LogRhythm SIEM Review & Alternativen
LogRhythm ist einer der weltweit schönsten innovativ SIEM-Lösungen mit der Option, sie vor Ort zu installieren oder als Cloud-Service darauf zuzugreifen. SIEM-Software ist sehr kompliziert und auch sehr leistungsfähig. Allerdings haben die Designer des Pakets viel Wert darauf gelegt, das System benutzerfreundlich zu gestalten, indem sie Folgendes enthalten: Bereitstellungszentrum , das Assistenten bereitstellt, die den Benutzer durch Datenuntersuchungsaufgaben führen.
Alles über SIEM
SIEM ist eine Form von Intrusion Detection System (IDS) . Das Akronym steht für Sicherheitsinformations- und Ereignismanagement . Der Begriff bezeichnet eine gemischte Strategie, die aus zwei Datenuntersuchungsansätzen besteht.
Sicherheitsinformationsmanagement (SIM) ist die Praxis, Protokolldateien nach Hinweisen auf böswillige Aktivitäten zu durchsuchen. Dies wird als a bezeichnet Hostbasiertes Intrusion Detection System (HIDS) .
Sicherheitsereignismanagement (SEM) Dabei wird der vorbeifahrende Verkehr auf unbefugte Aktivitäten untersucht. Dies ähnelt dem Deep Packet Inspection (DPI) durch fortschrittliche Firewalls durchgeführt. SEM ist ein Netzwerkbasiertes Intrusion Detection System (NIDS) das die Header-Daten der weitergeleiteten Pakete verarbeitet, um Informationen über die Aktivitäten der Benutzer zu extrahieren.
Der Vorteil von SEM besteht darin, dass es sehr schnell ist. Wenn verdächtige Aktivitäten entdeckt werden, können sofort entsprechende Maßnahmen ergriffen werden. Allerdings ist dies bei der Bekämpfung von Stealth-Hacker-Aktivitäten wie z. B. nicht sehr effektiv Advanced Persistent Threats (APTs) . Bei einem APT verschafft sich eine Hackergruppe Zugriff auf das System und kann unbemerkt Dateien durchsuchen und sogar Systemressourcen für eigene Zwecke nutzen. Der Hacker entgeht der Entdeckung, indem er über reguläre Benutzerkonten agiert.
SIM kann nicht autorisierte Aktionen legitimer Benutzer identifizieren. Dadurch werden nicht nur APTs erkannt, sondern auch blockiert Insider-Bedrohungen . Ein moderner Datenverlustereignis kann nur identifiziert werden, indem man eine Reihe von Aktionen betrachtet, die einzeln harmlos erscheinen, aber zusammengenommen auf einen Angriff hinweisen. Das große Problem bei SIM besteht darin, dass es einige Zeit dauern kann, bis ein vollständiges Bild der Aktivitäten erstellt ist. Wenn ein verdächtiges Aktivitätsmuster sichtbar wird, sind die Daten des Unternehmens wahrscheinlich bereits gestohlen.
Durch die Kombination von SIM und SEM können SIEM-Systeme die Geschwindigkeit der Bedrohungserkennung verbessern und gleichzeitig Angriffe erkennen, die der Erkennung durch herkömmliche Cybersicherheitsmaßnahmen entgehen. SIEM ist nicht dazu gedacht, Firewalls und andere Grenzschutzmaßnahmen zu ersetzen; Ziel ist es, die Arten von Angriffen zu identifizieren und zu erkennen, die Firewalls nicht blockieren können.
Über LogRhythm
LogRhythm, Inc nahm den Betrieb im Jahr 2003 auf. Der Sitz des Unternehmens ist in Boulder, Colorado sondern verfügt auch über Niederlassungen auf der ganzen Welt. Das Unternehmen begann speziell mit der Entwicklung von Sicherheitslösungen, die Systemprotokolldateien nach Informationen durchsuchen. SIEM ist ein Paradebeispiel für ein auf Protokolldateien basierendes System und daher war die Entwicklung von LogRhythm SIEM die Priorität des Unternehmens.
Die Firmengründer, Chris Petersen Und Phillip Villella erforschte innovative Methoden zur Erfassung, Formatierung und Verarbeitung von Protokolldaten und hält mehrere Patente auf diesem Gebiet. Das verschafft LogRhythm einen Wettbewerbsvorteil auf dem SIEM-Markt, denn je schneller Protokolldateien verarbeitet werden können, desto früher kann ein anomales Ereignis erkannt werden.
