssystem und Syslog , das unter Linux, macOS und Unix läuft. Da nicht alle Protokollnachrichten automatisch archiviert werden, besteht die erste Aufgabe eines SIEM-Systems darin, einen Protokollserver bereitzustellen, der Protokollnachrichten sammelt und speichert.
Das SIEM-Tool muss Protokolle aus verschiedenen Quellen durchsuchen, daher müssen diese Nachrichten vor dem Speichern in ein neutrales Format umorganisiert werden. Diese Aufgabe wird als Protokollkonsolidierung bezeichnet. Der Teil von SIEM, der mit Protokolldateien arbeitet, wird aufgerufen Sicherheitsereignismanagement (SEM) .
Der zweite Teil von SIEM ist Ja . Das ist Sicherheitsinformationsmanagement Und es arbeitet in Echtzeit und sammelt Live-Daten, um nach Mustern bösartiger Aktivitäten zu suchen. Das ist Netzwerkbasierte Einbruchserkennung (NIDS) und es funktioniert hauptsächlich durch Netzwerküberwachung.
SIM ist sofort einsatzbereit und kann Eindringlinge sehr schnell erkennen. Allerdings wissen die meisten Hacker, wie sie Erkennungssysteme wie die herkömmlichen signaturbasierten Erkennungsmethoden von Firewalls und NIDS-Systemen umgehen können. Beispielsweise werden bei der Untersuchung von Paket-Headern keine typischen Angriffssignaturen erkannt, die auf mehrere Pakete verteilt sind.
Moderne Hackermethoden benötigen Datenkombinationen, um sie zu erkennen. Diese Aufgabe kann nur im Nachhinein durchgeführt werden. SIM-Monitore scannen nicht nur den vorbeifahrenden Verkehr, sondern erstellen auch eigene Protokolle, die die für das begleitende SEM-System verfügbaren Informationen ergänzen. SIM und SEM decken also jeweils die Schwäche des anderen ab.
Über Logpoint
Logpointist eine Partnerschaft mit leitenden Partnern, die allesamt prominente Cybersicherheitsexperten sind. Das Unternehmen hat seinen Hauptsitz in Kopenhagen, Dänemark und verfügt über Niederlassungen in Großbritannien, Frankreich, Deutschland, Schweden, Finnland, den USA und Nepal.
Logpoint SIEM ist das einzige Produkt des Unternehmens. Aufgrund des modularen Aufbaus der Software handelt es sich bei dem SIEM-Tool jedoch tatsächlich um ein Bündel von Sicherheitseinrichtungen.
Logpoint SIEM-Funktionen
Wie der Name des Unternehmens vermuten lässt, ist Logpoint sehr stark in der Verwaltung und Analyse von Protokollnachrichten. Allerdings ist die Protokolldatenanalyse nur die Hälfte der Funktionalität eines SIEM-Systems. Der Logpoint SIEM-Dienst überwacht und analysiert auch Live-Daten.
Protokollverwaltung
Logpoint SIEMist für Unternehmen jeder Größe verfügbar, wird aber besonders für große Organisationen attraktiv sein. Das System ist in der Lage, große Mengen an Protokollmeldungen zu verarbeiten. Die höchste Durchsatzrate beträgt eine Million Ereignisse pro Sekunde (EPS) aus bis zu 25.000 verschiedenen Ereignisquellen.
Die Logpoint SIEM-Software ist ein Linux-basiertes System Daher ist es sehr gut geeignet, Syslog-Nachrichten zu sammeln. Dies ist jedoch nicht der einzige Protokollnachrichtentyp, den das System sammeln kann. Bemerkenswert unter den anderen Protokollnachrichtenformaten, die Logpoint SIEM sammelt, sind Windows-Ereignisprotokollnachrichten.
Die Beschaffung von Protokollnachrichten aus verschiedenen Quellen führt zu unterschiedlichen Nachrichtenformaten. SEM-Systeme zeichnen sich durch die Konsolidierung von Informationen aus vielen Quellen aus. Dazu muss Logpoint SIEM alle empfangenen Protokolldatensätze in ein neutrales Format umstrukturieren. Dadurch können Protokolldaten zentral gespeichert werden, unabhängig davon, nach welchem Standard sie erstellt wurden.
