Revisión y alternativas de Sumo Logic
Quizás te preguntes si Lógica de sumo es una herramienta SIEM, la respuesta corta es sí. Básicamente, Sumo Logic proporciona información de seguridad generada a partir de registros de eventos en múltiples fuentes.
¿Es Sumo Logic un SIEM?
Sumo Logic toma estos datos de registro y puede alertarlo automáticamente sobre eventos específicos o tomar medidas automatizadas para solucionar problemas y detener amenazas antes de que progresen. Además de las alertas y la detección en vivo, Sumo Logic tiene la capacidad de analizar registros de eventos para crear un análisis forense de una intrusión o ataque cibernético. Es esta combinación de gestión de registros y protección en tiempo real lo que convierte a Sumo Logic en una herramienta SIEM con todas las funciones.
¿Cómo funciona la lógica del sumo?
Básicamente, Sumo Logic funciona recopilando datos de registro en todos sus servidores y analiza esos registros para crear información operativa y de seguridad en tiempo real.
Durante la configuración inicial, Sumo Logic requerirá que se instalen pequeños agentes llamados Collectors en cada punto final del que desee recopilar datos. Estos recopiladores están configurados para extraer información de registro relevante de ese servidor a su nube de Sumo Logic para su procesamiento. A medida que los datos no estructurados ingresan al sistema, Sumo Logic se puede buscar de forma automática o manual para detectar intrusiones, identificar amenazas internas o proporcionar un análisis de la causa raíz de problemas complejos.
Tener una plataforma SIEM centralizada le permite analizar incidentes de seguridad desde un solo lugar sin importar qué servidor o aplicación generó el evento. Otros problemas, como fallas de cumplimiento y errores de aplicación, se pueden detectar a través de la plataforma mediante su análisis de registro. El verdadero valor de un producto SIEM como Sumo Logic se vuelve más claro a medida que su negocio y sus redes se vuelven más complejas con el tiempo.
Ahora que sabemos un poco sobre cómo funciona Sumo Logic, profundicemos en cada una de las características que Sumo Logic trae a la mesa.
Primeros pasos con la lógica del sumo
Mencionamos brevemente que Sumo Logic utiliza recopiladores para recopilar datos. Estos puntos finales livianos son relativamente fáciles de implementar y se pueden instalar manualmente o mediante un proceso automatizado, como una política de grupo o un script por lotes. Actualmente, Collectors se puede instalar en Windows, Linux o macOS.
En comparación con otras soluciones SIEM, el proceso de instalación del agente para Sumo Logic es simple y no requiere demasiados pasos complejos. Puede instalar Collector con el instalador de UI o con el instalador de línea de comandos. Si elige el instalador de UI, algunas de las opciones de instalación más avanzadas no estarán disponibles. Tener ambas opciones disponibles permite que las personas menos técnicas comiencen con Sumo Logic sin tener que aprender a programar o usar la línea de comandos.
El siguiente paso es conectar una fuente a su recopilador. Una fuente es donde los recopiladores se conectan para recopilar datos de su sitio. Las fuentes le permiten organizar mejor sus datos y pueden tener hasta 1000 recopiladores asociados a ellas. Las fuentes pueden variar según su entorno. Por ejemplo, existen fuentes para registros de eventos de Windows dedicados, registros de Docker, Syslogs y otras métricas de host.
Puede parecer un poco complejo, pero todo esto se puede hacer directamente en el panel de Sumo Logic Collection a través de un asistente guiado. Puede probar fácilmente para asegurarse de que sus conectores y fuentes funcionen juntos ingresando una consulta para esos datos. Si obtiene un resultado, sabrá que está en funcionamiento.
Buscando dentro de la lógica del sumo
La búsqueda de datos dentro de Sumo Logic es similar a plataformas como Graylog o Splunk. A medida que crea su consulta, la barra de búsqueda predecirá y sugerirá funciones a medida que comience a escribirlas. Una de mis partes favoritas de la búsqueda en Sumo Logic es tener la capacidad de visualizar los datos de búsqueda a medida que los escribe.