LogRhythm SIEM-Übersicht
Der vollständige Name von LogRhythm SIEM lautet LogRhythm NextGen SIEM-Plattform . Der Service besteht aus fünf wesentlichen Elementen sowie zwei optionalen Modulen. Diese sind:
- NetMon – Ein Live-Netzwerkmonitor, der wichtige Paketinformationen zur Analyse extrahiert.
- SysMon – Ein verteilter Datenerfassungsagent und Endpunktmonitor.
- AnalytiX – Ein Protokollmanager.
- DetectX – Das Threat-Hunting-Modul.
- RespondX – Ein Security Orchestration and Response (SOAR)-System.
- NetworkXDR – Ein optionales Modul, das eine verbesserte Netzwerküberwachung bietet.
- UserXDR – Ein optionales Modul, das eine UEBA-Lösung (User and Entity Behavior Analytics) darstellt.
Jedes dieser Module wird weiter unten erläutert.
NetMon
NetMon ist die Hauptquelle für Live-Netzwerkverkehrsdaten für die SIEM-Analyse-Engine. Es nutzt Deep Packet Inspection (DPI), um die Metadaten in Paketheadern zu lesen. Dadurch kann der Dienst den Datenverkehr pro Anwendung, pro Benutzer und pro Endpunkt protokollieren. Diese Informationen werden entsprechend formatiert SmartFlow Protokoll zur Analyse beim Hochladen in die zentrale Analyse-Engine. Dieses System erfasst Netzwerk-Stack-Perspektiven von Layer 2 bis Layer 7.
Das NetMon-Modul sammelt nicht nur Daten zur Analyse; es wirkt auch. Es kann E-Mail-Anhänge rekonstruieren, während sie in einer Reihe von Paketen transportiert werden, schädliche Inhalte erkennen und sie löschen, wenn noch Zeit ist, oder ihren Status am Zielort aktualisieren, um auf ein Problem hinzuweisen.
NetMon verfügt im LogRhythm-Dashboard über eigene Netzwerküberwachungsbildschirme, darunter: Statuswarnungen und einstellbare Schwellenwerte . Die Datenbildschirme sind anpassbar und Netzwerkverkehrsdaten können über eine API auch an andere Anwendungen weitergeleitet werden. Zu den Verkehrsdaten gehören die Quelle und das Ziel externer Verbindungen, die identifizierte Kommunikation mit Botnet-Controllern und eine aktualisierbare Liste gesperrter IP-Adressen.
SysMon
SysMon ist das Hauptdatenerfassungssystem von LogRhythm. Es verfügt über Komponenten an jedem überwachten Endpunkt und verfügt außerdem über einen zentralen Controller. Der Sysmon-Controller empfängt Daten von jedem Agenten und sendet Anweisungen für Antworten zurück.
Der SySMon-Agenten Installieren Sie es auf Endpunkten und Servern, um Protokolldaten zu sammeln, proprietäre LogRhythm-Statistiken zu generieren und diese dann an den zentralen Controller zu senden.
Zu den Aufgaben gehört die Überwachung der Dateiintegrität, um sicherzustellen, dass lokale Dateien nicht manipuliert werden. Der zentrale SysMon übernimmt die gleiche Aufgabe mit den gesammelten Daten. Die Agenten überwachen außerdem Prozesse auf jedem Computer und führen lokale Sicherheitsüberprüfungen durch, einschließlich Registrierungsschutz, Überwachung angeschlossener Geräte und Blockierung des Zugriffs böswilliger Benutzer vor Ort.
Auch die SysMon-Agenten tragen dazu bei Live-Überwachung des Netzwerkverkehrs durch Protokollierung jeder vom überwachten Gerät hergestellten oder akzeptierten Verbindung. Alle Aktivitäten auf den Geräten werden unter dem jeweils aktiven Benutzerkonto protokolliert.
AnalytiX
AnalytiX ist das Protokollmanager von LogRhythm. Es empfängt alle von SysMon weitergeleiteten Protokolldaten und bringt diese Datensätze in ein gemeinsames Format, bevor es sie zur Anzeige und Ablage an das Dashboard sendet.
Beim Neuformatieren von Datensätzen markiert AnalytiX verdächtige Aktionen und verknüpft Ereignisse. Die Protokolldateien werden in sinnvollen Verzeichnissen gespeichert und von einer Suchmaschinenkomponente bereitgestellt Elasticsearch Macht diese Rohprotokolle für den direkten Zugriff durch den Benutzer und jede andere interessierte Partei, beispielsweise einen Standardkonformitätsprüfer, zugänglich.