Erweiterter Bedrohungsschutz
Ein Advanced Persistent Threat (APT) ist heutzutage eine sehr verbreitete Hackeraktivität. Dabei verschafft sich die Hackergruppe Zugriff auf ein privates System und nimmt Anpassungen an Gerätekonfigurationen vor, um wiederholte unentdeckte Zugriffe erheblich zu erleichtern. Der Logpoint SIEM-Dienst überwacht die Systemaktivität, indem er den Netzwerkverkehr verfolgt.
Durch die Analyse von Protokolldaten und die Anwendung der aus dieser Analyse gewonnenen Verdachtsmomente auf bestimmte Aktivitätsquellen kann der Netzwerkmanager viel Zeit und Ressourcen sparen. Dadurch wird vermieden, dass der Aufwand für die Untersuchung des gesamten Datenverkehrs verschwendet wird. Die Ergebnisse der Protokolldateianalyse liefern dem Verkehrsüberwachungsdienst spezifische Benutzerkonten und IP-Adressen, nach denen er Ausschau halten muss.
Benutzerüberwachung
Benutzerkonten bieten Eindringlingen die einfachste Möglichkeit, unentdeckt ein System zu umgehen. Logpoint SIEM prüft alle bestehenden Konten um verlassene oder selten genutzte Konten zu identifizieren, die ideale Werkzeuge für Hacker wären. Das Logpoint-System sammelt auch von generierte Ereignisprotokollmeldungen Active Directory um fehlgeschlagene Anmeldeversuche und Brute-Force-Aktionen zum Knacken von Passwörtern zu erkennen.
Die Logpoint SIEM-Software umfasst spezielle Benutzer- und Entitätsverhaltensanalyse (UEBA) . Dadurch wird eine Basislinie für das typische Benutzerverhalten und den normalen Datenverkehr erstellt, der von jedem Gerät im Netzwerk erwartet werden kann. Der UEBA-Prozess nutzt maschinelles Lernen, um eine Basis für normale Aktivitäten zu ermitteln. Dies ist wichtig, da ein vorkonfigurierter Satz von Anomalieerkennungsregeln nicht für jeden Benutzer in jedem Unternehmen auf der Welt gilt. Als SIEMs auf den Markt kamen, löste die Anwendung festgelegter Regeln zu viele Fehlalarme aus. UEBA passt die Warneinstellungen an, um zu verhindern, dass legitime Aktivitäten als verdächtig gekennzeichnet werden.
Bedrohungsinformationen
Logpoint stellt dem SIEM-Tool Informationen dazu zur Verfügung typische Angriffsvektoren in Form eines Threat-Intelligence-Feeds. Die Analysten von Logpoint erforschen ständig neue Angriffsmethoden und erstellen eine Liste von Schwachstellen, die den Zugriff für Advanced Persistent Threats erleichtern. Das Logpoint SIEM fungiert auch als Schwachstellenscanner und identifiziert Punkte im überwachten System, die neu kalibriert werden müssen, um solche Angriffe zu verhindern.
Einhaltung von Sicherheitsstandards
Als in der EU ansässiges Unternehmen ist Logpoint sehr stark DSGVO Einhaltung. Das Sicherheitstool verfügt über ganze Abschnitte auf dem Dashboard, die sich auf die Einhaltung der DSGVO konzentrieren, und umfasst DSGVO-Prüfungs- und Berichtsfunktionen.
Der Standort der Daten ist für die DSGVO besonders wichtig. Denn die Vorschriften besagen, dass Informationen über EU-Bürger nicht außerhalb der EU übermittelt werden dürfen. Logpoint SIEM ist in der Lage, alle Verbindungen anhand des physischen Standorts des Korrespondenten zu verfolgen. Diese Informationen werden als Live-Daten und als analytische Grafik historischer Daten dargestellt.
Diese standortbasierten Aufzeichnungen beschleunigen die Compliance-Prüfung und Berichterstattung für die DSGVO. Die vorgefertigten Berichtsformate, die mit Logpoint SIEM geliefert werden, umfassen eine Reihe von Layouts, die für benötigt werden DSGVO-Konformität .
