Administrateur Réseau

Datadog Cloud SIEM et LogPoint SIEM

Datadog Cloud SIEM et LogPoint SIEM



Présentation de Datadog Cloud SIEM

Chien de donnéesest entré dans le Application SIEM marché avec le lancement de Datadog Cloud SIEM en 2020.SIEM Cloud Datadog(Security Information and Event Management) est une solution SaaS qui fournit une couverture de sécurité de bout en bout des systèmes dynamiques et distribués. Il fait partie de Datadog Cloud Security Platform et est conçu pour fournir une plate-forme centralisée unique pour la collecte, la surveillance et la gestion des événements liés à la sécurité et des données de journalisation dans toute l'entreprise. Cela permet aux équipes de sécurité d’identifier et de répondre aux comportements suspects plus efficacement qu’il ne serait possible de le faire en examinant les données des systèmes individuels.

Tableau de bord Datadog Cloud SIEM
Graphique 1.0 | Tableau de bord Datadog Cloud SIEM

Avec SIEM Cloud Datadog , vous pouvez analyser les logs opérationnels et de sécurité en temps réel, quel que soit leur volume. Les développeurs, les équipes de sécurité et les équipes opérationnelles peuvent exploiter des données d’observabilité détaillées pour accélérer les enquêtes de sécurité sur une plateforme unique et unifiée.



Les principales fonctionnalités et capacités incluent :

  • Observabilité et sécuritéVisualisez toutes vos données de sécurité en un seul endroit et corrélez-les avec les événements d'exécution, les journaux d'applications et de services, et bien plus encore. Les équipes de développement, de sécurité et d’exploitation peuvent accéder aux mêmes données d’observabilité et mener des enquêtes de sécurité sur une plateforme unique et unifiée.
  • Tableaux de bord prêts à l'emploiLe tableau de bord Aperçu de la sécurité vous permet d'avoir une vue d'ensemble de votre posture de sécurité. Les tableaux de bord IP Investigation et User Investigation permettent aux utilisateurs de corréler des adresses IP et des utilisateurs spécifiques avec des signaux de sécurité, des événements et des journaux, afin qu'ils puissent rapidement identifier les modèles d'activités malveillantes.
  • Règles de détection des menaces prêtes à l'emploiDatadog Cloud SIEM est équipé de règles de détection des menaces prêtes à l'emploi qui ne nécessitent pas de langage de requête pour les techniques d'attaque répandues et les erreurs de configuration mappées au framework MITRE ATT&CK.
  • Intégrations de sécurité intégrées soutenues par le fournisseurLes intégrations de sécurité intégrées avec AWS CloudTrail, Okta, G Suite et bien d'autres permettent aux utilisateurs d'ingérer des données de sécurité supplémentaires en quelques minutes, ce qui fournit un contexte plus approfondi et contribue à accélérer les enquêtes.

UN démo personnalisée gratuite et un essai gratuit de 14 jours avec un accès complet à toutes les fonctionnalités sont disponibles sur demande. Après cela, le logiciel est généralement vendu via des plans d'abonnement mensuels basés sur des hôtes, des événements ou des journaux.



Présentation de Logpoint SIEM

Tableau de bord SIEM Logpoint
Graphique 2.0 | Tableau de bord SIEM Logpoint

Point de connexion est un fournisseur de solutions de cybersécurité basé au Danemark qui développe du SIEM et d'autres produits de sécurité. Logpoint SIEM collecte, stocke et analyse les données de journaux de l'ensemble de l'infrastructure informatique pour détecter les activités suspectes et répondre aux menaces. Cependant, la conception modulaire de la solution signifie que l'outil SIEM constitue un ensemble de fonctionnalités de sécurité, notamment la gestion automatisée de la conformité, la surveillance des performances opérationnelles et la gestion des journaux. Comme son nom l'indique, Logpoint démontre son expertise en matière d'agrégation, de gestion et d'analyse de journaux.

Logpoint SIEM est disponible sur site et en SaaS, dans le cloud. Le SIEM convergé Logpoint est une plate-forme unifiée qui fournit des fonctionnalités SIEM+SOAR, UEBA et BCAS sous forme de service directement aux entreprises et aux MSSP, le tout à partir d'un seul panneau de verre. Il s'adresse aux entreprises de toutes tailles, mais il sera particulièrement attrayant pour les grandes organisations. L'architecture du système Logpoint se décompose en :

  • Collecteurs de points de journalisationLes collecteurs sont responsables de l'ingestion, de la normalisation et de l'enrichissement des données de journaux provenant de sources de journaux disparates dans la plateforme Logpoint.
  • Backend de point de connexionLe Backend est le composant de stockage de la solution Logpoint basée sur NoSQL qui stocke les données dans un fichier plat, permettant des recherches qui prennent quelques secondes.
  • Recherche de points de journalisationhead est le composant analytique dans lequel les clients développent le contenu personnalisé qui extrait la valeur de ces données de journal brutes et normalisées.

