Examen et alternatives Logpoint SIEM
Point de connexion SIEMrecherche des événements malveillants sur un système informatique en parcourant les fichiers journaux et en surveillant le trafic réseau. Un SIEM est capable de combiner des méthodes de détection et des échantillons d’indicateurs provenant de plusieurs points du réseau afin de repérer les attaques furtives et les menaces persistantes avancées.
À propos de SIEM
SIEM signifie Gestion des informations de sécurité et des événements. Ce type de système combine deux méthodes de détection d'intrusion.
Un système de détection d'intrusion basé sur l'hôte examine les fichiers journaux sur chaque point final ainsi que ceux circulant sur le réseau. Les deux principales normes pour les messages de journal sont Événements Windows pour le système d'exploitation Windows et Journal système , qui fonctionne sous Linux, macOS et Unix. Tous les messages de journal ne sont pas automatiquement classés. La première tâche d'un système SIEM est donc de fournir un serveur de journalisation qui collecte et stocke les messages de journal.
L'outil SIEM doit rechercher dans les journaux provenant de différentes sources, ces messages doivent donc être réorganisés dans un format neutre avant d'être enregistrés. Cette tâche est appelée consolidation des journaux. La partie du SIEM qui travaille avec les fichiers journaux s'appelle Gestion des événements de sécurité (SEM) .
La deuxième partie du SIEM est Oui . C'est Gestion des informations de sécurité et il fonctionne en temps réel, collectant des données en direct pour rechercher des modèles d'activités malveillantes. C'est détection d'intrusion basée sur le réseau (NIDS) et il fonctionne principalement grâce à la surveillance du réseau.
SIM est immédiat et peut détecter les intrus très rapidement. Cependant, la plupart des pirates savent comment échapper aux systèmes de détection tels que les méthodes de détection traditionnelles basées sur les signatures utilisées par les pare-feu et les systèmes NIDS. Par exemple, l’examen des en-têtes de paquets ne permet pas de détecter les signatures d’attaque typiques réparties entre les paquets.
Les méthodes de piratage modernes nécessitent des combinaisons de données pour être repérées. Cette tâche ne peut être effectuée que rétrospectivement. En plus d'analyser le trafic passant, les moniteurs SIM génèrent leurs propres journaux qui s'ajoutent aux informations disponibles pour le système SEM associé. Ainsi, SIM et SEM couvrent chacun la faiblesse de l’autre.
À propos de Logpoint
Point de connexionest un partenariat composé de partenaires seniors qui sont tous d'éminents experts en cybersécurité. L'entreprise a son siège à Copenhague, Danemark et possède des bureaux au Royaume-Uni, en France, en Allemagne, en Suède, en Finlande, aux États-Unis et au Népal.
Logpoint SIEM est le seul et unique produit de l’entreprise. Cependant, la conception modulaire du logiciel signifie que l'outil SIEM est en réalité un ensemble d'installations de sécurité.
Fonctionnalités SIEM de Logpoint
Comme le nom de l’entreprise l’indique, Logpoint est très performant en matière de gestion et d’analyse des messages de journaux. Cependant, l’analyse des données de journaux ne représente que la moitié des fonctionnalités d’un système SIEM. Le service Logpoint SIEM surveille et analyse également les données en direct.
Gestion des journaux
Point de connexion SIEMest disponible pour les entreprises de toute taille, mais il sera particulièrement attrayant pour les grandes organisations. Le système est capable de traiter de grands volumes de messages de journal. Son débit maximal est d'un million d'événements par seconde (EPS) provenant d'un maximum de 25 000 sources d'événements différentes.
Le logiciel Logpoint SIEM est un système basé sur Linux , il est donc très bien disposé à collecter les messages Syslog. Cependant, ce n'est pas le seul type de message de journal que le système peut collecter. Parmi les autres formats de messages de journal collectés par Logpoint SIEM figurent les messages du journal des événements Windows.
