ČeskyEnglish
Úvod > Produkty > LogRhythm (SIEM)

LogRhythm

SIEM (Security Information and Event Management)

Dnešní požadavky na systémové řízení bezpečnosti v organizaci vyžadují důkladné shromažďování a detailní archivaci logů z nejrůznějších síťových zařízení a aplikací. Tato činnost dokáže znepříjemnit život nejen síťovým administrátorům kvůli pracnému vyhledávání podezřelých událostí v log souborech, ale i security manažerům zpracovávajícím reporty do odpovídajících výstupů. Neúplnost a nepřehlednost logů v rámci sítě může navíc vést k závažným bezpečnostním rizikům, nevyhovění regulačním požadavkům (PCI, HIPPA, SOX aj.) a ohrožení dobrého jména společnosti.

Řešení LogRhythm zásadně mění přístup ke sběru a korelaci logů a nabízí integrované řešení sdružující v sobě Log Management a Security Information a Event Management (SIEM) spolu s monitorováním a kontrolou koncových stanic, sledování souborů či záznamů s cílem zjistit, zda nebyly pozměněny (File Integrity Monitoring). Kombinací těchto monitorovacích prostředků získá  organizace efektivní nástroj, který poskytne zcela nový, úplný a centralizovaný pohled na události v síti. LogRhythm navíc umožňuje nasazení těchto sofistikovaných prostředků v reálném čase a s použitím celé řady reportů, přednastavených dle formátů světově uznávaných regulačních požadavků.

Získejte snadno a rychle přehled o řešení LogRhythm: Demonstrační video (4 MB)

 

Základní schéma systému

Ukázky


Monitoring Dashboard Reporting
Monitoring Alerting Reporting

 

Klíčové charakteristiky:

  • Log Management s možností sbírat logy v podstatě odkudkoliv: Windows events, W3C, syslogs, flat files, NetFlow, logy z databází a aplikací + vestavěný normalizační wizard pro nové zdroje logů.
  • Automatická archivace logů na zabezpečené platformě s maximální dostupností a vyhledáváním v řádech sekund + podpora externích úložišť.
  • Real-time analýzy logů s automatickou klasifikací, sdružováním a korelací logů, identifikací anomálií, forenzními analýzami a pokročilými technologiemi pro investigativní vyhledávání dat.
  • Event management s role-based flexibilním filtrováním událostí a filtrováním dle předdefinovaných kritérií.
  • File Integrity Monitoring a kontrola koncových stanic (Data Loss).
  • Automatické generování a priorizace alertů založená na přístupu k důležitým systémům a aplikacím.
  • Komplexní reporty založené na shodě s regulačními požadavky jako SOX, PCI, FISMA, GLBA, HIPAA… s možností pravidelného doručování a virtuálního (unlimited) reportingu.
  • Inteligentní IT kontextualizace umožňující vyhledávání v čase generování logů podle oblastí a diferenčního začlenění dle typu ( uživatel/host).
  • Přehledný (click through) dashboard s možnostmi přizpůsobitelné 3D vizualizace logů pro snazší odhalení anomálií.

 

Přínosy:

  • Posílení bezpečnosti sítě: LogRhythm monitoruje a archivuje kritické bezpečností události napříč celou sítí. S pomocí monitoringu manipulace uživatelů s citlivými daty a aplikacemi navíc zajišťuje prevenci před únikem dat a umožňuje zpětně rychle vypátrat viníka.
  • Úspora pořizovacích nákladů a výdajů na školení personálu: LogRhythm v sobě současně integruje Log & Event Management a File Integrity Monitoring čímž výrazně snižuje pořizovací náklady na dílčí nákup těchto řešení a jejich management. Díky jednoduchému uživatelskému rozhraní a rychlému vyhledávání logů navíc šetří čas a prostředky na školení specializovaného personálu.
  • Zvýšení produktivity práce: Převedením dat do srozumitelné podoby, používáním předdefinovaných reportů, ale i monitorováním frekvence přístupu zaměstnanců k jednotlivým aplikacím.
  • Kompatibilita se systémy McAfee