Reaktion auf Vorfälle
Die Incident-Response-Funktionen von Logpoint SIEM basieren auf der Analyse des Netzwerkverkehrs und der Protokolldateien, um mögliche Eindringlinge oder Insider-Bedrohungen zu erkennen. Die Erkennung verdächtiger Aktivitäten löst Warnungen an das Netzwerkmanagementpersonal aus, jeweils mit einer Erläuterung der Gründe für die Warnung. Systemscans als Reaktion auf neue Bedrohungsinformationen führen ebenfalls zu Ergebnissen Empfehlungen zur Systemhärtung .
Logpoint SIEM umfasst keine automatisierten Maßnahmen zur Bedrohungsminderung. Dies könnte als Schwäche des Logpoint SIEM-Dienstes im Vergleich zu proaktiveren SIEM-Produkten der Konkurrenz angesehen werden. Unternehmen könnten nervös sein, wenn sie zulassen, dass ein Computerprogramm die Aktivität kontrolliert, indem es den Datenverkehr blockiert und Konten schließt. In diesem Fall wäre die Strategie von Logpoint SIEM mit Handlungsempfehlungen statt Handlungsautomatisierung attraktiver.
Logpoint-Konfigurationsoptionen
Die Logpoint SIEM-Software läuft auf Ubuntu Linux. Alternativ kann es auf einer virtuellen Maschine ausgeführt werden. In diesem Fall kann es auf einem beliebigen Server gehostet werden. Logpoint bietet Logpoint SIEM auch als Appliance an, auf der die gesamte SIEM-Software vorinstalliert ist.
Logpoint-Implementierung
Die Einrichtung der Software ist nicht so einfach und normalerweise geht einer der Logpoint-Händler zum Kundenstandort, um die Software einzurichten. Einerseits ist dieser maßgeschneiderte Service ein Hinweis auf ein hochwertiges Produkt, andererseits könnte dieser Installationsvorgang einige potenzielle Kunden abschrecken. Einige könnten befürchten, dass Änderungen an der IT-Infrastruktur dazu führen würden, dass der Logpoint-Händler zurückkommt und die Softwareinstallation ändert, was zu Anfahrtskosten führen würde.
Der Kaufvorgang, wie auf der Logpoint-Website beschrieben, scheint zunächst ein langer und langwieriger Prozess zu sein ein Workshop unter Einbeziehung wichtiger IT-Mitarbeiter und Logpoint-Berater. Dieser maßgeschneiderte, beratungsorientierte Ansatz steht in großem Kontrast zu vielen der wichtigsten heute verfügbaren SIEM-Produkte.
Im Rest der Branche sind die Konkurrenten von Logpoint auf Cloud-Dienste umgestiegen. Diese Systeme erfordern ein Abonnement und dann ist der Dienst sofort verfügbar. Assistenten im Dashboard von SaaS SIEMs führen den neuen Benutzer zum Herunterladen eines Agentenprogramms, das dann einen automatischen Erkennungsvorgang durchführt und sich im Netzwerk selbst installiert.
Unternehmen, die nicht über ein internes IT-Team verfügen, werden Schwierigkeiten haben, die wichtigsten Mitarbeiter zu finden, die sie zum ersten Logpoint-Implementierungsworkshop schicken können, und wären mit einem der jetzt verfügbaren verwalteten SIEM-Dienste besser bedient.
Logpoint-Dashboard
Die Logpoint-Benutzerumgebung ist bunt und attraktiv . Der Konsolenbildschirm ist mit Registerkarten versehen, sodass Benutzer schnell zwischen den Daten zu den einzelnen Erkennungsmodulen wechseln können. Ein Beispiel ist der Bildschirm „Benutzerkontenverwaltung“ (siehe unten).
Analysefunktionen der Konsole bieten die Möglichkeit, korrelierte Ereignisse zu erkennen und über geeignete Reaktionen zu entscheiden. Logpoint stellt nicht nur Vorfalldaten in grafischer Form dar, sondern enthält auch vorgefertigte Berichtsformate, die sofort einsatzbereit sind. Die Analyse-Engine umfasst auch Ad-hoc-Such- und Sortierfunktionen die es Analysten ermöglichen, ihre eigenen Untersuchungen einzuleiten.
Ein Beispiel für einen Datenanalysebildschirm ist unten dargestellt.
