ネット管理者

LogRhythm SIEM のレビューと代替案

LogRhythm SIEM のレビューと代替案



ログリズム 世界で最も優れたものの一つです 革新的な オンプレミスにインストールするか、クラウド サービスとしてアクセスするかを選択できる SIEM ソリューション。 SIEM ソフトウェアは非常に複雑であり、また非常に強力です。ただし、パッケージの設計者は、システムを使いやすくするために多大な考慮を払って、 導入センター 、データ調査タスクをユーザーにガイドするウィザードを展開します。

SIEM のすべて

SIEM は次の形式です。 侵入検知システム (IDS) 。の略称は、 セキュリティ情報とイベント管理 。この用語は、2 つのデータ調査アプローチから構成される混合戦略を指します。



セキュリティ情報管理 (SIM) ログ ファイルを調べて悪意のあるアクティビティの兆候を見つけることです。これはいわゆる ホストベースの侵入検知システム (HIDS)

セキュリティ イベント管理 (SEM) これには、通過するトラフィックを調べて不正なアクティビティがないかを確認することが含まれます。これは次のようなものです ディープパケットインスペクション (DPI) 高度なファイアウォールによって実行されます。 SEM は、 ネットワークベースの侵入検知システム (NIDS) 通過するパケットのヘッダー データを操作して、ユーザーのアクティビティに関する情報を抽出します。



SEM の利点は非常に速いことです。不審なアクティビティが発見された場合は、そのアクティビティにすぐに対処できます。ただし、これは次のようなステルスハッカーの活動と戦うにはあまり効果的ではありません。 高度な持続的脅威 (APT) 。 APT では、ハッカー グループがシステムにアクセスし、検出されることなくファイルを検索したり、システム リソースを自分たちの目的のために使用したりすることができます。ハッカーは、通常のユーザー アカウントを介して操作することで検出を回避します。

SIM は、正規のユーザーによって実行された不正なアクションを識別できます。これはAPTを特定するだけでなく、ブロックも行います インサイダーの脅威 。現代的な データ損失イベント 個々には無害に見えても、一緒に調べると攻撃を示す一連のアクションを観察することによってのみ特定できます。 SIM の大きな問題は、アクティビティの全体像を構築するのに時間がかかることです。不審なアクティビティのパターンが明らかになるまでに、企業のデータはおそらくすでに盗まれています。

SIM と SEM を組み合わせることで、SIEM システムは脅威の特定速度を向上させると同時に、従来のサイバーセキュリティ対策による検出を回避する攻撃を確認できるようになります。 SIEM は、ファイアウォールやその他の境界防御に代わるものではありません。ファイアウォールがブロックできない攻撃の種類を特定し、特定することを目的としています。

ログリズムについて

株式会社ログリズム は 2003 年に操業を開始しました。 コロラド州ボルダー 世界中にオフィスもあります。このビジネスは、特にシステム ログ ファイルから情報を取得するセキュリティ ソリューションの開発を開始しました。 SIEM はログファイルベースのシステムの代表的な例であるため、LogRhythm SIEM の開発が同社の優先事項でした。

会社の創設者たちは、 クリス・ピーターセン そして フィリップ・ヴィレラ は、ログ データの収集、フォーマット、処理方法に関する革新的な方法を研究しており、この分野でいくつかの特許を取得しています。これにより、LogRhythm は SIEM 市場で競争力を得ることができます。ログ ファイルの処理が速くなればなるほど、異常なイベントをより早く発見できるからです。

LogRhythm SIEM の概要

LogRhythm SIEM の正式なタイトルは、 LogRhythm 次世代 SIEM プラットフォーム 。このサービスは、5 つの必須要素と 2 つのオプションのモジュールで構成されています。これらは:

  • NetMon – 分析のために重要なパケット情報を抽出するライブ ネットワーク モニター。
  • SysMon – 分散データ収集エージェントおよびエンドポイント モニター。
  • AnalytiX – ログマネージャー。
  • DetectX – 脅威ハンティング モジュール。
  • RespondX – Security Orchestration and Response (SOAR) システム。
  • NetworkXDR – 強化されたネットワーク監視を提供するオプションのモジュール。
  • UserXDR – ユーザーおよびエンティティの行動分析 (UEBA) ソリューションであるオプションのモジュール。

これらの各モジュールについては、以下でさらに説明します。

ネットモン

NetMon は、SIEM 分析エンジンのライブ ネットワーク トラフィック データの主なソースです。ディープ パケット インスペクション (DPI) を使用して、パケット ヘッダーのメタデータを読み取ります。これにより、サービスはアプリケーションごと、ユーザーごと、エンドポイントごとにトラフィックを記録できるようになります。この情報は次に従ってフォーマットされます。 スマートフロー 中央分析エンジンにアップロードされる際の分析用プロトコル。このシステムは、レイヤ 2 からレイヤ 7 までのネットワーク スタックの全体像を収集します。

NetMon モジュールは、分析のためのデータを収集するだけではありません。それはまた作用します。一連のパケットで送信される電子メールの添付ファイルを再構築し、悪意のあるコンテンツを見つけて時間があれば削除したり、送信先でのステータスを更新して問題を示したりすることができます。

