ネット管理者

Logpoint SIEM のレビューと代替案

LogPoint SIEM レビュー



ログポイントSIEMログファイルを調べ、ネットワーク トラフィックを監視することで、IT システム上の悪意のあるイベントを検索します。 SIEM は、ネットワーク上の複数のポイントからの検出方法とサンプル インジケータを組み合わせて、ステルス攻撃や高度な持続的脅威を特定できます。

SIEMについて

SIEM は Security Information and Event Management の略です。このタイプのシステムは、侵入検知のための 2 つの方法を組み合わせています。



ホストベースの侵入検知システムは、各エンドポイント上のログ ファイルと、ネットワーク上を移動するログ ファイルを検査します。ログ メッセージの主な標準は次の 2 つです。 Windowsイベント Windows オペレーティング システムの場合、および シスログ 、Linux、macOS、Unix 上で動作します。すべてのログ メッセージが自動的にファイルされるわけではないため、SIEM システムの最初のタスクは、ログ メッセージを収集して保存するログ サーバーを提供することです。

SIEM ツールはさまざまなソースからのログを検索する必要があるため、これらのメッセージは保存する前に中立的な形式に再編成する必要があります。このタスクはログ統合と呼ばれます。ログ ファイルを処理する SIEM の部分は次のように呼ばれます。 セキュリティ イベント管理 (SEM)



SIEM の 2 番目の部分は、 はい 。これは セキュリティ情報の管理 また、リアルタイムで動作し、ライブデータを収集して悪意のあるアクティビティのパターンを探します。これは ネットワークベースの侵入検知 (NIDS) 主にネットワーク監視を通じて動作します。

SIM は即時性があり、侵入者をすぐに発見できます。ただし、ほとんどのハッカーは、ファイアウォールや NIDS システムで使用される従来のシグネチャベースの検出方法などの検出システムを回避する方法を知っています。たとえば、パケット ヘッダーを調べても、パケット間で分割されている典型的な攻撃シグネチャは見つかりません。

最新のハッカー手法では、特定するデータの組み合わせが必要です。このタスクは遡及的にのみ実行できます。 SIM モニターは、通過するトラフィックをスキャンするだけでなく、コンパニオン SEM システムで利用可能な情報を追加する独自のログを生成します。つまり、SIM と SEM はそれぞれ、互いの弱点をカバーします。

ログポイントについて

ログポイントは、著名なサイバーセキュリティ専門家であるシニアパートナーとのパートナーシップです。事業の本社は次のとおりです。 コペンハーゲンデンマーク 英国、フランス、ドイツ、スウェーデン、フィンランド、米国、ネパールにオフィスを構えています。

Logpoint SIEM は、同社の唯一の製品です。ただし、ソフトウェアのモジュール設計は、SIEM ツールが実際にはセキュリティ機能のバンドルであることを意味します。

ログポイントの SIEM 機能

社名が示すように、Logpoint はログ メッセージの管理と分析に非常に優れています。ただし、ログ データ分析は SIEM システムの機能の半分にすぎません。 Logpoint SIEM サービスは、ライブ データも監視および分析します。

LogPoint SIEM ダッシュボード - ユーザー アカウント管理

ログ管理

ログポイントSIEMはあらゆる規模の企業で利用できますが、特に大規模な組織にとって魅力的です。システムは大量のログ メッセージを処理できます。最高のスループット レートは、最大 25,000 の異なるイベント ソースからの 100 万イベント/秒 (EPS) です。

Logpoint SIEM ソフトウェアは、 Linux ベースのシステム したがって、Syslog メッセージを収集するのに非常に適しています。ただし、システムが収集できるログ メッセージの種類はこれだけではありません。 Logpoint SIEM が収集する他のログ メッセージ形式の中で注目に値するのは、Windows イベント ログ メッセージです。

さまざまなソースからログ メッセージを取得すると、メッセージの形式が多様になります。 SEM システムは、多くのソースからの情報を統合することに優れており、これを行うために、Logpoint SIEM は受信したすべてのログ レコードを中立的な形式に再編成する必要があります。これにより、作成時に従った標準に関係なく、ログ データを一元的に保存できるようになります。

高度な脅威防御

アン 高度持続的脅威 (APT) これは今日非常に一般的なハッカーの活動です。これには、ハッカー グループがプライベート システムにアクセスし、検出されずに繰り返しアクセスできるようにデバイスの構成を調整することが含まれます。 Logpoint SIEM サービスは、ネットワーク トラフィックを追跡することによってシステム アクティビティを監視します。

LogPoint SIEM 高度な脅威保護

ログ データを分析し、その分析から収集した疑惑を特定のアクティビティ ソースに適用することで、ネットワーク管理者は多くの時間とリソースを節約できます。すべてのトラフィックを検査する無駄な労力を回避できます。ログ ファイルの分析結果により、注意すべきトラフィック監視サービス固有のユーザー アカウントと IP アドレスがわかります。

