Administrador De Red

Revisión y alternativas de LogRhythm SIEM

Revisión y alternativas de LogRhythm SIEM



LogRitmo es uno de los más innovador Soluciones SIEM con opción de instalarlas localmente o acceder a ellas como un servicio en la nube. El software SIEM es muy complicado y también muy potente. Sin embargo, los diseñadores del paquete han pensado mucho en hacer que el sistema sea fácil de usar al incluir el Centro de implementación , que implementa asistentes para guiar al usuario a través de tareas de investigación de datos.

Todo sobre SIEM

SIEM es una forma de Sistema de detección de intrusiones (IDS) . El acrónimo significa Información de seguridad y gestión de eventos. . El término indica una estrategia combinada compuesta por dos enfoques de investigación de datos.



Gestión de información de seguridad (SIM) es la práctica de buscar en los archivos de registro indicios de actividad maliciosa. Esto es lo que se denomina un Sistema de detección de intrusiones basado en host (HIDS) .

Gestión de eventos de seguridad (SEM) Implica observar el tráfico que pasa en busca de actividad no autorizada. Esto es similar al Inspección profunda de paquetes (DPI) llevado a cabo por firewalls avanzados. SEM es un Sistema de detección de intrusiones basado en red (NIDS) que opera en los datos del encabezado de los paquetes que pasan para extraer información sobre las actividades de los usuarios.



La ventaja del SEM es que es muy rápido. Si se detecta una actividad sospechosa, se puede actuar de inmediato. Sin embargo, esto no es muy eficaz para combatir las actividades de piratas informáticos sigilosos, como Amenazas persistentes avanzadas (APT) . En una APT, un grupo de piratas informáticos obtiene acceso al sistema y puede buscar archivos e incluso utilizar recursos del sistema para sus propios fines sin ser detectado. El pirata informático evade la detección operando a través de cuentas de usuarios normales.

SIM puede identificar acciones no autorizadas realizadas por usuarios legítimos. Esto no sólo detecta las APT sino que también bloquea amenazas internas . Un moderno evento de pérdida de datos Sólo se puede identificar observando una serie de acciones, cada una de las cuales individualmente parece inofensiva, pero cuando se examinan en conjunto indican un ataque. El gran problema con la SIM es que puede llevar tiempo crear una imagen completa de las actividades. Cuando se hace visible un patrón de actividad sospechoso, es probable que los datos de la empresa ya hayan sido robados.

Al combinar SIM y SEM, los sistemas SIEM pueden mejorar la velocidad de identificación de amenazas y al mismo tiempo pueden detectar ataques que evaden la detección mediante las medidas tradicionales de ciberseguridad. SIEM no pretende reemplazar los firewalls y otras defensas fronterizas; su objetivo es identificar y detectar los tipos de ataques que los firewalls no pueden bloquear.

Acerca de LogRhythm

LogRhythm, Inc. inició operaciones en 2003. La empresa tiene su sede en roca, colorado pero también tiene oficinas en todo el mundo. La empresa comenzó específicamente a desarrollar soluciones de seguridad que extraen información de los archivos de registro del sistema. SIEM es un ejemplo principal de un sistema basado en archivos de registro, por lo que el desarrollo de LogRhythm SIEM fue la prioridad de la empresa.

Los fundadores de la empresa, Chris Petersen y Felipe Villella investigó métodos innovadores para la recopilación, el formateo y el procesamiento de datos de registros y posee varias patentes en ese campo. Eso le da a LogRhythm una ventaja competitiva en el mercado SIEM porque cuanto más rápido se puedan procesar los archivos de registro, antes se podrá detectar un evento anómalo.

Descripción general de LogRhythm SIEM

El título completo de LogRhythm SIEM es el Plataforma SIEM LogRhythm NextGen . El servicio se compone de cinco elementos esenciales más dos módulos opcionales. Estos son:

  • NetMon: un monitor de red en vivo que extrae información importante de paquetes para su análisis.
  • SysMon: agente de recopilación de datos distribuidos y monitor de punto final.
  • AnalytiX: un administrador de registros.
  • DetectX: el módulo de búsqueda de amenazas.
  • RespondX: un sistema de respuesta y orquestación de seguridad (SOAR).
  • NetworkXDR: un módulo opcional que proporciona monitoreo de red mejorado.
  • UserXDR: un módulo opcional que es una solución de análisis del comportamiento de usuarios y entidades (UEBA).

Cada uno de estos módulos se explica con más detalle a continuación.

NetMon

NetMon es la principal fuente de datos de tráfico de red en vivo para el motor de análisis SIEM. Utiliza inspección profunda de paquetes (DPI) para leer los metadatos en los encabezados de los paquetes. Esto permite que el servicio registre el tráfico por aplicación, por usuario y por punto final. Esta información está formateada según el flujo inteligente protocolo para el análisis cuando se carga en el motor analítico central. Este sistema reúne perspectivas de la pila de red desde la Capa 2 hasta la Capa 7.

El módulo NetMon no sólo recopila datos para su análisis; también actúa. Puede reconstruir archivos adjuntos de correo electrónico a medida que viajan en una serie de paquetes, detectando contenido malicioso y eliminándolos si hay tiempo o actualizando su estado en su destino para indicar un problema.

