LOGPOINT SIEM

LogPoint to producent jednego z najbardziej obecnie zaawansowanych technicznie systemów SIEM/UEBA posiadający ponad 1000 klientów na całym świecie. Cechuje go wskaźnik odnowienia licencji przez klientów na poziomie 98% i wskaźnik satysfakcji ze wsparcia technicznego i serwisu ponad 96%. LogPoint jako jedyny SIEM na rynku posiada certyfikat Common Criteria (CC) na poziomie Evaluation Assurance Level (EAL3+). LogPoint stanowi alternatywę dla tradycyjnych, kosztownych rozwiązań SIEM. Cechuje go duża elastyczność, łatwość wdrożenia i personalizacji, intuicyjność obsługi oraz szybka integracja ze środowiskiem klienta.

Gromadzenie dzienników i danych o zdarzeniach opiera się w LogPoint na algorytmach Big Data, co zapewnia dużą wydajność. Dane składowane są w definiowanych repozytoriach, które mogą mieć swój własny czas przechowywania oraz specyficznie prawa użytkownika. LogPoint może gromadzić dane z dowolnego połączonego z nim systemu, w tym zapór ogniowych, programów antywirusowych, baz danych, kont e-mail, serwerów plików itp., a także z innych urządzeń do przechwytywania danych, takich jak drukarki, systemy dostępu fizycznego itp.

Prostota integracji LogPoint ze wszystkimi źródłami logów oraz możliwość korelowania informacji między platformami i systemami osiągana jest dzięki jednolitej taksonomii rozwiązania. Opiera się ona na unikalnej technologii normalizacji, która pokazuje wszystkie źródła logów w tym samym formacie na jednym pulpicie, dzięki czemu LogPoint efektywnie prezentuje informacje za pomocą różnych narzędzi wizualizacji.

Działanie systemu LogPoint SIEM opiera się głównie na definiowanych w systemie wyszukiwaniach budowanych na podstawie zapytań. Warto zaznaczyć, iż ze względu na indeksowanie zarówno logów w postaci znormalizowanej jak i surowej, system daję ogromne możliwości szybkiego wyszukiwania dowolnych aspektów w wybranych repozytoriach danych. LogPoint jest dostarczany z wieloma różnymi standardowymi raportami, w tym ISO 2700x, DS484, HIPAA, GDPR itp.

LogPoint pozwala budować reguły korelacyjne na podstawie standardowego zachowania (linii bazowej) i odchyleń od niej, definiując wywołanie procesu reagowania na incydenty. Rozwiązanie umożliwia także wykorzystywanie wielu funkcji wzbogacania danych źródłowych dzięki integracji z produktami firm trzecich.
Zwieńczeniem wszystkich poprzednich kroków jest możliwość tworzenia alertów. System natychmiast po wdrożeniu umożliwia korzystanie z szerokiej gamy wbudowanych reguł. Jeśli jakakolwiek aktywność w sieci ma charakter podejrzany lub narusza dowolną regułę lub zdefiniowaną linię bazową, generowany jest alert. Umożliwia to osobom odpowiedzialnym za bezpieczeństwo IT reagowanie natychmiast po wykryciu zagrożenia, dzięki czemu czas reakcji na incydenty jest znacznie krótszy, a dział cyberbezpieczeństwa jest w stanie poradzić sobie z zagrożeniami, zanim jeszcze będą one w stanie zagrozić organizacji.

LogPoint SIEM posiada wbudowane integracje z narzędziami klasy Threat Intelligence (TI), Applied Analytics (AA), User and Entitiy Behavior Analytics (UEBA), Security Orchestration, Automation and Response (SOAR), a dzięki udostępnionemu API systemu możliwa jest także integracja z dowolnymi narzędziami bezpieczeństwa.

OPCJE WDROŻENIA

System LogPoint można wdrożyć tak w wersji chmurowej (Azure, AWS), jak i lokalnie, zarówno na urządzeniach wirtualnych (platformy VMware i HyperV) jak i na sprzęcie fizycznym. LogPoint pozwala na dużą skalowalność rozwiązania, może być także zaimplementowany jako rozwiązania klastrowe i rozproszone (LogPoint Director).
System LogPoint można wdrożyć także w wersji wieloinstancyjnej przydatnej szczególnie dla Managed Security Service Provider (MSSP).

LICENCJONOWANIE

Strategia cenowa rozwiązania oparta jest na ilości i „wielkości” węzłów, zdefiniowanych jako adresy IP wysyłające logi do systemu LogPoint. Nie są natomiast brane pod uwagę ani wolumin danych przesyłanych ze źródeł ani ilość EPS (zdarzeń na sekundę), ani liczba użytkowników. Po podłączeniu przez klienta określonej liczby węzłów można pobrać tyle danych, ile pozwala na to miejsce na zasobach pamięci masowej. Co więcej, cena za węzeł spada wraz ze wzrostem liczby węzłów. Taki model licencjonowania gwarantuje pewność inwestycji przy wzrastającym ruchu sieciowym, ilości informacji, liczbie aplikacji itp.

LogPoint SIEM posiada wbudowane integracje z narzędziami klasy Threat Intelligence (TI), Applied Analytics (AA), User and Entitiy Behavior Analytics (UEBA), Security Orchestration, Automation and Response (SOAR), a dzięki udostępnionemu API systemu możliwa jest także integracja z dowolnymi narzędziami bezpieczeństwa.