ユーザー監視

ユーザー アカウントは、侵入者が検出されずにシステムを回避する最も簡単な方法を提供します。ログポイントSIEM 既存のすべてのアカウントを評価します ハッカーにとって理想的な手段となる、放棄されたアカウントや使用頻度が低いアカウントを特定します。 Logpoint システムは、によって生成されたイベント ログ メッセージも収集します。 アクティブディレクトリ 失敗したログイン試行とブルートフォースパスワードクラッキングアクションを検出します。

Logpoint SIEM ソフトウェアには特殊な機能が含まれています ユーザーおよびエンティティの行動分析 (UEBA) 。これにより、一般的なユーザーの行動と、ネットワーク上の各デバイスから予想される通常のトラフィックのベースラインが確立されます。 UEBA プロセスでは、機械学習を使用して通常のアクティビティのベースラインを確立します。すぐに使える異常検出ルールのセットが世界中のあらゆる企業のすべてのユーザーに適用されるわけではないため、これは重要です。 SIEM が始まったとき、設定されたルールを適用すると、誤報が多すぎました。 UEBA は、正当なアクティビティに不審なフラグが立てられるのを防ぐためにアラート設定を調整します。

脅威インテリジェンス

Logpoint は、SIEM ツールに次の情報を提供します。 典型的な攻撃ベクトル 脅威インテリジェンス フィードの形式で。 Logpoint のアナリストは常に新しい攻撃手法を研究し、高度で持続的な脅威へのアクセスを容易にする脆弱性のリストを作成しています。 Logpoint SIEM は脆弱性スキャナーとしても機能し、そのような攻撃の発生を防ぐために再調整が必要な監視対象システム上のポイントを特定します。

保安基準への準拠

EU を拠点とする企業として、Logpoint は以下の点で非常に強みを持っています。 GDPR コンプライアンス。このセキュリティ ツールには、GDPR への準拠に重点を置いたセクション全体がダッシュボードにあり、GDPR の監査およびレポート機能が含まれています。

LogPoint SIEM GDPR 準拠

データの場所は GDPR にとって特に重要です。 EU国民に関する情報はEU外に送信してはならないと規定されているからだ。 Logpoint SIEM は、通信相手の物理的な場所によってすべての接続を追跡できます。この情報は、ライブ データおよび履歴データの分析グラフとして表示されます。

これらの場所ベースの記録により、GDPR のコンプライアンス監査とレポートが迅速化されます。 Logpoint SIEM に同梱されている事前に作成されたレポート形式には、 GDPRへの準拠

インシデント対応

Logpoint SIEM のインシデント対応機能は、ネットワーク トラフィックとログ ファイルの分析に基づいて、侵入や内部関係者の脅威の可能性を検出します。不審なアクティビティが検出されると、ネットワーク管理スタッフに警告が発せられ、警告の理由の説明が各スタッフに提供されます。新しい脅威インテリジェンスに応じたシステム スキャンでも、 システム強化に関する推奨事項

LogPoint SIEM インシデント対応

Logpoint SIEM には、自動化脅威軽減アクションは含まれていません。これは、よりプロアクティブな競合の SIEM 製品と比較した Logpoint SIEM サービスの弱点とみなされる可能性があります。企業は、コンピュータ プログラムにトラフィックをブロックしたりアカウントを停止したりしてアクティビティを制御させることに不安を感じているかもしれません。その場合、アクションの自動化ではなく、アクションの推奨という Logpoint SIEM の戦略の方が魅力的になるでしょう。

ログポイント構成オプション

Logpoint SIEM ソフトウェアは Ubuntu Linux 上で実行されます。あるいは、仮想マシン上で実行することもでき、その場合は任意のサーバー上でホストできます。 Logpoint は、すべての SIEM ソフトウェアがプリロードされたアプライアンスとして Logpoint SIEM も提供します。

ログポイントの実装

ソフトウェアのセットアップはそれほど簡単ではないため、通常、Logpoint ディストリビュータの 1 人がクライアント サイトに出向いてソフトウェアをセットアップします。このオーダーメイドのサービスはハイスペックな製品であることを示す一方で、このインストール手順が一部の潜在的な顧客を不安にさせる可能性があります。 IT インフラストラクチャに変更を加えると、Logpoint ディストリビュータが戻ってきてソフトウェアのインストールを変更する必要があり、通話料金が発生するのではないかと心配する人もいるかもしれません。

Logpoint の Web サイトで説明されている購入プロセスは、次のような長くて長いプロセスのようです。 ワークショップ 主要な IT スタッフと Logpoint コンサルタントが参加します。このカスタマイズされたコンサルティング主導のアプローチは、現在入手可能な多くの主要な SIEM 製品とは大きく異なります。