Le cloud Logpoint fournit une plate-forme centralisée unique pour exploiter, surveiller et gérer les données liées à la sécurité à la vitesse du cloud et à l'échelle de toute l'entreprise. Étant donné que Logpoint SIEM corrèle les données provenant d'une grande variété de sources de données événementielles et contextuelles, il peut permettre aux équipes de sécurité de détecter et de répondre plus efficacement aux modèles de comportement suspects.

Les principales fonctionnalités et capacités incluent :

  • Améliorer la détection et la réponse aux menacesLogpoint aide à visualiser les données de renseignement sur les menaces en temps réel et les met automatiquement en contexte pour permettre des efforts de réponse rapides.
  • Améliorer la posture de sécurité globaleAssure la conformité aux principaux domaines réglementaires tels que PCI, SOX, HIPAA, GDPR et autres, ce qui facilite la présentation de preuves de conformité.
  • Réduire le temps de détection et de réponseLogpoint aide les équipes de sécurité à être plus efficaces en automatisant les tâches et en fournissant des flux de travail structurés.
  • Rationaliser les enquêtes, réponse automatiséeLa solution SIEM-SOAR unifiée de Logpoint offre aux analystes des playbooks intégrés de détection, d'investigation, d'automatisation, d'orchestration et de réponse pour augmenter la productivité du SOC.
  • Playbooks SIEM 75+ convergés prêts à l'emploiautomatisez et accélérez les processus d’enquête et de réponse.
  • Découvrez un comportement suspectLes fonctionnalités de LogPoint UEBA enrichissent les données avec des informations sur le comportement des utilisateurs et des actifs, les menaces et les vulnérabilités, et détectent les incidents de sécurité que d'autres solutions laissent inaperçus.

Le produit est livré dans une appliance virtuelle, une appliance physique ou sous forme de logiciel ou de SIEM convergé fourni dans le cloud, permettant à l'organisation une flexibilité totale dans les déploiements. Une démo en ligne gratuite est disponible sur demande.

Datadog Cloud SIEM et Logpoint SIEM : comment ils se comparent

Modèle de déploiement

Comme son nom l'indique, Datadog Cloud SIEM est une application basée sur le cloud pour les environnements cloud natifs ; ce qui signifie qu'il n'y a aucune configuration système requise sur site ni aucun problème d'installation autre que le processus d'inscription habituel à l'aide d'un appareil connecté à Internet avec un navigateur pris en charge. Cependant, vous devrez pour la plupart installer des agents locaux spécifiques à l’appareil ou au service que vous souhaitez surveiller. Ce déploiement le rend idéal pour les organisations qui ne veulent pas s'encombrer d'une solution SIEM sur site gourmande en ressources.

D'autre part, Logpoint SIEM propose des versions SaaS et auto-hébergées (sur site). La version SaaS, tout comme Datadog, ne nécessite aucune installation autre que le processus d'inscription habituel à l'aide d'un appareil connecté à Internet avec un navigateur pris en charge. Cependant, pour activer la communication entre vos appareils Cloud Connector et le service cloud, vous devrez installer Logpoint Cloud Connector sur votre appareil sur site. Le modèle de déploiement auto-hébergé de Logpoint SIEM est idéal pour les organisations qui souhaitent disposer d'un contrôle granulaire, mais cela a un coût : vous devez également le gérer vous-même.

Collecte de données et analyses

Datadog Cloud SIEM collecte les journaux de nombreuses sources différentes dans Datadog. Tous les journaux ingérés sont d'abord analysés et normalisés (reformatés) pour des raisons de cohérence, de corrélation et d'analyse faciles. Cela permet de découvrir les activités malveillantes sur le réseau, empêchant ainsi les mauvais acteurs de dissimuler leurs traces. Une fois les journaux collectés, ingérés et traités, ils sont disponibles dans Log Explorer. Log Explorer est l'endroit où vous pouvez rechercher, enrichir et afficher les alertes sur vos journaux. Cela facilite la recherche et le filtrage des données de journaux sur l’ensemble de votre infrastructure à des fins de détection et d’investigation des menaces.

De même, les collecteurs Logpoint SIEM sont responsables de l'ingestion, de la normalisation et de l'enrichissement des données de journaux provenant de sources de journaux disparates dans la plateforme Logpoint pour vos cas d'utilisation. Tous les journaux sont centralisés sur une plate-forme unique appelée Logpoint Backend pour rationaliser l'analyse, la recherche et les enquêtes. La taxonomie unique de Logpoint harmonise les données provenant des applications cloud, de l'infrastructure de base, des produits de sécurité et des applications propriétaires, entre autres sources. En tirant parti de cette taxonomie, les analyses sont cohérentes dans toutes les sources de données et tous les cas d'utilisation. Logpoint fournit une interface utilisateur attrayante où vous pouvez accéder à un aperçu structuré des événements critiques et des incidents de sécurité en temps réel.