Jest to bardzo ważny aspekt biorąc pod uwagę stale rosnącą ilość danych w erze cyfrowej. Dodatkowo, licencja LogPoint obejmuje wszystkie jego funkcje (np. możliwość zbierania i przeszukiwania logów w postaci surowej czy flow data), z wyjątkiem modułu UEBA, który, choć w pełni zintegrowany z systemem SIEM, licencjonowany jest oddzielnie.

LOGPOINT UEBA

Głównym celem systemów SIEM jest umożliwienie lepszego wykrywania zagrożeń, a tym samym skrócenie czasu reakcji na zagrożenie. Wprowadzenie uczenia maszynowego (ML) w formie UEBA (User and Entity Behavior Analytics) pozwala znacząco poprawić parametry takie jak MTTD (średni czas do wykrycia zagrożenia) i MTTR (średni czas reakcji na zagrożenie).

Moduł analizy zachowań użytkowników (UEBA) LogPoint oparty jest na wiodących na rynku technologiach ML oraz na ponad 500 przypadkach użycia, które pozwalają na wykrywanie zagrożeń w 7 kategoriach.

Co więcej wspólna taksonomia systemu zapewnia dostęp do ponad 400 modeli uczenia maszynowego, na których bazuje moduł UEBA. Dodatkowo UEBA LogPoint opiera się także na ustalaniu linii bazowej. Zachowanie podstawowe ustala się identyfikując normalne zachowania użytkowników, a następnie badając zachowania nietypowe – odstępstwa od linii bazowej.

Zamiast więc tworzenia statycznego alertu, gdy użytkownik podejmuje działania oceniane jako podejrzane (odmienne od standardowych zachowań jego grupy referencyjnej), algorytmy uczenia maszynowego automatycznie to wykrywają i ostrzegają.

Co więcej, każda z wykrytych anomalii zostaję w zrozumiały sposób opisana przez system, dając kompletny materiał do analizy specjalistom. W ten sposób radykalnie zmniejsza się liczba fałszywych alarmów i natychmiast identyfikowane są szkodliwe zachowania, trudne do ręcznego wykrycia przez analityków.

LogPoint SOAR – zautomatyzowane badanie incydentów bezpieczeństwa

LogPoint SOAR przy pomocy wbudowanych playbooków automatyzuje badanie incydentów bezpieczeństwa i zapewnia narzędzia do zarządzania przypadkami. Automatyzując obsługę incydentów bezpieczeństwa zespół SOC może nadać priorytet najbardziej krytycznym atakom i zminimalizować ryzyko. Konwergentna platforma LogPoint zapewnia bezpośredni przepływ danych z SIEM do SOAR. Dane i alerty bezpieczeństwa są gromadzone i priorytetyzowane, pomagając analitykom szybko identyfikować i rozwiązywać incydenty.

LogPoint SOAR:

  • Zmniejsza ryzyko związane z cyberbezpieczeństwem dzięki playbookom, które ułatwiają szybkie badanie, powstrzymywanie i usuwanie cyberzagrożeń
  • Prowadzi analityków poprzez automatyczne wzbogacanie kontekstu, pomagając zwiększyć wydajność operacji bezpieczeństwa.
  • Zapewnia orkiestrację narzędzi bezpieczeństwa i integracji w celu usprawnienia procesów i automatyzacji reakcji na zagrożenia
  • Umożliwia łatwe kompilowanie raportów pomagających spełnić wymogi zgodności z przepisami, takimi jak NIS2 i DORA.
  • Dostępnych jest ponad 620 integracji SOAR i ponad 6800 akcji SOAR.

Wszyscy obecni i przyszli użytkownicy LogPointa mogą stosować SOAR do swoich operacji bezpieczeństwa, przy czym, co bardzo istotne, klienci otrzymają możliwość bezpłatnego korzystania z SOAR w zakresie licencji na jednego analityka w ramach LogPoint Core SIEM. Dopiero za licencje na kolejnych użytkowników należy dopłacić. LogPoint SOAR licencjonowany jest przy tym na użytkowników równoczesnych, a nie nazwanych, co oznacza, że jeżeli w SOC mamy np. 15 osób pracujących na trzy zmiany, to potrzebujemy dla nich jedynie 5 licencji.

LogPoint for SAP

Brak zabezpieczeń SAP stanowi ogromne ryzyko dla organizacji, z których 64% twierdzi, że padło ofiarą naruszenia systemu ERP w ciągu ostatnich dwóch lat, a szacunkowy koszt każdego naruszenia wynosi 5 milionów dolarów. Po ataku organizacje nie mają możliwości ustalenia, co się stało i kto uzyskał dostęp do danych SAP. LogPoint tworzy telemetrię, gromadzi zdarzenia i monitoruje dzienniki zdarzeń z SAP. Korelując i wzbogacając dane, tłumaczy logi na standardy branżowe i tworzy alerty dla krytycznych lub podejrzanych działań. Wyodrębniając logi SAP i monitorując zachowanie aplikacji można wykrywać i reagować na zagrożenia, które w przeciwnym razie pozostałyby niedostrzeżone.

Dzięki nieszablonowej analityce LogPoint wykrywa podejrzane transakcje SAP w czasie zbliżonym do rzeczywistego oraz śledzi aktywność za pomocą analizy zachowań użytkowników i podmiotów – nawet gdy atakujący usunie wszystkie ślady. Dzięki natywnej integracji z konwergentną platformą LogPoint można łagodzić zagrożenia, przekładając obserwacje z SAP na kontekst cyberbezpieczeństwa.