Datadog Cloud SIEM et LogRhythm SIEM

Présentation de Datadog Cloud SIEM

Datadog est entré dans le Application SIEM marché avec le lancement de Datadog Cloud SIEM en 2020. Datadog Cloud SIEM (Security Information and Event Management) est une solution SaaS qui fournit une couverture de sécurité de bout en bout des systèmes dynamiques et distribués. Il fait partie de Datadog Cloud Security Platform et est conçu pour fournir une plate-forme centralisée unique pour la collecte, la surveillance et la gestion des événements liés à la sécurité et des données de journalisation dans toute l'entreprise. Cela permet aux équipes de sécurité d'identifier et de répondre aux modèles de comportement suspects plus efficacement que possible en examinant les données des systèmes individuels.

Avec Datadog Cloud SIEM, vous pouvez analyser les logs opérationnels et de sécurité en temps réel, quel que soit leur volume. Les développeurs, les équipes de sécurité et les équipes opérationnelles peuvent exploiter des données d’observabilité détaillées pour accélérer les enquêtes de sécurité sur une plateforme unique et unifiée.

Les principales fonctionnalités et capacités incluent :

• Observabilité et sécuritéVisualisez toutes vos données de sécurité en un seul endroit et corrélez-les avec les événements d'exécution, les journaux d'applications et de services, et bien plus encore. Les équipes de développement, de sécurité et d’exploitation peuvent accéder aux mêmes données d’observabilité et mener des enquêtes de sécurité sur une plateforme unique et unifiée.
• Tableaux de bord prêts à l'emploiLe tableau de bord Aperçu de la sécurité vous permet d'avoir une vue d'ensemble de votre posture de sécurité. Les tableaux de bord IP Investigation et User Investigation permettent aux utilisateurs de corréler des adresses IP et des utilisateurs spécifiques avec des signaux de sécurité, des événements et des journaux, afin qu'ils puissent rapidement identifier les modèles d'activités malveillantes.
• Règles de détection des menaces prêtes à l'emploiDatadog Cloud SIEM est équipé de règles de détection des menaces prêtes à l'emploi qui ne nécessitent pas de langage de requête pour les techniques d'attaque répandues et les erreurs de configuration mappées au framework MITRE ATT&CK.
• Intégrations de sécurité intégrées soutenues par le fournisseurLes intégrations de sécurité intégrées avec AWS CloudTrail, Okta, G Suite et bien d'autres permettent aux utilisateurs d'ingérer des données de sécurité supplémentaires en quelques minutes, ce qui fournit un contexte plus approfondi et contribue à accélérer les enquêtes.

UN démo personnalisée gratuite et un essai gratuit de 14 jours avec un accès complet à toutes les fonctionnalités sont disponibles sur demande. Après cela, le logiciel est généralement vendu via des plans d'abonnement mensuels basés sur des hôtes, des événements ou des journaux.

Présentation de LogRhythm SIEM

LogRhythm est une société américaine de renseignement de sécurité spécialisée dans le SIEM, la gestion des journaux, l'analyse de sécurité et la surveillance des réseaux et des points de terminaison. Le LogRhythm SIEM est une entreprise mature et leader sur le marché outil SIEM de nouvelle génération qui aide les organisations à se défendre contre les menaces de sécurité modernes. La solution offre aux équipes de sécurité une visibilité approfondie sur les données de sécurité à l'échelle de l'entreprise et des informations exploitables sur les menaces les plus critiques. Il identifie les comportements suspects sur la base de règles de corrélation une fois qu'une menace de sécurité est détectée.

LogRhythm rassemble la gestion des journaux, l'apprentissage automatique, analyse du comportement des utilisateurs et des entités (UEBA), analyse du trafic réseau et du comportement (NTBA) et automatisation et réponse de l'orchestration de la sécurité (SOAR) en une seule plateforme. En 2019, LogRhythm a publié une version cloud de la plateforme SIEM, LogRhythm Cloud, pour fournir un logiciel en tant que service (SaaS). Cela permet à LogRhythm SIEM d'être déployé sur site, dans l'IaaS de votre choix ou via votre fournisseur de services de sécurité gérés. LogRhythm est l'un des leaders du Magic Quadrant de Gartner pour SIEM depuis 2012.