NetMon tiene sus propias pantallas de monitoreo de red en el panel de LogRhythm que incluyen alertas de estado y umbrales ajustables . Las pantallas de datos son personalizables y los datos del tráfico de la red también se pueden enviar a otras aplicaciones a través de una API. Los datos de tráfico incluyen el origen y el destino de las conexiones externas, la comunicación identificada con los controladores de botnets y una lista actualizable de direcciones IP prohibidas.

SysMon

SysMon es el principal sistema de recopilación de datos de LogRhythm. Tiene componentes en cada punto final monitoreado y también tiene un controlador central. El Controlador Sysmon recibe datos de cada agente y envía instrucciones para las respuestas.

El Agentes SySMon instálelo en terminales y servidores para recopilar datos de registro y generar estadísticas patentadas de LogRhythm y luego enviarlas al controlador central.

Las tareas incluyen la supervisión de la integridad de los archivos para garantizar que los archivos locales no sean manipulados. El SysMon central realiza la misma tarea con los datos recopilados. Los agentes también monitorean los procesos en cada máquina, realizando controles de seguridad locales que incluyen protección del registro, monitoreo de dispositivos conectados y bloqueo local del acceso de usuarios malintencionados.

Los agentes SysMon también contribuyen a monitoreo del tráfico de red en vivo registrando cada conexión realizada o aceptada por el dispositivo monitoreado. Todas las actividades en los dispositivos se registran en la cuenta de usuario que estaba activa en ese momento.

AnalistaX

AnalytiX es el administrador de registros de LogRhythm. Recibe todos los datos de registro canalizados por SysMon y coloca esos registros en un formato común antes de enviarlos al Panel para mostrarlos y archivarlos.

Al reformatear registros, AnalytiX señala acciones sospechosas y vincula eventos. Los archivos de registro se almacenan en directorios significativos y un componente de motor de búsqueda proporcionado por búsqueda elástica hace que estos registros sin procesar sean accesibles para el acceso directo del usuario y cualquier otra parte interesada, como un auditor de cumplimiento de estándares.

DetectarX

DetectX es el cazador de amenazas de LogRhythm. Toma los archivos estructurados creados por AnalytiX y les aplica las reglas de detección de servicios. Este componente es adaptable a los requisitos de los estándares de seguridad de datos. Las reglas de detección se actualizan constantemente mediante una fuente de inteligencia de amenazas en vivo.

El proceso DetectX identifica actividades maliciosas e inicia flujos de trabajo apropiados para cerrarlas. Esas acciones serán implementadas por ResponderX .

ResponderX

RespondX es el Orquestación, automatización y respuesta de seguridad (SOAR) unidad de LogRhythm. Se vincula a otros servicios del sistema, como firewalls y administradores de derechos de acceso, para recopilar datos adicionales y también implementar flujos de trabajo de respuesta.

La metodología de mitigación de RespondX se llama Automatización de respuesta inteligente . Altera las reglas del firewall para bloquear direcciones IP sospechosas e interactúa con los sistemas de acceso de los usuarios para suspender cuentas.

RedXDR

NetworkXDR es un módulo opcional que mejora las capacidades de detección de NetMon. Es capaz de detectar actividad en varios puntos de la red que indican una ataque lateral . Usa aprendizaje automático establecer una base de referencia para la actividad regular de la red en lugar de imponer un nivel umbral que podría ser demasiado estricto.

UsuarioXDR

UserXDR es un módulo opcional que mejora la supervisión del comportamiento del usuario de SysMon. Esto es un Análisis del comportamiento de usuarios y entidades (UEBA) Servicio que aplica el aprendizaje automático de IA para establecer un patrón de comportamiento normal por parte de cada usuario y grupo de usuarios.

El sistema UserXDR busca cuentas abandonadas, que son puntos débiles de seguridad. También es capaz de gestionar los permisos otorgados a los usuarios que se conectan con sus propios dispositivos.

Panel de control SIEM de LogRhythm

El panel de control de LogRhythm SIEM está basado en web y se puede acceder a él desde cualquiera de los siguientes navegadores web:

  • Google Chrome
  • Microsoft Internet Explorer
  • Borde de Microsoft
  • Mozilla Firefox

La consola del SIEM es con pestañas siendo el Panel un elemento del diseño. Otras pestañas acceden a utilidades como listas de alertas e informes. Dos pestañas más en la parte inferior de la pantalla dan acceso a una lista de tareas y acceso directo a registros de búsquedas.

Panel de control LogRhythm

El fondo del tablero es negro con colores más claros utilizados para texto y gráficos. Cada pantalla en el tablero ofrece una mezcla de gráficos y paneles de texto, como se muestra en el ejemplo de la Analizar tablero a continuación.

Monitoreo de VPN LogRhythm

Cada elemento de una pantalla, como el panel de Análisis, ofrece acceso a una pantalla de detalles. Los elementos de un panel de tabla de clasificación son enlaces activos a pantallas de detalles. Todas las pantallas del panel de Análisis ofrecen filtros de datos por lo que los datos visualizados se pueden aislar en un dispositivo o usuario en particular.