 Enterprise Firewall (Sidewinder) Web Gateway (Webwasher) Email Gateway (IronMail) Network Security Platform (IPS - IntruShiled) Vulnerability Manager (Foundstone) ePolicy Orchestrator (centrální správa McAfee)

 

Popis funkcí

Log Management

LogRhythm dokáže sbírat logy zařízení jako jsou routery, firewally, switche, databázové servery i z celé řady síťových aplikací a to jak s pomocí agentů, tak i bez nutnosti jejich nasazení. Podporuje i doplnění vlastních specifických log zdrojů. Tyto logy pak dále zpracovává s pomocí celé škály filtračních metod dle jejich důležitosti, oblastí výskytu, jednotlivých aplikací nebo na základě uživatelského nastavení. Nasazením funkce „Tail“ lze sledovat logy v režimu on-line s detailním zaměřením např. pouze na kritické události nebo na logy z konkrétního síťového zařízení. Předností je srozumitelné zpracování, podrobná a dlouhodobá archivace a detailní analýzy logů zahrnující jejich automatickou klasifikaci, sdružování a korelaci.

Security Information a Event Management (SIEM)

LoghRhythm centralizuje analýzy konsolidovaných dat pro zajištění ochrany těchto firemních dat a přípravě k auditu. SIEM LoghRhythm nabízí automatický monitoring  a upozornění na anomálie událostí v reálném čase, flexibilní filtrování událostí založené na rolích spolu s komplexním incident managementem. Events Manager LoghRythm při nalezení kritické události vydá nejen okamžité upozornění, ale i doporučí patřičnou nápravnou akci.

File Integrity Monitoring

Umožňuje sledování souborů nebo záznamů za účelem zjištění, zda nebyly pozměněny či vymazány. V případě narušení politik při práci s předem definovanými daty je okamžitě vysláno upozornění odpovědné osobě.

Monitoring a kontrola koncových stanic

S pomocí funkce Data Loss Defender dokáže řešení LogRhythm monitorovat a zabránit kopírování dat z koncové stanice na přenosné úložné zařízení (USB). Centrálně řízená funkce User Activity monitor doplňuje bezpečnost sítě o další vrstvu, jelikož nabízí nezávislý audit lokálních i vzdálených uživatelů a hostů sítě monitorováním jejich přístupu k jednotlivým serverům a aplikacím.

Alerting

Pravidla pro upozornění lze definovat na základě IP, protokolů, typu událostí, útoků a mnoha jiných kritérií. Oznámování o porušení bezpečnostních politik může probíhat s pomocí emailu či SNMP Trap.

Reportování

Řešení LogRhythm nabízí více než 90 typů předdefinovaných reportů (FISMA, GLBA, HIPAA, PCI, SOX, ISO27001)  s možností vlastní definice formátu. Reporty mohou být vytvořeny i ve stejném formátu, jenž byl použit pro sběr dat s výstupem v podobě textu, PDF, HTML, nebo MS Office. S repoty je v rámci řešení možné dále pracovat – archivovat je, zasílat e-mailem či ukládat na FTP serverech.

 

Modelová řada

LogRhythm je nabízen ve třech modelových řadách předinstalovaných appliancí a se 3 variantami provozu zvanými BLOCK BUILDING (lze libovolně po dobu životnosti licenčně jeden hw upgradovat). EM appliance (Even Management), LM appliance (Log Management) a základní XM appliance (v rámci jedné appliance kombinace EM a LM funkcí). Servis hw appliance je v místě nasazení po dobu 3 let jako standard.

Model LRX1 (1U) LM/EM/XM LRX2 (2U)  LM/EM/XM LRX3 (3U)  LM/EM/XM
Procesor Quad Core Xeon 2x  Quad Core Xeon 2x  Quad Core Xeon
Paměť  / HDD 12 GB / 2x73GB + 4x 146GB 24 GB / 2x146GB + 6x 300GB 32 GB / 2x146GB + up to 2,5TB
OS 64bit WIN Server 2003/2008 R2 64bit WIN Server 2003/2008 R2 64bit WIN Server 2003/2008 R2
Databáze SQL 2005 Enterprise (3C) SQL 2005 Enterprise (5C) SQL 2005 Enterprise (5C)


 

DALŠÍ INFORMACE

 
vyrobila Omega Design