NetMon には、LogRhythm ダッシュボードに独自のネットワーク監視画面があります。 ステータスアラートと調整可能なしきい値 。データ画面はカスタマイズ可能で、ネットワーク トラフィック データを API 経由で他のアプリケーションに供給することもできます。トラフィック データには、外部接続の送信元と宛先、ボットネット コントローラーとの識別された通信、禁止された IP アドレスの更新可能なリストが含まれます。

システムモン

SysMon は、LogRhythm の主要なデータ収集システムです。監視対象の各エンドポイントにコンポーネントがあり、中央コントローラーもあります。の Sysmonコントローラー 各エージェントからデータを受信し、応答の指示を送り返します。

SySMon エージェント エンドポイントとサーバーにインストールしてログ データを収集し、独自の LogRhythm 統計を生成して中央コントローラーに送信します。

タスクには、ローカル ファイルが改ざんされていないことを確認するためのファイル整合性の監視が含まれます。中央の SysMon は、収集されたデータを使用して同じ役割を果たします。また、エージェントは各マシンのプロセスを監視し、レジストリ保護、接続されたデバイスの監視、悪意のあるユーザーのアクセスのローカルでのブロックなどのローカルの安全性チェックを実行します。

SysMon エージェントは以下にも貢献します。 ライブネットワークトラフィック監視 監視対象デバイスによって行われた、または受け入れられた各接続をログに記録します。デバイス上のすべてのアクティビティは、その時点でアクティブだったユーザー アカウントに対して記録されます。

アナリティックス

AnalytiX は、 ログマネージャー ログリズムの。 SysMon によってチャネリングされたすべてのログ データを受信し、それらのレコードを共通の形式に変換してから、表示およびファイルするためにダッシュボードに送信します。

レコードを再フォーマットする際、AnalytiX は疑わしいアクションにフラグを立て、イベントをリンクします。ログ ファイルは、意味のあるディレクトリと、によって提供される検索エンジン コンポーネントに保存されます。 エラスティックサーチ これらの生のログに、ユーザーやその他の関係者 (標準準拠監査人など) が直接アクセスできるようにします。

ディテクトX

DetectX は、 脅威ハンター ログリズムの。 AnalytiX によって作成された構造化ファイルを取得し、サービス検出ルールをそれらのファイルに適用します。このコンポーネントは、データ セキュリティ標準の要件に適合します。検出ルールは、ライブ脅威インテリジェンス フィードによって常に更新されます。

DetectX プロセスは、悪意のあるアクティビティを特定し、それらをシャットダウンするための適切なワークフローを起動します。それらのアクションは次のように実装されます。 応答X

応答X

RespondX は、 セキュリティ オーケストレーション、自動化、および対応 (SOAR) ログリズムのユニット。ファイアウォールやアクセス権マネージャーなどの他のシステム サービスにリンクして追加データを収集し、応答ワークフローも実装します。

RespondX 軽減策は次のように呼ばれます。 スマートレスポンスの自動化 。ファイアウォール ルールを変更して疑わしい IP アドレスをブロックし、ユーザー アクセス システムと連携してアカウントを一時停止します。

ネットワークXDR

NetworkXDR は、NetMon の検出機能を強化するオプションのモジュールです。ネットワークのいくつかのポイントで、問題を示すアクティビティを検出できます。 横方向の攻撃 。それは使用しています 機械学習 きつすぎるしきい値レベルを課すのではなく、通常のネットワーク アクティビティのベースラインを確立します。

ユーザーXDR

UserXDR は、SysMon のユーザー行動監視を強化するオプションのモジュールです。これは ユーザーおよびエンティティの行動分析 (UEBA) AI 機械学習を適用して、各ユーザーおよびユーザー グループの通常の行動パターンを確立するサービス。

UserXDR システムは、セキュリティ上の弱点である放棄されたアカウントを探します。また、自分のデバイスに接続するユーザーに与えられる権限を管理することもできます。

LogRhythm SIEM ダッシュボード

LogRhythm SIEM のダッシュボードは Web ベースであり、次の Web ブラウザのいずれかからアクセスできます。

  • グーグルクローム
  • Microsoft Internet Explorer
  • マイクロソフトエッジ
  • モジラ Firefox

SIEMのコンソールは、 タブ付き ダッシュボードはレイアウトの 1 つの要素です。他のタブでは、アラート リストやレポートなどのユーティリティにアクセスします。画面下部のさらに 2 つのタブを使用すると、タスク リストにアクセスしたり、検索用のログに直接アクセスしたりできます。

ログリズムダッシュボード

ダッシュボードの背景は黒で、テキストとグラフィックには明るい色が使用されています。ダッシュボードの各画面で提供される機能 グラフとテキストパネルの混合、 の例に示すように、 分析する 以下のダッシュボード。