業界の残りの部分では、Logpoint の競合他社がクラウド サービスに移行しています。これらのシステムにはサブスクリプションが必要で、サービスはすぐに利用可能になります。 SaaS SIEM のダッシュボードにあるウィザードは、新規ユーザーにエージェント プログラムのダウンロードを案内します。エージェント プログラムは自動検出手順を実行し、ネットワーク上に自己インストールします。

社内に IT チームを持たない企業は、最初の Logpoint 導入ワークショップに派遣する主要なスタッフを見つけるのに苦労することになるため、現在利用可能なマネージド SIEM サービスのいずれかを利用する方が適切です。

ログポイントダッシュボード

Logpoint のユーザー環境は次のとおりです。 カラフルで魅力的 。コンソール画面にはタブが付いているため、ユーザーは各検出モジュールに関連するデータをすばやく切り替えることができます。例としては、以下に示す [ユーザー アカウント管理] 画面があります。

LogPoint SIEM - ユーザー アカウント管理の追加

コンソールの分析機能により、相関するイベントを特定し、適切な対応を決定することができます。 Logpoint には、インシデント データをグラフィック形式で表示するだけでなく、すぐに使用できる事前に作成されたレポート形式が含まれています。分析エンジンには以下のものも含まれます アドホック検索および並べ替え機能 これにより、アナリストが独自の調査を開始できるようになります。

データ分析画面の例を以下に示します。

LogPoint SIEM - 検索と並べ替え

この例では、アナリストは Logpoint SIEM に、高度で永続的な脅威を探すために数日間のデータをプロットするように依頼しました。分析期間を調整して、最近のデータだけでなく、調整可能な期間にわたるイベントを表示することができます。

価格の詳細については、登録してください。見積もりと無料デモ

Logpoint SIEM 無料デモに登録する

ログポイントの代替手段

Logpoint の実装モデルは非常に洗練されており、コンサルタントとのインストール前のミーティングはすべて、おそらく大企業の IT ディレクターにとって魅力的なものとなるでしょう。しかし、予算を重視する小規模企業には、このセキュリティ ソフトウェアの購入に伴うと思われるすべてのハードルを乗り越えるお金も時間もありません。市場にある他の SIEM ツールのいずれかにオンラインでサインアップして、自動的にインストールしてみませんか?

ログポイントは ログ管理と分析に非常に強い しかし、より優れたトラフィック監視機能を備えた強力なライバルも存在します。 SIEMツールの導入を希望する企業 自動化された脅威軽減 市販されている他の SIEM ツールのいずれかを使用するのもよいでしょう。

SIEM と市場で競合する最高のシステムについて詳しく知りたい場合は、次の投稿をご覧ください。 最高のSIEMツール 。代わりに、サブスクリプションベースで SIEM 専門家のチームを雇用することもできます。 最適なマネージド SIEM サービス 役職。

Logpoint SIEM に代わる最適な 10 の選択肢は次のとおりです。

  1. SolarWinds セキュリティ イベント マネージャー (無料トライアル) リアルタイムのインシデント対応と事前設定された標準準拠モデルを含む SIEM ツール。このソフトウェアは Windows Server にインストールされます。 30 日間の無料トライアルを開始してください。
  2. ManageEngine EventLog Analyzer (無料トライアル) このシステムは、すべて統合できる一連のインフラストラクチャ管理ツールの一部です。 EventLog Analyzer は SIM 機能を提供します。ログ360SEM サービスに追加できます。 Windows と Linux にインストールされます。 30 日間の無料トライアルにアクセスしてください。
  3. Datadog セキュリティ監視 SIEMセキュリティ監視モジュールを搭載したクラウドベースのインフラ監視システムです。
  4. マカフィー エンタープライズ セキュリティ マネージャー Active Directory 管理に特に優れた SIEM ツール。 Windows と macOS にインストールされます。
  5. フォーティネット FortiSIEM 包括的なものには、自動化された防御応答が含まれます。オンサイトエージェントソフトウェアを備えたクラウドベースです。
  6. Rapid7 InsightIDR デバイス監視エージェント ソフトウェアのインストールを含むクラウド ベースのセキュリティ サービス。インストールは簡単で、自動化された脅威軽減機能が含まれています。
  7. OSSEC ログ分析に特に重点を置いた無料のオープンソース IDS。 Windows、macOS、Linux、Unix にインストールされます。
  8. LogRhythm 次世代 SIEM プラットフォーム トラフィックおよびログ分析のための AI メソッドが含まれています。 Windows と Linux にインストールされます。
  9. AT&T サイバーセキュリティ AlienVault 統合セキュリティ管理 あらゆる種類の検出方法とシステム モニターが含まれているため、SIEM plus として分類できる完全な IDS。 Windows と macOS 上で動作します。
^