Opciones de configuración de LogRhythm SIEM

El software LogRhythm SIEM se ejecuta en Servidor Windows 2012 y después. LogRhythm también puede suministrar todo el software para la plataforma LogRhythm NextGen SIEM precargado en un aparato . El sistema también está disponible como un servicio basado en la nube , que incluye potencia de procesamiento y espacio de almacenamiento.

Informes de cumplimiento de LogRhythm SIEM

El sistema LogRhythm se puede adaptar para centrarse en el cumplimiento de estándares de seguridad de datos específicos. Estos requisitos de cumplimiento no reemplazan los procedimientos estándar de LogRhythm SIEM: cualquier administrador aún tiene acceso a todas las pantallas y servicios estándar. Las adaptaciones de cumplimiento vienen en forma de módulos adicionales, que se denominan módulos de automatización de cumplimiento .

Los módulos están disponibles para los siguientes estándares:

  • 201 CMR 17.00
  • Protección básica informática BSI
  • Controles de seguridad críticos del CIS
  • DoDi 8500.2
  • FISMA
  • RGPD
  • GLBA
  • GPG 13
  • HIPAA, ALTA TECNOLOGÍA Y MU
  • ISO 27001
  • MÁS TRMG
  • AHORA 08-09 Rev 6
  • CIP NERC
  • NIST 800-53
  • Marco de ciberseguridad del NIST
  • Guía regulatoria de la NRC 57.1
  • PCI DSS
  • SOX
  • EAU-NESA

Además de proporcionar ajustes a los controles de monitoreo de seguridad para cumplir con el estándar seleccionado, un módulo de automatización de cumplimiento también ajusta los sistemas de auditoría para que se ajusten a los requisitos de los estándares. El módulo incluye una biblioteca de formatos de informes necesarios para generar pruebas de cumplimiento. LogRhythm distribuye actualizaciones de estos módulos en caso de que cambie alguno de los estándares.

Alternativas a LogRhythm SIEM

El LogRhythm SIEM es difícil de superar. El sistema es completo e incluye mecanismos de respuesta automatizados, que pueden suponer un gran ahorro de tiempo. Sin embargo, LogRhythm no es el único SIEM disponible en el mercado y cualquiera que compre un nuevo software de seguridad probablemente querrá evaluar varias alternativas.

Para saber más sobre SIEM y los mejores sistemas que compiten en el mercado, echa un vistazo al Las mejores herramientas SIEM . Si no tiene tiempo para leer esa guía, aquí está nuestra lista de las diez mejores alternativas a LogRhythm SIEM.

  1. Administrador de eventos de seguridad de SolarWinds (PRUEBA GRATUITA) Una herramienta que proporciona gestión de registros para el análisis de datos de seguridad. No incluye monitoreo de red, pero podría mejorarse con una fuente de terceros. Este software se instala en Windows Server. Comience la prueba gratuita de 30 días.
  2. Analizador ManageEngine EventLog (PRUEBA GRATUITA) Un sistema de análisis de seguridad basado en registros que proporciona la parte SIM de SIEM. Esto podría combinarse con OpManager para proporcionar datos de red en vivo y crear un SIEM completo. Se instala en Windows y Linux. Accede a la prueba gratuita de 30 días.
  3. Monitoreo de seguridad de Datadog Un servicio basado en la nube que requiere la instalación de un software de agente en el sitio. Este sistema de seguridad se puede combinar con un sistema de monitoreo de red completo.
  4. Gerente de seguridad empresarial de McAfee Un SIEM bien planificado que incluye gestión de registros y monitoreo del tráfico en vivo. Este sistema de seguridad se ve reforzado por una fuente de inteligencia sobre amenazas de alta calidad. Se instala en Windows y macOS.
  5. FortinetFortiSIEM Un sistema SIEM basado en la nube que implementa software de agente en dispositivos monitoreados para brindar continuidad durante el tiempo de inactividad de la red. Incluye una variedad de estrategias de detección, como UEBA, e integra respuestas de defensa automatizadas.
  6. Rapid7 InsightIDR Un impresionante servicio de seguridad basado en la nube que garantiza la continuidad del servicio a través de módulos de agentes en el sitio. Incluye UEBA y respuesta automatizada a amenazas.
  7. OSSEC Un sistema gratuito de detección de intrusiones basado en host de código abierto que proporciona funciones SIM. Aceptará datos de la red en vivo como entrada adicional, pero deben ser proporcionados por una herramienta de terceros. Se instala en Windows, macOS, Linux y Unix.
  8. QRadar de IBM Una plataforma de inteligencia de seguridad que incluye un módulo SIEM. Los elementos del SIEM incluyen escaneo de vulnerabilidades, información de inteligencia sobre amenazas, análisis de tráfico en vivo y funciones de gestión de registros. Se ejecuta en Windows Server.
  9. AT&T Cybersecurity AlienVault Gestión de seguridad unificada Un sistema SIEM bien considerado que cuenta con el respaldo financiero de una multinacional muy grande. Se ejecuta en Windows y macOS.
^