Administrador De Red

Revisión y alternativas de Logpoint SIEM

Revisión de LogPoint SIEM



Punto de registro SIEMbusca eventos maliciosos en un sistema de TI revisando archivos de registro y monitoreando el tráfico de la red. Un SIEM es capaz de combinar métodos de detección e indicadores de muestra de varios puntos de la red para detectar ataques sigilosos y amenazas persistentes avanzadas.

Acerca de SIEM

SIEM significa Gestión de eventos e información de seguridad. Este tipo de sistema combina dos métodos de detección de intrusiones.



Un sistema de detección de intrusiones basado en host examina los archivos de registro en cada punto final y también los que viajan a través de la red. Los dos estándares principales para mensajes de registro son Eventos de Windows para el sistema operativo Windows y registro del sistema , que opera en Linux, macOS y Unix. No todos los mensajes de registro se archivan automáticamente, por lo que la primera tarea de un sistema SIEM es proporcionar un servidor de registro que recopile y almacene mensajes de registro.

La herramienta SIEM necesita buscar registros de diferentes fuentes, por lo que esos mensajes deben reorganizarse en un formato neutral antes de guardarlos. Esta tarea se llama consolidación de registros. La parte de SIEM que trabaja con archivos de registro se llama Gestión de eventos de seguridad (SEM) .



La segunda parte de SIEM es . Esto es Gestión de información de seguridad y funciona en tiempo real, recopilando datos en vivo para buscar patrones de actividad maliciosa. Esto es Detección de intrusiones basada en red (NIDS) y opera principalmente a través de monitoreo de red.

La SIM es inmediata y puede detectar intrusos muy rápidamente. Sin embargo, la mayoría de los piratas informáticos saben cómo evadir los sistemas de detección, como los métodos tradicionales de detección basados ​​en firmas utilizados por los cortafuegos y los sistemas NIDS. Por ejemplo, al examinar los encabezados de los paquetes no se detectan firmas de ataques típicas que se dividen entre paquetes.

Los métodos modernos de los piratas informáticos necesitan combinaciones de datos para detectarlos. Esta tarea sólo se puede realizar de forma retrospectiva. Además de escanear el tráfico que pasa, los monitores SIM generan sus propios registros que se suman a la información disponible para el sistema SEM complementario. Entonces, SIM y SEM cubren cada uno las debilidades del otro.

Acerca de Logpoint

Punto de registroes una asociación, con sus socios principales, todos ellos destacados expertos en ciberseguridad. El negocio tiene su sede en Copenhague, Dinamarca y tiene oficinas en el Reino Unido, Francia, Alemania, Suecia, Finlandia, Estados Unidos y Nepal.

Logpoint SIEM es el único producto de la empresa. Sin embargo, el diseño modular del software significa que la herramienta SIEM es en realidad un conjunto de instalaciones de seguridad.

Funciones de Logpoint SIEM

Como sugiere el nombre de la empresa, Logpoint es muy sólido en la gestión y análisis de mensajes de registro. Sin embargo, el análisis de datos de registros es sólo la mitad de la funcionalidad de un sistema SIEM. El servicio Logpoint SIEM también monitorea y analiza datos en vivo.

Panel de control de LogPoint SIEM: gestión de cuentas de usuario

Gestión de registros

Punto de registro SIEMEstá disponible para empresas de cualquier tamaño, pero resultará especialmente atractivo para organizaciones grandes. El sistema es capaz de procesar grandes volúmenes de mensajes de registro. Su tasa de rendimiento máxima es de un millón de eventos por segundo (EPS) de hasta 25.000 fuentes de eventos diferentes.

El software Logpoint SIEM está un sistema basado en Linux , por lo que está muy bien dispuesto para recopilar mensajes Syslog. Sin embargo, este no es el único tipo de mensaje de registro que el sistema puede recopilar. Entre los otros formatos de mensajes de registro que recopila Logpoint SIEM se destacan los mensajes de registro de eventos de Windows.

Obtener mensajes de registro de diferentes fuentes da como resultado una variedad en el formato de los mensajes. Los sistemas SEM destacan por consolidar información de muchas fuentes y, para ello, Logpoint SIEM necesita reorganizar todos los registros recibidos en un formato neutral. Esto permite que los datos de registro se almacenen de forma centralizada, independientemente del estándar que se haya seguido para su creación.

Protección avanzada contra amenazas

Un Amenaza persistente avanzada (APT) Es una actividad de hackers muy común en la actualidad. Implica que el grupo de piratas informáticos obtenga acceso a un sistema privado y realice ajustes en las configuraciones del dispositivo para facilitar mucho el acceso repetido no detectado. El servicio Logpoint SIEM monitorea la actividad del sistema mediante el seguimiento del tráfico de la red.