Debajo de la barra de búsqueda, puede ver sus datos como una visualización, en forma de gráfico. Debajo de eso, verá las filas y tablas individuales a medida que consulta sus datos y realiza cambios. Si necesita consultar y comparar los mismos conjuntos de datos a lo largo del tiempo, puede guardar fácilmente sus búsquedas. También puede organizar esas consultas de búsqueda en carpetas, ya sea para su uso personal o para compartirlas con un equipo.
Cuadros de mando y paneles
La clave para conceptualizar sus conocimientos recién formados es ser capaz de comprenderlos y visualizarlos como un todo. Sumo Logic utiliza vistas de panel totalmente personalizables para presentar datos relevantes en tiempo real. Cada métrica se puede mostrar mediante una serie de paneles que puede agregar o eliminar a la vista de su panel.
Cambiar la configuración o la salida de un panel existente es más fácil de lo que pensé inicialmente. Encima de cada panel hay un botón que muestra exactamente qué consulta alimenta ese módulo. Al hacer clic en esto, podrá editar esa consulta para transformar completamente la forma en que ese módulo muestra los datos.
Si solo desea cambiar la forma en que se muestran los datos, también puede alternar entre 10 vistas de datos diferentes con unos simples clics. Cualquier panel que cree se puede arrastrar y bloquear en su lugar según sus preferencias. Una vez que tenga la apariencia exacta de cómo desea que se muestre su panel, puede guardarlo o compartirlo con su equipo a través de un enlace URL.
Si no desea perder tiempo creando paneles o paneles, el catálogo de aplicaciones de Sumo Logics tiene cientos de paneles preconfigurados que contienen plantillas de alerta y búsquedas que están listas para realizarse con un solo clic. Al utilizar Sumo Logic, descubrirá que el catálogo de aplicaciones es una de las herramientas más poderosas de la plataforma, especialmente si tiene un equipo más pequeño que aún podría estar aprendiendo cómo aprovechar al máximo el poder del análisis avanzado.
Crear alertas en Sumo Logic
Las alertas se pueden configurar en función de datos de registro o métricas y se basan en una consulta o condición específica que usted defina. Encontrar dónde crear la alerta llevó algún tiempo. En lugar de tener un botón de alerta dedicado, Sumo Logic tiene la opción de guardar la consulta como un tipo de alerta al hacer clic Guardar como . Si realmente desea recibir una alerta, deberá asegurarse de programar la ejecución de esa consulta. Esto se puede hacer después de guardar su consulta. Este proceso es bastante simple, pero podría haberse diseñado para que sea más fácil de encontrar.
Tendrá la opción de establecer el rango de tiempo para la alerta, así como condiciones de alerta específicas que se pueden configurar para ayudar a reducir los volúmenes de alertas repetitivas e innecesarias. Las opciones de notificación van desde correo electrónico, webhook, ServiceNow o ejecución de script personalizado. Tener la opción de ejecutar un script en un conjunto de condiciones le brinda una amplia variedad de opciones de corrección automatizadas. Por último, puede optar por guardar una alerta para indexar en lugar de enviar una notificación. Esta opción registra el evento y guarda la consulta en un índice, donde se puede buscar más adelante con un mayor rendimiento de búsqueda.
La creación de alertas puede ser tan simple o tan compleja como lo permitan sus consultas de búsqueda, y no existen restricciones reales sobre lo que se puede configurar. Sumo Logic puede utilizar operadores numéricos básicos para rastrear problemas, o consultas de valores atípicos un poco más complejas que rastrean la desviación de la media promedio, en lugar de un número específico. Esto ayuda a mantener sus alertas precisas a medida que el tráfico aumenta y disminuye con el tiempo.
En lugar de crear estas alertas desde cero, puede encontrar muchos ejemplos y muestras de las consultas de alertas más comunes en la biblioteca de consultas de Sumo Logics.
Aplicaciones e integraciones
Hablamos de las aplicaciones un poco antes en este artículo, pero entraremos en más detalles sobre lo que puede esperar al integrar aplicaciones en Sumo Logic. La sección de aplicaciones se creó para brindar a los usuarios información instantánea sobre algunas de las plataformas más populares disponibles. Simplemente encuentra la integración que deseas agregar y haz clic Agregar a la biblioteca .