Les principales fonctionnalités et capacités incluent :

• Détecte les menaces plus tôt et plus rapidementIdentifiez les menaces, automatisez et collaborez sur les enquêtes, et corrigez les menaces avec agilité.
• Gagnez en visibilité sur votre environnementÉliminez les angles morts dans l'ensemble de votre entreprise qui manquent aux solutions des autres fournisseurs, des points finaux au cloud.
• Analyses intégréesAnalyse les données sur le réseau, les points finaux, les actifs, les utilisateurs, les risques et les menaces pour découvrir les menaces connues et inconnues.
• Réponse efficaceRecevez des alertes plus significatives avec du contexte pour permettre une prise de décision plus rapide et plus efficace et une réponse automatisée avec une action pour résoudre le problème.
• Capacités SIEM de nouvelle générationCombine la gestion des journaux, l'apprentissage automatique, UEBA, NTBA et SOAR en une seule plateforme.
• Moteur d'intelligence artificielle (IA)AI Engine offre une visibilité en temps réel sur les risques, les menaces et les problèmes opérationnels critiques.
• Intégrations tierces et cloudIntégration prête à l'emploi avec plus de 950 technologies tierces, notamment les API REST et SOAP pour accélérer l'ingestion des données.
• Options de déploiement flexiblesLogRhythm SIEM est disponible pour les environnements sur site et cloud, ou via MSP.
• Capacités de géolocalisationLogRhythm fournit un contexte géographique automatisé autour de tout événement, avec une visualisation du réseau et une cartographie des relations entièrement interactives.

Datadog Cloud SIEM et LogRhythm SIEM : comment ils se comparent

Modèle de déploiement

Comme son nom l'indique, Datadog Cloud SIEM est une application basée sur le cloud pour les environnements cloud natifs ; ce qui signifie qu'il n'y a aucune configuration système requise sur site ni aucun problème d'installation autre que le processus d'inscription habituel à l'aide d'un appareil connecté à Internet avec un navigateur pris en charge. Cependant, vous devrez pour la plupart installer des agents locaux spécifiques à l’appareil ou au service que vous souhaitez surveiller. Ce déploiement le rend idéal pour les organisations qui ne souhaitent pas s’encombrer d’une solution SIEM sur site gourmande en ressources.

D'autre part, LogRhythm offre une option de déploiement flexible. La solution LogRhythm SIEM peut être déployée sur site et dans des environnements cloud, ou via MSP. La version cloud, tout comme Datadog, ne nécessite aucune installation autre que le processus d'inscription habituel à l'aide d'un appareil connecté à Internet avec un navigateur pris en charge. Le modèle de déploiement sur site est idéal pour les organisations qui souhaitent bénéficier d'un contrôle granulaire, mais il a un coût : vous devez également le gérer vous-même. Néanmoins, les options de déploiement flexibles garantissent que vous obtenez la solution la mieux adaptée à votre organisation, quels que soient vos objectifs et vos besoins environnementaux.

Collecte de données et analyses

Datadog Cloud SIEM collecte les journaux de nombreuses sources différentes dans Datadog. Tous les journaux ingérés sont d'abord analysés et normalisés (reformatés) pour des raisons de cohérence, de corrélation et d'analyse faciles. Cela permet de découvrir les activités malveillantes sur le réseau, empêchant ainsi les mauvais acteurs de dissimuler leurs traces. Une fois les journaux collectés, ingérés et traités, ils sont disponibles dans Log Explorer. Log Explorer est l'endroit où vous pouvez rechercher, enrichir et afficher les alertes sur vos journaux. Cela facilite la recherche et le filtrage des données de journaux sur l’ensemble de votre infrastructure à des fins de détection et d’investigation des menaces.

La technologie de collecte de LogRhythm facilite l'agrégation des données de journaux, des événements de sécurité et d'autres données machine. LogRhythm Open Collector collecte et stocke les journaux généralement au format JSON à partir de diverses sources, notamment des sources de journaux cloud, des fichiers plats ou d'autres formats, qui sont ensuite analysés et normalisés pour la corrélation. L'outil analyse ensuite les données pour identifier les signes possibles d'activité malveillante afin que les humains ou les processus automatisés puissent arrêter les attaques en cours ou aider à se remettre d'attaques réussies. Le moteur AI de LogRhythm peut être utilisé pour fournir une analyse et une corrélation automatisées et continues de toutes les activités observées dans l'environnement avec une visibilité en temps réel sur les risques, les menaces et les problèmes opérationnels critiques qui seraient autrement indétectables.