L'approvisionnement en messages de journal provenant de différentes sources entraîne une variété de formats de messages. Les systèmes SEM excellent dans la consolidation des informations provenant de nombreuses sources et pour ce faire, Logpoint SIEM doit réorganiser tous les enregistrements de journaux reçus dans un format neutre. Cela permet de stocker les données des journaux de manière centralisée, quelle que soit la norme suivie pour leur création.
Protection avancée contre les menaces
Un Menace persistante avancée (APT) est une activité de hacker très courante aujourd’hui. Cela implique que le groupe de pirates informatiques accède à un système privé et apporte des ajustements aux configurations des appareils pour faciliter grandement les accès répétés non détectés. Le service Logpoint SIEM surveille l'activité du système en suivant le trafic réseau.
En analysant les données des journaux et en appliquant les soupçons issus de cette analyse à des sources d'activité spécifiques, le gestionnaire de réseau peut économiser beaucoup de temps et de ressources. Cela évite de gaspiller des efforts pour examiner tout le trafic. Les résultats de l’analyse des fichiers journaux donnent au service de surveillance du trafic des comptes d’utilisateurs et des adresses IP spécifiques à surveiller.
Surveillance des utilisateurs
Les comptes d'utilisateurs constituent le moyen le plus simple pour les intrus de contourner un système sans être détectés. Point de connexion SIEM évalue tous les comptes existants pour identifier les comptes abandonnés ou rarement utilisés qui seraient des véhicules idéaux pour les pirates. Le système Logpoint collecte également les messages du journal des événements générés par Active Directory pour détecter les tentatives de connexion infructueuses et les actions de craquage de mot de passe par force brute.
Le logiciel Logpoint SIEM comprend des Analyse du comportement des utilisateurs et des entités (UEBA) . Cela établit une base de référence pour le comportement typique de l'utilisateur et le trafic normal que l'on peut attendre de chaque appareil du réseau. Le processus UEBA utilise l’apprentissage automatique pour établir une base de référence d’activité normale. Ceci est important car un ensemble de règles de détection d’anomalies prêtes à l’emploi ne s’appliquera pas à tous les utilisateurs de toutes les entreprises du monde. Au début des SIEM, l’application de règles définies créait trop de fausses alarmes. L'UEBA adapte les paramètres d'alerte pour empêcher qu'une activité légitime ne soit signalée comme suspecte.
Renseignements sur les menaces
Logpoint fournit à l'outil SIEM des informations sur vecteurs d'attaque typiques sous la forme d’un flux de renseignements sur les menaces. Les analystes de Logpoint recherchent constamment de nouvelles méthodologies d'attaque et élaborent une liste de vulnérabilités qui facilitent l'accès aux menaces persistantes avancées. Le Logpoint SIEM agit également comme un scanner de vulnérabilités et identifiera les points du système surveillé qui doivent être recalibrés afin d'empêcher de telles attaques de se produire.
Conformité aux normes de sécurité
En tant qu'entreprise basée dans l'UE, Logpoint est très forte sur RGPD conformité. L'outil de sécurité comporte des sections entières sur le tableau de bord qui se concentrent sur la conformité au RGPD et comprend des fonctionnalités d'audit et de reporting RGPD.
La localisation des données est particulièrement importante pour le RGPD. En effet, la réglementation stipule que les informations sur les citoyens de l’UE ne doivent pas être envoyées en dehors de l’UE. Logpoint SIEM est capable de suivre toutes les connexions en fonction de l'emplacement physique du correspondant. Ces informations sont présentées sous forme de données en direct et sous forme de graphique analytique de données historiques.
Ces enregistrements géolocalisés accélèrent les audits de conformité et les rapports relatifs au RGPD. Les formats de rapport pré-écrits fournis avec Logpoint SIEM incluent un certain nombre de mises en page nécessaires pour Conformité RGPD .