Una vez agregada, ya tendrá docenas de consultas realizadas y mostrando datos. Estas soluciones listas para usar se pueden modificar y cambiar a su gusto para impulsar realmente el proceso de incorporación.
Hay cientos de consultas y paneles preconfigurados para docenas de integraciones de marcas importantes, como Amazon, Google, Microsoft y Cisco. En lo que respecta a SIEM y las integraciones de herramientas de seguridad, Sumo Logic actualmente admite más de 20 plataforma de detección de amenazas orquestaciones.
Para integraciones que no están cubiertas en la biblioteca de aplicaciones, Sumo Logic puede brindarle soporte. También hay una foro comunitario dedicado que puede responder preguntas, sin embargo, puede que no sea tan activo como algunas plataformas de código abierto como Graylog.
Precio de la lógica de sumo
Sumo Logic tiene cinco niveles diferentes de ofertas SIEM según la capacidad de registro, la retención de datos y las capacidades. Para aquellos que solo quieren mojarse los pies, pueden comenzar a usar Sumo Logic completamente gratis bajo el plan Gratuito.
Este plan le permite enviar hasta 500 MB de datos por día y conserva los datos de registro durante una semana. Sin embargo, con el plan gratuito, solo tendrá acceso a aproximadamente una quinta parte de las funciones que incluye el plan Enterprise Operations. En la versión gratuita, aún puede buscar y crear visualizaciones, ver datos históricos y en vivo y utilizar análisis predictivos y detección de valores atípicos.
Los planes pagos están disponibles para una prueba de 30 días y utilizan un sistema de créditos que carga su cuenta según el uso de datos por día. En lugar de intentar cargar su tarjeta después de una prueba, si después de los 30 días no permanece en su plan pago, su cuenta simplemente volverá a ser un plan de prueba.
En el nivel pago más básico, Sumo Logic Essentials costará $2,50 por GB de datos de registro ingeridos y ofrece 365 días de retención de datos. El paquete Essentials contiene muchas de las funciones más populares que ofrece Sumo Logic, pero excluye capacidades como soporte premium, presupuestos de ingesta y acceso a API de búsqueda.
Cuando se tiene en cuenta el nivel de flexibilidad y control que tiene sobre sus precios, Sumo Logic definitivamente se encuentra en el extremo más asequible del espectro cuando se trata de seguridad y administración de registros basados en la nube.
¿Por qué elegir Sumo Logic?
Sumo Logic se creó para hacer que la inteligencia de seguridad sea accesible sin importar cuántos servidores tenga en su red, e hizo un buen trabajo al hacer exactamente eso. Con los planes de precios flexibles de Sumo Logic, su fácil incorporación y una tienda de aplicaciones repleta de funciones, definitivamente es una herramienta a la que querrás darle una oportunidad justa. Si todavía está haciendo su tarea sobre los productos SIEM, asegúrese de consultar nuestra publicación en el mejores herramientas SIEM .
Alternativas a la lógica de sumo
Si está buscando alternativas para Sumo Logic, le proporcionamos una lista corta de herramientas comparables que vale la pena mencionar a continuación.
Administrador de eventos de seguridad de SolarWinds (PRUEBA GRATIS) Una herramienta integral de seguridad de conjunto completo destinada a ayudar a los MSP a gestionar eventos de seguridad complejos sin integraciones ni configuraciones complejas.
- perro de datos Aprovecha los datos históricos y en tiempo real para proporcionar información procesable, corrección automatizada y alertas en su entorno local o en la nube.
- ALCE Una popular herramienta de código abierto dedicada a la gestión de registros gratuita e incorpora herramientas como Elasticsearch, Logstash y Kibana para una funcionalidad ampliada.
- sentry.io Proporciona soluciones de registro centradas principalmente en prestar servicios a equipos de desarrollo de software y a la industria DevOps.
- Splunk Una plataforma SIEM rica en funciones destinada a dar servicio a amplios entornos empresariales. Splunk se destaca por combinar tecnología de punta con interfaces fáciles de usar.