Détection et atténuation des incidents/menaces

Datadog détecte les menaces sur la base de règles et crée un signal de sécurité. Datadog fournit des règles prêtes à l'emploi pour les techniques d'attaque répandues, mappées au framework MITRE ATT&CK. Les règles de détection tirent pleinement parti de la « journalisation sans limites » de Datadog, qui vous permet de personnaliser les journaux que vous souhaitez indexer tout en continuant à tout ingérer, traiter et archiver. Les règles s'appliquent à l'intégralité du flux de journaux ingérés, analysés et enrichis afin que vous puissiez maximiser la couverture de détection sans aucun des problèmes de performances ou de coûts traditionnellement associés à l'indexation de toutes vos données de journaux.

Contrairement à Datadog, LogRhythm SIEM rassemble la gestion des journaux, l'apprentissage automatique, l'analyse du comportement des utilisateurs et des entités (UEBA), l'analyse du trafic et du comportement réseau (NTBA) et l'automatisation et la réponse de l'orchestration de la sécurité (SOAR) dans une seule plateforme. Grâce aux fonctionnalités SOAR activées, les équipes de réponse aux incidents de sécurité peuvent devenir plus efficaces et libérer du temps et des ressources pour des tâches plus exigeantes. De même, l’UEBA apporte de la clarté et du contexte au comportement anormal des utilisateurs en corroborant les risques. LogRhythm est également livré avec un module MITRE ATT&CK intégré qui fournit un contenu prédéfini mappé à ATT&CK pour une détection et une réponse efficaces aux menaces.

Notifications et alertes

L’approche de Datadog en matière d’alertes et de notifications est basée sur l’apprentissage automatique (ML), qu’elle appelle Watchdog. Watchdog utilise des techniques de ML pour identifier les problèmes de votre infrastructure, de l'efficacité de vos applications et de vos services, et signaler les anomalies. Les alertes dans Datadog sont appelées Moniteurs. Les utilisateurs peuvent recevoir des alertes en utilisant Service de téléavertisseur , Slack et e-mail. Celles-ci peuvent être basées sur presque toutes les métriques que Datadog peut capturer. Par conséquent, chaque alerte est spécifique, exploitable et contextuelle, même dans des environnements vastes et temporaires. Cette approche unique des alertes et des notifications permet à Datadog de se démarquer et contribue à minimiser les temps d'arrêt et à prévenir la fatigue liée aux alertes.

Dans LogRhythm, les règles d'alarme surveillent les signes d'activités ou de conditions malveillantes telles que les attaques sur le réseau, les problèmes de conformité, les erreurs système, etc. Par exemple, si les données du journal révèlent que malware a tenté d’infecter le réseau, une règle d’alarme telle que « Alarme en cas de logiciel malveillant » est déclenchée et informe l’équipe de sécurité. La règle d'alarme peut également déclencher des actions de correction SmartResponse. Smart Response est un script automatisé qui répond par une action, telle que des scripts permettant de désactiver un compte Active Directory ou d'arrêter un processus en cours, pour résoudre le problème. Des alertes et des notifications peuvent être envoyées par e-mail, Pièges SNMP , fichiers texte, etc.

Conformité et intégration

Au lieu de générer les rapports prêts à l’emploi habituels auxquels s’attendent la plupart des administrateurs réseau, l’approche de Datadog en matière de reporting vise à rendre les métriques facilement consultables, et elle le fait parfaitement. Cloud SIEM est entièrement intégré à tous les produits de surveillance des applications et des infrastructures de Datadog, ce qui permet aux utilisateurs de passer en toute transparence d'une menace potentielle aux données de surveillance associées pour trier rapidement les alertes de sécurité. Les plus de 500 intégrations de Datadog vous permettent de collecter des métriques, des journaux et des traces de l'ensemble de votre pile ainsi que de vos outils de sécurité, vous offrant ainsi une visibilité de bout en bout sur votre environnement. L'intégration de Datadog avec Slack et PagerDuty vous permet d'effectuer automatiquement une boucle dans les équipes concernées lorsqu'une règle de haute gravité détecte une menace. Vous pouvez également exporter des signaux de sécurité vers des outils de collaboration comme JIRA ou ServiceNow.