Détection et atténuation des incidents/menaces

Datadog détecte les menaces sur la base de règles et crée un signal de sécurité. Datadog fournit des règles prêtes à l'emploi pour les techniques d'attaque répandues, mappées au framework MITRE ATT&CK. Les règles de détection tirent pleinement parti de la « journalisation sans limites » de Datadog, qui vous permet de personnaliser les journaux que vous souhaitez indexer tout en continuant à tout ingérer, traiter et archiver. Les règles s'appliquent à l'intégralité du flux de journaux ingérés, analysés et enrichis afin que vous puissiez maximiser la couverture de détection sans aucun des problèmes de performances ou de coûts traditionnellement associés à l'indexation de toutes vos données de journaux.

Capacités SIEM convergées de Logpoint
Graphique 3.0 | Capacités SIEM convergées de Logpoint | Crédit d'image : Point de connexion

D'autre part, la plate-forme SIEM convergée basée sur le cloud Logpoint fournit des services SIEM-SOAR-UEBA basés sur l'IA directement aux entreprises et aux MSSP. Les fonctionnalités SOAR (Security Orchestration Automation and Response) et UEBA (User Entity Behaviour Analytics) permettent aux organisations de collecter des données sur les menaces de sécurité provenant de plusieurs sources et de répondre aux événements de sécurité sans assistance humaine. En automatisant les actions de routine. L'UEBA identifie les modèles suspects dans le comportement des utilisateurs.

SOAR et UEBA aident les équipes de sécurité à devenir plus efficaces et leur libèrent du temps pour des tâches plus exigeantes. Les fonctionnalités de sécurité des applications critiques pour l'entreprise (BCAS) de Logpoint vous permettent également de détecter et de répondre aux menaces dans votre environnement SAP. Les détections sont alignées sur MITRE ATT&CK et partagées ouvertement pour examen et activation. Cela vous permet d'obtenir un aperçu des entités les plus à risque grâce à des renseignements sur les menaces et à des analyses de sécurité.

Notifications et alertes

L’approche de Datadog en matière d’alertes et de notifications est basée sur l’apprentissage automatique (ML), qu’elle appelle Watchdog. Watchdog utilise des techniques de ML pour identifier les problèmes de votre infrastructure, de l'efficacité de vos applications et de vos services, et signaler les anomalies. Les alertes dans Datadog sont appelées Moniteurs. Les utilisateurs peuvent recevoir des alertes en utilisant Service de téléavertisseur , Slack et e-mail. Celles-ci peuvent être basées sur presque toutes les métriques que Datadog peut capturer. Par conséquent, chaque alerte est spécifique, exploitable et contextuelle, même dans des environnements vastes et temporaires. Cette approche unique des alertes et des notifications permet à Datadog de se démarquer et contribue à minimiser les temps d'arrêt et à prévenir la fatigue liée aux alertes.

Les alertes dans Logpoint sont des avertissements générés pour avertir les utilisateurs lorsqu'un événement important se produit. Ils déclenchent des incidents qui vous permettent d'exécuter les actions appropriées. Toute requête de recherche valide peut déclencher une alerte pour générer des incidents. Vous pouvez créer une règle d'alerte et sélectionner le support pour vous avertir de l'incident. Si vous créez une règle d'alerte pour détecter les pannes du système, une alerte est déclenchée chaque fois que les résultats de la recherche correspondent aux critères d'alerte. Logpoint crée ensuite l'incident correspondant en fonction de la règle d'alerte. Logpoint vous offre la flexibilité de concevoir un mécanisme d'alerte en fonction de vos besoins. Logpoint peut avertir les utilisateurs par e-mail, SSH, SNMP, HTTP ou Syslog. Logpoint vous permet de rechercher des événements tels qu'une panne du système, une mise hors tension, des câbles débranchés, une utilisation élevée du disque, une utilisation élevée du processeur et des analyses médico-légales en créant des incidents pour chacun d'eux.

Reporting et intégration

Au lieu de générer les rapports prêts à l’emploi habituels auxquels s’attendent la plupart des administrateurs réseau, l’approche de Datadog en matière de reporting vise à rendre les métriques facilement consultables, et elle le fait parfaitement. Cloud SIEM est entièrement intégré à tous les produits de surveillance des applications et des infrastructures de Datadog, ce qui permet aux utilisateurs de passer en toute transparence d'une menace potentielle aux données de surveillance associées pour trier rapidement les alertes de sécurité. Les plus de 500 intégrations de Datadog vous permettent de collecter des métriques, des journaux et des traces de l'ensemble de votre pile ainsi que de vos outils de sécurité, vous offrant ainsi une visibilité de bout en bout sur votre environnement. L'intégration de Datadog avec Slack et PagerDuty vous permet d'effectuer automatiquement une boucle dans les équipes concernées lorsqu'une règle de haute gravité détecte une menace. Vous pouvez également exporter des signaux de sécurité vers des outils de collaboration comme JIRA ou ServiceNow.