DetectX
DetectX ist das Bedrohungsjäger von LogRhythm. Es übernimmt die von AnalytiX erstellten strukturierten Dateien und wendet die Diensterkennungsregeln auf sie an. Diese Komponente ist an die Anforderungen der Datensicherheitsstandards anpassbar. Die Erkennungsregeln werden durch einen Live-Bedrohungsdaten-Feed ständig aktualisiert.
Der DetectX-Prozess identifiziert bösartige Aktivitäten und startet entsprechende Workflows, um diese zu unterbinden. Diese Maßnahmen werden umgesetzt von RespondX .
RespondX
RespondX ist das Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) Einheit von LogRhythm. Es verbindet sich mit anderen Systemdiensten wie Firewalls und Zugriffsrechtemanagern, um zusätzliche Daten zu sammeln und auch Reaktionsworkflows zu implementieren.
Die RespondX-Minderungsmethode wird aufgerufen SmartResponse-Automatisierung . Es ändert Firewall-Regeln, um verdächtige IP-Adressen zu blockieren, und stellt Schnittstellen zu Benutzerzugriffssystemen her, um Konten zu sperren.
NetzwerkXDR
NetworkXDR ist ein optionales Modul, das die Erkennungsfunktionen von NetMon erweitert. Es ist in der Lage, Aktivitäten an mehreren Punkten des Netzwerks zu erkennen, die auf a hinweisen seitlicher Angriff . Es benutzt maschinelles Lernen um eine Basis für regelmäßige Netzwerkaktivität festzulegen, anstatt einen Schwellenwert festzulegen, der zu eng sein könnte.
BenutzerXDR
UserXDR ist ein optionales Modul, das die Überwachung des Benutzerverhaltens von SysMon verbessert. Das ist ein Benutzer- und Entitätsverhaltensanalyse (UEBA) Dienst, der KI-maschinelles Lernen anwendet, um ein Muster normalen Verhaltens für jeden Benutzer und jede Benutzergruppe zu erstellen.
Das UserXDR-System sucht nach verlassenen Konten, bei denen es sich um Sicherheitslücken handelt. Es ist auch in der Lage, die Berechtigungen zu verwalten, die Benutzern erteilt werden, die sich mit ihren eigenen Geräten verbinden.
LogRhythm SIEM-Dashboard
Das Dashboard für LogRhythm SIEM ist webbasiert und kann über jeden der folgenden Webbrowser aufgerufen werden:
- Google Chrome
- Microsoft Internet Explorer
- Microsoft Edge
- Mozilla Firefox
Die Konsole des SIEM ist mit Tabs versehen wobei das Dashboard ein Element des Layouts ist. Andere Registerkarten greifen auf Dienstprogramme wie Alarmlisten und Berichte zu. Zwei weitere Registerkarten am unteren Bildschirmrand ermöglichen den Zugriff auf eine Aufgabenliste und den direkten Zugriff auf Protokolle für Suchvorgänge.
Der Hintergrund des Dashboards ist schwarz, wobei hellere Farben für Text und Grafiken verwendet werden. Jeder Bildschirm im Dashboard bietet eine Mischung aus Grafiken und Texttafeln, wie am Beispiel des gezeigt Analysieren Dashboard unten.
Jedes Element auf einem Bildschirm, z. B. dem Analyse-Dashboard, bietet Zugriff auf einen Detailbildschirm. Elemente in einem Ranglistenpanel sind aktive Links zu Detailbildschirmen. Die Bildschirme im Analyse-Dashboard bieten alle Folgendes an Datenfilter So können visualisierte Daten auf ein bestimmtes Gerät oder einen bestimmten Benutzer isoliert werden.
LogRhythm SIEM-Konfigurationsoptionen
Die LogRhythm SIEM-Software läuft weiter Windows Server 2012 und später. LogRhythm kann auch die gesamte Software für die LogRhythm NextGen SIEM-Plattform vorinstalliert auf einem bereitstellen Gerät . Das System ist auch als verfügbar ein cloudbasierter Dienst , einschließlich Rechenleistung und Speicherplatz.
LogRhythm SIEM-Compliance-Berichte
Das LogRhythm-System kann angepasst werden, um sich auf die Einhaltung spezifischer Datensicherheitsstandards zu konzentrieren. Diese Compliance-Anforderungen ersetzen nicht die Standardverfahren des LogRhythm SIEM – jeder Administrator hat weiterhin Zugriff auf alle Standardbildschirme und -dienste. Die Compliance-Anpassungen erfolgen in Form von zusätzlichen Modulen, die aufgerufen werden Compliance-Automatisierungsmodule .