LogRhythm fournit un contenu prédéfini spécifiquement mappé aux contrôles individuels de diverses normes réglementaires pour simplifier la conformité. Les modules d'automatisation de la conformité vous aident à détecter les violations de conformité en temps réel afin de minimiser tout problème potentiel. Votre équipe peut automatiser et appliquer les exigences de conformité grâce à une suite complète de rapports de conformité automatisés pour SOX, PCI DSS , FISMA, GLBA, HIPAA , NERC CIP, GPG 13, et plus encore.

La solution LogRhythm est livrée avec plus de 800 rapports prédéfinis ainsi que des centaines de modèles supplémentaires qui peuvent être utilisés pour créer un nombre illimité de rapports personnalisés pour les cas d'utilisation de sécurité, d'opérations et de conformité. Il prend également en charge plus de 950 intégrations tierces et cloud, notamment REPOS et des API SOAP pour accélérer l'ingestion de données. Cela vous permet d’acquérir en toute transparence des données de votre infrastructure, applications et services sur site et cloud dans votre SIEM.

Licences et plans tarifaires

Le modèle de tarification Datadog Cloud SIEM est par Go de journaux analysés, par mois, facturé annuellement ou à la demande. Un journal analysé est un enregistrement textuel de l'activité généré par un système d'exploitation, une application ou d'autres sources analysées pour détecter les menaces de sécurité potentielles. Datadog facture les journaux analysés en fonction du nombre total de gigaoctets ingérés et analysés par le service Datadog Cloud SIEM.

LogRhythm propose une tarification et des licences flexibles avec des sources de journaux et des utilisateurs illimités qui vous permettent de sélectionner la meilleure solution pour les besoins et les exigences de votre organisation. Vous pouvez utiliser votre licence logicielle LogRhythm pour le matériel, le cloud et les machines virtuelles, y compris des options de données perpétuelles, par abonnement et illimitées. L’analyse de sécurité et l’automatisation de la conformité sont toutes deux intégrées à votre plan de support. Les licences sont généralement disponibles sous forme de SaaS, de logiciel ou de service géré. Des modèles d'abonnement ou de licence perpétuelle sont disponibles pour les offres sur site ; tandis que seul un modèle d'abonnement est disponible pour le déploiement SaaS.

Choisir entre Datadog Cloud SIEM et LogRhythm SIEM

Bien que Datadog soit un nouveau venu sur le marché du SIEM, il s’est sans aucun doute distingué au fil des années dans le domaine de l’observabilité. Elle est donc bien placée pour répondre aux besoins de sécurité de ses clients existants et des organisations qui ne disposent pas de personnel informatique dédié pour garder un œil sur l’infrastructure à un niveau granulaire. Les clients Datadog peuvent tirer parti de Datadog Cloud SIEM pour regrouper et mieux analyser les événements au sein de leurs applications cloud natives sans avoir recours à des outils SIEM tiers. Cela offre un avantage en termes de coût, de mise en œuvre et d’intégration. Cependant, le manque de SOAR et UEBA ses capacités le rendent moins efficace pour relever les défis de sécurité modernes.

À l’inverse, LogRhythm SIEM est une solution SIEM mature et primée, gérée par l’une des principales sociétés de renseignement de sécurité au monde : LogRhythm, Inc. L’option de déploiement flexible de LogRhythm donne aux organisations la possibilité de choisir le modèle de déploiement qui leur convient le mieux. La capacité de LogRhythm à rassembler les capacités SOAR, UEBA, NTBA, géolocalisation et SmartResponse basées sur le ML le place dans la classe des SIEM nouvelle génération qui sont mieux placés pour se défendre contre les défis de sécurité modernes.

Datadog et LogRhythm prennent en charge et s'intègrent à des centaines de technologies. Cela les rend plus polyvalents et adaptés à de nombreuses fonctions différentes, fournit un contexte plus approfondi lors des enquêtes et vous permet de ratisser plus large pour détecter d'éventuels problèmes de sécurité. Choisir entre deux duos ne devrait pas se résumer à celui qui est le meilleur, mais plutôt à celui qui répond le mieux à vos besoins professionnels et de sécurité.

Les facteurs clés à considérer comprennent :

• La solution SIEM est-elle capable de répondre aux exigences de sécurité et de conformité de votre organisation ?
• Dans quelle mesure l’outil SIEM fournit-il une prise en charge native pour les sources de journaux pertinentes ?
• La solution SIEM possède-t-elle les capacités des fonctionnalités SIEM de nouvelle génération telles que SOAR et UEBA ?
• Quel est le coût total de possession, le support du fournisseur est-il disponible dans votre région et dans quelle mesure ?