Les rapports Logpoint SIEM sont utilisés dans différents segments d'une entreprise pour analyser, obtenir des informations et prendre des décisions. Que vos données se trouvent dans un seul cloud, sur plusieurs cloud ou sur site, Logpoint vous offre la flexibilité d'utiliser une variété de modèles de reporting intégrés qui vous permettent de répondre aux exigences de conformité PCI, SOX, ISO2700X, HIPAA et plus. Ces modèles de reporting peuvent être modifiés pour répondre aux besoins de reporting. De nouveaux rapports peuvent également être créés à partir de zéro à l'aide de l'assistant de rapport intuitif.

Les intégrations personnalisées et prêtes à l'emploi de Logpoint vous permettent de disposer d'une solution SIEM qui correspond aux besoins de votre organisation. Il prend en charge plusieurs sources cloud telles que Salesforce, Office365, Azure et Amazon Web Services (AWS). Il prend également en charge l'intégration avec plus de 400 sources de journaux. Cela vous permet d’acquérir en toute transparence des données de votre infrastructure, applications et services sur site et cloud vers votre plateforme SIEM.

Licences et plans tarifaires

Le modèle de tarification Datadog Cloud SIEM est par Go de journaux analysés, par mois, facturé annuellement ou à la demande. Un journal analysé est un enregistrement textuel de l'activité généré par un système d'exploitation, une application ou d'autres sources analysées pour détecter les menaces de sécurité potentielles. Datadog facture les journaux analysés en fonction du nombre total de gigaoctets ingérés et analysés par le service Datadog Cloud SIEM.

Contrairement à Datadog, le modèle de licence Logpoint est basé sur le nombre de sources de journaux consommées, et non sur le volume de données ou les événements par seconde. Que vous utilisiez Logpoint Converged SIEM Cloud ou que vous déployiez sur site, le modèle de tarification de base reste le même quel que soit le volume de données ou le cas d'utilisation. Cela vous permet de concevoir et de déployer un environnement multi-serveur, quelle que soit la taille de l'archive, la quantité de données de journal ou le nombre d'utilisateurs, sans affecter le coût. Déployez simplement ce dont vous avez besoin et adaptez-vous à mesure que votre vision évolue.

Choisir entre Datadog Cloud SIEM et Logpoint SIEM

Datadog et Logpoint se sont sans aucun doute distingués au fil des années dans les domaines de l'observabilité, de la journalisation et de la sécurité. Le choix entre les deux ne doit pas porter sur celui qui est le meilleur, mais sur celui qui répond le mieux aux besoins de votre entreprise.

Vous devez prendre en compte divers facteurs tels que :

  • La solution SIEM est-elle capable de répondre aux exigences de sécurité et de conformité de votre organisation ?
  • Quel est le niveau de support natif du Outil SIEM fournir des sources de journaux pertinentes ?
  • La solution SIEM possède-t-elle les capacités des fonctionnalités SIEM de nouvelle génération telles que SOAR et UEBA ?
  • Quel est le coût total de possession, le support du fournisseur est-il disponible dans votre région et dans quelle mesure ?

La capacité de Datadog à prendre en charge et à intégrer plus de 500 technologies le rend plus polyvalent et adapté à de nombreuses fonctions différentes, fournit un contexte plus approfondi lors des enquêtes et vous permet de ratisser plus large pour détecter d'éventuels problèmes de sécurité. Cependant, le manque de SOAR et UEBA ses capacités le rendent moins efficace pour relever les défis de sécurité modernes. Néanmoins, Datadog Cloud SIEM est un excellent outil pour les clients Datadog existants et les organisations qui ne disposent pas de personnel informatique dédié pour garder un œil sur l'infrastructure à un niveau granulaire.

La plateforme cloud SIEM convergée Logpoint ou l'option de déploiement auto-hébergée offrent aux organisations la flexibilité de choisir le modèle de déploiement qui leur convient le mieux. L’option auto-hébergée est idéale pour les organisations qui souhaitent avoir un contrôle total, mais sa gestion nécessitera un investissement dans des ressources humaines qualifiées. Les capacités combinées de Logpoint SOAR et UEBA le placent dans une meilleure position pour collecter des données à partir de plusieurs sources de journaux, identifier les menaces cachées et fournir des réponses automatisées sans intervention humaine. Cela crée une défense plus efficace contre les défis de sécurité modernes.

^