Protección avanzada contra amenazas LogPoint SIEM

Al analizar los datos de registro y aplicar las sospechas extraídas de ese análisis a fuentes de actividad específicas, el administrador de la red puede ahorrar mucho tiempo y recursos. Evita desperdiciar esfuerzos en examinar todo el tráfico. Los resultados del análisis del archivo de registro brindan al servicio de monitoreo de tráfico cuentas de usuario y direcciones IP específicas a las que debe prestar atención.

Monitoreo de usuarios

Las cuentas de usuario ofrecen la forma más fácil para que los intrusos puedan eludir un sistema sin ser detectados. Punto de registro SIEM evalúa todas las cuentas existentes para identificar cuentas abandonadas o de uso poco frecuente que serían vehículos ideales para los piratas informáticos. El sistema Logpoint también recopila mensajes de registro de eventos generados por Directorio Activo para detectar intentos fallidos de inicio de sesión y acciones de descifrado de contraseñas por fuerza bruta.

El software Logpoint SIEM incluye software especializado Análisis de comportamiento de usuarios y entidades (UEBA) . Esto establece una base para el comportamiento típico del usuario y el tráfico normal que se puede esperar de cada dispositivo en la red. El proceso UEBA utiliza el aprendizaje automático para establecer una línea de base de actividad normal. Esto es importante porque un conjunto de reglas de detección de anomalías listas para usar no se aplicará a todos los usuarios de todas las empresas del mundo. Cuando comenzaron los SIEM, la aplicación de reglas establecidas generó demasiadas falsas alarmas. UEBA adapta la configuración de alertas para evitar que la actividad legítima se marque como sospechosa.

Inteligencia de amenazas

Logpoint proporciona a la herramienta SIEM información sobre Vectores de ataque tipico en forma de información de inteligencia sobre amenazas. Los analistas de Logpoint investigan constantemente nuevas metodologías de ataque y elaboran una lista de vulnerabilidades que facilitan el acceso a amenazas persistentes avanzadas. Logpoint SIEM también actúa como un escáner de vulnerabilidades e identificará puntos en el sistema monitoreado que deben recalibrarse para evitar que se produzcan tales ataques.

Cumplimiento de estándares de seguridad

Como empresa con sede en la UE, Logpoint es muy sólida en RGPD cumplimiento. La herramienta de seguridad tiene secciones completas en el panel que se centran en el cumplimiento del RGPD e incluye funciones de informes y auditoría del RGPD.

Cumplimiento del RGPD de LogPoint SIEM

La ubicación de los datos es particularmente importante para el RGPD. Esto se debe a que la normativa establece que la información sobre los ciudadanos de la UE no debe enviarse fuera de la UE. Logpoint SIEM puede rastrear todas las conexiones según la ubicación física del corresponsal. Esta información se presenta como datos en vivo y como un gráfico analítico de datos históricos.

Estos registros basados ​​en la ubicación aceleran las auditorías de cumplimiento y los informes del RGPD. Los formatos de informes preescritos que se incluyen con Logpoint SIEM incluyen una serie de diseños necesarios para Cumplimiento del RGPD .

Respuesta al incidente

Las funciones de respuesta a incidentes de Logpoint SIEM se basan en el análisis del tráfico de red y los archivos de registro para detectar posibles intrusiones o amenazas internas. La detección de actividad sospechosa activa alertas al personal de administración de la red, cada una con una explicación de los motivos de la advertencia. Los análisis del sistema en respuesta a nueva inteligencia sobre amenazas también producen recomendaciones de endurecimiento del sistema .

Respuesta a incidentes de LogPoint SIEM

Logpoint SIEM no incluye acciones de mitigación de amenazas de automatización. Esto podría verse como una debilidad en el servicio Logpoint SIEM en comparación con productos SIEM rivales más proactivos. Las empresas podrían preocuparse por permitir que un programa informático controle la actividad bloqueando el tráfico y cerrando cuentas. En ese caso, la estrategia de Logpoint SIEM de recomendaciones de acción en lugar de automatización de acciones sería más atractiva.

Opciones de configuración del punto de registro

El software Logpoint SIEM se ejecuta en Ubuntu Linux. Alternativamente, se puede ejecutar en una máquina virtual, en cuyo caso se puede alojar en cualquier servidor. Logpoint también ofrece Logpoint SIEM como dispositivo con todo el software SIEM precargado.

Implementación del punto de registro

El software no es tan fácil de configurar y, por lo general, uno de los distribuidores de Logpoint ingresa al sitio del cliente para configurar el software. Por un lado, este servicio personalizado es una indicación de que se trata de un producto de alta especificación pero, por otro lado, este procedimiento de instalación podría desanimar a algunos clientes potenciales. A algunos les podría preocupar que cualquier cambio realizado en la infraestructura de TI requiera que el distribuidor de Logpoint regrese y modifique la instalación del software, incurriendo en cargos por llamada.

El proceso de compra, tal como se describe en el sitio web de Logpoint, parece ser un proceso largo y prolongado, que comienza con un taller involucrando al personal clave de TI y consultores de Logpoint. Este enfoque personalizado y basado en consultoría contrasta enormemente con muchos de los principales productos SIEM disponibles en la actualidad.