LogRhythm VPN モニタリング

分析ダッシュボードなどの画面上の各要素から、詳細画面へのアクセスが提供されます。リーグ表パネルの要素は、詳細画面へのアクティブなリンクです。分析ダッシュボードのすべての画面で提供される機能 データフィルター そのため、視覚化されたデータを特定のデバイスまたはユーザーに分離できます。

LogRhythm SIEM 構成オプション

LogRhythm SIEM ソフトウェアは上で動作します Windowsサーバー2012 以降。 LogRhythm は、LogRhythm NextGen SIEM プラットフォームにプリロードされたすべてのソフトウェアを提供することもできます。 アプライアンス 。このシステムは次のようにも利用できます クラウドベースのサービス 、これには処理能力とストレージスペースが含まれます。

LogRhythm SIEM コンプライアンス レポート

LogRhythm システムは、特定のデータ セキュリティ標準への準拠に重点を置くように調整できます。これらのコンプライアンス要件は、LogRhythm SIEM の標準手順に代わるものではありません。管理者は引き続き、すべての標準画面とサービスにアクセスできます。コンプライアンスへの適応は、と呼ばれる追加モジュールの形式で行われます。 コンプライアンス自動化モジュール

モジュールは次の規格で使用できます。

  • 201CMR 17.00
  • BSI IT の基本的な保護
  • CIS の重要なセキュリティ管理
  • DoDi 8500.2
  • フィスマ
  • GDPR
  • GLBA
  • GPG13
  • HIPAA、ハイテック、MU
  • ISO27001
  • もっとTRMG
  • 現在 08-09 Rev 6
  • NERC CIP
  • NIST 800-53
  • NIST サイバーセキュリティ フレームワーク
  • NRC 規制ガイド 57.1
  • PCI DSS
  • ソックス
  • UAE-NESA

選択された標準に準拠するようにセキュリティ監視制御を調整するだけでなく、コンプライアンス自動化モジュールは標準要件に適合するように監査システムも調整します。このモジュールには、コンプライアンス証明を生成するときに必要なレポート形式のライブラリが含まれています。標準が変更された場合、LogRhythm はこれらのモジュールに更新を配布します。

LogRhythm SIEM の代替手段

LogRhythm SIEM に勝るものはありません。このシステムは包括的で、自動応答メカニズムが含まれているため、時間を大幅に節約できます。ただし、LogRhythm が市場で入手可能な唯一の SIEM ではないため、新しいセキュリティ ソフトウェアを購入する人はおそらく、多数の代替手段を評価する必要があるでしょう。

SIEM と市場で競合する最高のシステムについて詳しく知りたい場合は、次のサイトをご覧ください。 最高の SIEM ツール 。このガイドを読む時間がない場合は、LogRhythm SIEM の代替となるベスト 10 のリストを以下に示します。

  1. SolarWinds セキュリティ イベント マネージャー (無料トライアル) セキュリティデータ分析のためのログ管理を提供するツール。ネットワーク監視は含まれていませんが、サードパーティのフィードを使用して強化できます。このソフトウェアは Windows Server にインストールされます。 30 日間の無料トライアルを開始してください。
  2. ManageEngine EventLog Analyzer (無料トライアル) SIEMのSIM部分を提供するログベースのセキュリティ分析システム。これを OpManager と組み合わせて、ライブ ネットワーク データを提供し、完全な SIEM を作成できます。 Windows と Linux にインストールされます。 30 日間の無料トライアルにアクセスしてください。
  3. Datadog セキュリティ監視 エージェント ソフトウェアをオンサイトにインストールする必要があるクラウドベースのサービス。このセキュリティ システムは、完全なネットワーク監視システムと組み合わせることができます。
  4. マカフィー エンタープライズ セキュリティ マネージャー ログ管理とライブトラフィック監視を含む、綿密に計画された SIEM。このセキュリティ システムは、高品質の脅威インテリジェンス フィードによって強化されています。 Windows と macOS にインストールします。
  5. フォーティネット FortiSIEM 監視対象デバイスにエージェント ソフトウェアを展開して、ネットワークのダウンタイム中に継続性を提供するクラウドベースの SIEM システム。これには、UEBA などのさまざまな検出戦略が含まれており、自動化された防御応答が統合されています。
  6. Rapid7 InsightIDR オンサイト エージェント モジュールを通じてサービスの継続性を保証する、優れたクラウドベースのセキュリティ サービスです。これには、UEBA と自動脅威対応が含まれます。
  7. OSSEC SIM 機能を提供する、無料のオープンソースのホストベースの侵入検知システム。ライブネットワークデータを追加入力として受け入れますが、それはサードパーティツールによって提供される必要があります。 Windows、macOS、Linux、Unix にインストールします。
  8. IBM QRadar SIEM モジュールを含むセキュリティ インテリジェンス プラットフォーム。 SIEM の要素には、脆弱性スキャン、脅威インテリジェンス フィード、ライブ トラフィック分析、ログ管理機能が含まれます。 Windows Server上で動作します。
  9. AT&T サイバーセキュリティ AlienVault 統合セキュリティ管理 非常に大規模な多国籍企業の資金援助を受けている、評判の高い SIEM システムです。 Windows と macOS 上で動作します。
^