In diesem Beispiel hat der Analyst Logpoint SIEM gebeten, Daten aus mehreren Tagen zu zeichnen, um nach einer fortgeschrittenen persistenten Bedrohung zu suchen. Analysezeiträume können angepasst werden, um Ereignisse über einen einstellbaren Zeitraum anzuzeigen, nicht nur aktuelle Daten.
Um mehr über die Preise zu erfahren, registrieren Sie sich für aAngebot und eine kostenlose Demo.
Logpoint SIEM Registrieren Sie sich für eine KOSTENLOSE Demo
Alternativen zu Logpoint
Das Implementierungsmodell von Logpoint ist sehr edel und alle Treffen mit Beratern vor der Installation werden wahrscheinlich den IT-Leitern großer Unternehmen gefallen. Allerdings haben kleine, preisbewusste Unternehmen weder das Geld noch die Zeit, alle Hürden zu überwinden, die der Kauf dieser Sicherheitssoftware mit sich zu bringen scheint. Warum melden Sie sich nicht einfach online für eines der anderen SIEM-Tools auf dem Markt an und lassen es sich selbst installieren?
Logpoint ist Sehr stark in der Protokollverwaltung und -analyse Es gibt jedoch stärkere Konkurrenten, die über bessere Möglichkeiten zur Verkehrsüberwachung verfügen. Unternehmen, die ein SIEM-Tool implementieren möchten Automatisierte Bedrohungsabwehr wäre auch mit einem der anderen SIEM-Tools auf dem Markt besser aufgehoben.
Um mehr über SIEM und die besten Systeme auf dem Markt zu erfahren, werfen Sie einen Blick auf unseren Beitrag auf die besten SIEM-Tools . Stattdessen könnten Sie ein Team von SIEM-Experten auf Abonnementbasis beschäftigen, schauen Sie sich das an am besten verwaltete SIEM-Dienste Post.
Hier sind die zehn besten Alternativen zu Logpoint SIEM:
- SolarWinds Security Event Manager (KOSTENLOSE TESTVERSION) Ein SIEM-Tool, das Echtzeit-Reaktion auf Vorfälle und vorkonfigurierte Modelle zur Einhaltung von Standards umfasst. Diese Software wird auf Windows Server installiert. Starten Sie eine 30-tägige kostenlose Testversion.
- ManageEngine EventLog Analyzer (KOSTENLOSE TESTVERSION) Dieses System ist Teil einer Suite von Infrastrukturmanagement-Tools, die alle miteinander integriert werden können. Der EventLog Analyzer stellt SIM-Funktionen zur VerfügungLog360könnte für SEM-Dienste hinzugefügt werden. Es lässt sich unter Windows und Linux installieren. Greifen Sie auf die kostenlose 30-Tage-Testversion zu.
- Datadog-Sicherheitsüberwachung Dabei handelt es sich um ein cloudbasiertes Infrastrukturüberwachungssystem, das ein SIEM-Sicherheitsüberwachungsmodul umfasst.
- McAfee Enterprise Security Manager Ein SIEM-Tool, das sich besonders gut für die Active Directory-Verwaltung eignet. Es lässt sich unter Windows und macOS installieren.
- Fortinet FortiSIEM Eine umfassende Lösung umfasst automatisierte Abwehrreaktionen. Es basiert auf der Cloud mit Vor-Ort-Agentensoftware.
- Rapid7 InsightIDR Ein cloudbasierter Sicherheitsdienst, der Geräteüberwachungs-Agent-Software zur Installation umfasst. Es ist einfach zu installieren und umfasst eine automatische Bedrohungsabwehr.
- OSSEC Ein kostenloses Open-Source-IDS mit besonderem Schwerpunkt auf der Protokollanalyse. Es lässt sich unter Windows, macOS, Linux und Unix installieren.
- LogRhythm NextGen SIEM-Plattform Beinhaltet KI-Methoden für die Verkehrs- und Protokollanalyse. Es lässt sich unter Windows und Linux installieren.
- AT&T Cybersecurity AlienVault Unified Security Management Ein vollständiges IDS, das als SIEM plus klassifiziert werden könnte, da es eine vollständige Palette von Erkennungsmethoden und Systemüberwachungen umfasst. Es läuft unter Windows und macOS.