En el resto de la industria, los competidores de Logpoint se han trasladado a los servicios en la nube. Esos sistemas requieren una suscripción y luego el servicio está disponible de inmediato. Los asistentes en el panel de control de los SIEM SaaS guían al nuevo usuario hacia la descarga de un programa de agente, que luego lleva a cabo un procedimiento de detección automática y se autoinstala en la red.

Las empresas que no cuentan con un equipo de TI interno tendrán dificultades para encontrar el personal clave para enviar al taller de implementación inicial de Logpoint y estarían mejor atendidas por uno de los servicios SIEM administrados que ahora están disponibles.

Panel de control de punto de registro

El entorno de usuario de Logpoint es colorido y atractivo . La pantalla de la consola tiene pestañas para que los usuarios puedan cambiar rápidamente entre datos relacionados con cada módulo de detección. Un ejemplo es la pantalla Gestión de cuentas de usuario, que se muestra a continuación.

LogPoint SIEM: agregar administración de cuentas de usuario

Las funciones analíticas de la consola ofrecen la oportunidad de detectar eventos correlacionados y decidir las respuestas adecuadas. Además de presentar datos de incidentes en forma gráfica, Logpoint incluye formatos de informes preescritos listos para usar. El motor analítico también incluye Funciones de búsqueda y clasificación ad hoc que permiten a los analistas lanzar sus propias investigaciones.

A continuación se muestra un ejemplo de una pantalla de análisis de datos.

LogPoint SIEM: buscar y ordenar

En este ejemplo, el analista le pidió a Logpoint SIEM que trazara datos de varios días para buscar una amenaza persistente avanzada. Los períodos de análisis se pueden ajustar para mostrar eventos durante un período de tiempo ajustable, no solo datos recientes.

Para obtener más información sobre los precios, regístrese para obtener uncotización y una demostración gratuita.

Logpoint SIEM Regístrese para una demostración GRATUITA

Alternativas a Logpoint

El modelo de implementación de Logpoint es muy elegante y todas las reuniones previas a la instalación con consultores probablemente atraerán a los directores de TI de las grandes empresas. Sin embargo, las empresas pequeñas y preocupadas por su presupuesto no tendrán el dinero ni el tiempo para superar todos los obstáculos que parece implicar la compra de este software de seguridad. ¿Por qué no registrarse en línea para obtener una de las otras herramientas SIEM del mercado y hacer que se instale sola?

El punto de registro es muy fuerte en gestión y análisis de registros pero hay rivales más fuertes que tienen mejores capacidades de seguimiento del tráfico. Empresas que quieren implementar una herramienta SIEM mitigación automatizada de amenazas También estaría mejor con alguna de las otras herramientas SIEM del mercado.

Para saber más sobre SIEM y los mejores sistemas que compiten en el mercado, echa un vistazo a nuestro post sobre las mejores herramientas SIEM . En su lugar, puede contratar un equipo de expertos en SIEM mediante suscripción; consulte el servicios SIEM mejor gestionados correo.

Aquí están las diez mejores alternativas a Logpoint SIEM:

  1. Administrador de eventos de seguridad de SolarWinds (PRUEBA GRATUITA) Una herramienta SIEM que incluye respuesta a incidentes en tiempo real y modelos de cumplimiento de estándares preconfigurados. Este software se instala en Windows Server. Inicie una prueba gratuita de 30 días.
  2. Analizador ManageEngine EventLog (PRUEBA GRATUITA) Este sistema es parte de un conjunto de herramientas de gestión de infraestructura que se pueden integrar entre sí. El analizador EventLog proporciona funciones SIM mientrasRegistro360podría agregarse para servicios SEM. Se instala en Windows y Linux. Accede a la prueba gratuita de 30 días.
  3. Monitoreo de seguridad de Datadog Este es un sistema de monitoreo de infraestructura basado en la nube que incluye un módulo de monitoreo de seguridad SIEM.
  4. Gerente de seguridad empresarial de McAfee Una herramienta SIEM que es particularmente sólida en la gestión de Active Directory. Se instala en Windows y macOS.
  5. FortinetFortiSIEM Un completo incluye respuestas de defensa automatizadas. Está basado en la nube con software de agente in situ.
  6. Rapid7 InsightIDR Un servicio de seguridad basado en la nube que incluye software de agente de monitoreo de dispositivos para su instalación. Es fácil de instalar e incluye mitigación automatizada de amenazas.
  7. OSSEC Un IDS gratuito de código abierto con un enfoque particular en el análisis de registros. Se instala en Windows, macOS, Linux y Unix.
  8. Plataforma SIEM LogRhythm NextGen Incluye métodos de IA para análisis de tráfico y registros. Se instala en Windows y Linux.
  9. AT&T Cybersecurity AlienVault Gestión de seguridad unificada Un IDS completo que podría catalogarse como SIEM plus porque incluye una gama completa de metodologías de detección y monitores del sistema. Se ejecuta en Windows y macOS.
^