Für folgende Standards stehen Module zur Verfügung:
- 201 CMR 17,00
- BSI IT-Grundschutz
- Kritische Sicherheitskontrollen für CIS
- DoDi 8500.2
- FISMA
- DSGVO
- GLBA
- GPG 13
- HIPAA, HITECH & MU
- ISO 27001
- MEHR TRMG
- JETZT 08-09 Rev. 6
- NERC CIP
- NIST 800-53
- NIST Cybersecurity Framework
- NRC-Regulierungsleitfaden 57.1
- PCI DSS
- SOX
- VAE-NESA
Ein Compliance-Automatisierungsmodul bietet nicht nur Anpassungen der Sicherheitsüberwachungskontrollen zur Einhaltung des ausgewählten Standards, sondern passt auch Prüfsysteme an die Standardanforderungen an. Das Modul umfasst eine Bibliothek mit Berichtsformaten, die zur Erstellung von Compliance-Nachweisen benötigt werden. LogRhythm verteilt Updates für diese Module, falls sich Standards ändern.
Alternativen zu LogRhythm SIEM
Das LogRhythm SIEM ist kaum zu schlagen. Das System ist umfassend und verfügt über automatisierte Reaktionsmechanismen, die eine große Zeitersparnis bedeuten können. Allerdings ist LogRhythm nicht das einzige SIEM auf dem Markt, und jeder, der neue Sicherheitssoftware kauft, wird wahrscheinlich eine Reihe von Alternativen prüfen wollen.
Um mehr über SIEM und die besten Systeme auf dem Markt zu erfahren, werfen Sie einen Blick auf die Beste SIEM-Tools . Wenn Sie keine Zeit haben, diesen Leitfaden zu lesen, finden Sie hier unsere Liste der zehn besten Alternativen zu LogRhythm SIEM.
- SolarWinds Security Event Manager (KOSTENLOSE TESTVERSION) Ein Tool, das Protokollverwaltung für die Analyse von Sicherheitsdaten bietet. Es beinhaltet keine Netzwerküberwachung, könnte aber durch einen Drittanbieter-Feed erweitert werden. Diese Software wird auf Windows Server installiert. Starten Sie die kostenlose 30-Tage-Testversion.
- ManageEngine EventLog Analyzer (KOSTENLOSE TESTVERSION) Ein protokollbasiertes Sicherheitsanalysesystem, das den SIM-Teil von SIEM bereitstellt. Dies könnte mit OpManager kombiniert werden, um Live-Netzwerkdaten bereitzustellen und ein vollständiges SIEM zu erstellen. Es lässt sich unter Windows und Linux installieren. Greifen Sie auf die kostenlose 30-Tage-Testversion zu.
- Datadog-Sicherheitsüberwachung Ein cloudbasierter Dienst, der die Installation der Agentensoftware vor Ort erfordert. Dieses Sicherheitssystem kann mit einem vollständigen Netzwerküberwachungssystem kombiniert werden.
- McAfee Enterprise Security Manager Ein gut geplantes SIEM, das Protokollverwaltung und Live-Verkehrsüberwachung umfasst. Dieses Sicherheitssystem wird durch einen hochwertigen Threat-Intelligence-Feed erweitert. Installiert unter Windows und macOS.
- Fortinet FortiSIEM Ein cloudbasiertes SIEM-System, das Agentensoftware auf überwachten Geräten bereitstellt, um Kontinuität während Netzwerkausfallzeiten zu gewährleisten. Es umfasst eine Reihe von Erkennungsstrategien wie UEBA und integriert automatisierte Abwehrreaktionen.
- Rapid7 InsightIDR Ein beeindruckender cloudbasierter Sicherheitsdienst, der die Kontinuität des Dienstes durch Agentenmodule vor Ort gewährleistet. Es umfasst UEBA und automatisierte Bedrohungsreaktion.
- OSSEC Ein kostenloses, hostbasiertes Open-Source-Intrusion-Detection-System, das SIM-Funktionen bietet. Es akzeptiert Live-Netzwerkdaten als zusätzliche Eingabe, diese müssen jedoch von einem Drittanbieter-Tool bereitgestellt werden. Installiert unter Windows, macOS, Linux und Unix.
- IBM QRadar Eine Security-Intelligence-Plattform, die ein SIEM-Modul enthält. Zu den Elementen des SIEM gehören Schwachstellenscans, ein Threat-Intelligence-Feed, Live-Verkehrsanalysen und Protokollverwaltungsfunktionen. Es läuft auf Windows Server.
- AT&T Cybersecurity AlienVault Unified Security Management Ein angesehenes SIEM-System, das von einem sehr großen multinationalen Unternehmen finanziell unterstützt wird. Es läuft unter Windows und macOS.