Réponse aux incidents
Les fonctions de réponse aux incidents de Logpoint SIEM s'appuient sur l'analyse du trafic réseau et des fichiers journaux pour détecter d'éventuelles intrusions ou menaces internes. La détection d'une activité suspecte déclenche des alertes au personnel de gestion du réseau, chacune avec une explication des raisons de l'avertissement. Les analyses du système en réponse aux nouvelles informations sur les menaces produisent également recommandations de renforcement du système .
Logpoint SIEM n’inclut pas d’actions d’atténuation des menaces d’automatisation. Cela pourrait être considéré comme une faiblesse du service Logpoint SIEM par rapport aux produits SIEM concurrents plus proactifs. Les entreprises peuvent hésiter à laisser un programme informatique contrôler leur activité en bloquant le trafic et en fermant des comptes. Dans ce cas, la stratégie de recommandations d’actions de Logpoint SIEM plutôt que l’automatisation des actions serait plus attrayante.
Options de configuration du point de journalisation
Le logiciel Logpoint SIEM fonctionne sur Ubuntu Linux. Alternativement, il peut être exécuté sur une machine virtuelle, auquel cas il peut être hébergé sur n’importe quel serveur. Logpoint propose également Logpoint SIEM en tant qu'appliance avec tous les logiciels SIEM préchargés.
Implémentation du point de journalisation
Le logiciel n'est pas si simple à configurer et généralement, l'un des distributeurs Logpoint se rend sur le site client pour configurer le logiciel. D'une part, ce service sur mesure est le signe d'un produit haut de gamme, mais d'autre part, cette procédure d'installation pourrait rebuter certains clients potentiels. Certains pourraient craindre que toute modification apportée à l'infrastructure informatique oblige le distributeur Logpoint à revenir et à modifier l'installation du logiciel, ce qui entraînerait des frais d'intervention.
Le processus d'achat, tel que décrit sur le site Web Logpoint, semble être un processus long et fastidieux, commençant par un atelier de travail impliquant le personnel informatique clé et les consultants Logpoint. Cette approche sur mesure, axée sur le conseil, contraste fortement avec la plupart des principaux produits SIEM disponibles aujourd'hui.
Dans le reste du secteur, les concurrents de Logpoint se sont tournés vers les services cloud. Ces systèmes nécessitent un abonnement et le service est alors disponible immédiatement. Les assistants du tableau de bord des SIEM SaaS guident le nouvel utilisateur vers le téléchargement d'un programme agent, qui effectue ensuite une procédure de découverte automatique et s'auto-installe sur le réseau.
Les entreprises qui ne disposent pas d'une équipe informatique interne auront du mal à trouver le personnel clé à envoyer à l'atelier initial de mise en œuvre de Logpoint et seraient mieux servies par l'un des services SIEM gérés désormais disponibles.
Tableau de bord des points de connexion
L'environnement utilisateur Logpoint est coloré et attrayant . L'écran de la console comporte des onglets afin que les utilisateurs puissent basculer rapidement entre les données relatives à chaque module de détection. Un exemple est l’écran de gestion du compte utilisateur, illustré ci-dessous.
Les fonctionnalités analytiques de la console offrent la possibilité de repérer des événements corrélés et de décider des réponses appropriées. En plus de présenter les données d'incident sous forme graphique, Logpoint comprend des formats de rapport pré-écrits prêts à l'emploi. Le moteur analytique comprend également fonctions de recherche et de tri ad hoc qui permettent aux analystes de lancer leurs propres enquêtes.
Un exemple d’écran d’analyse de données est présenté ci-dessous.
Dans cet exemple, l'analyste a demandé à Logpoint SIEM de tracer des données sur plusieurs jours pour rechercher une menace persistante avancée. Les périodes d'analyse peuvent être ajustées pour afficher les événements sur une période de temps réglable, et pas seulement les données récentes.
Pour en savoir plus sur les tarifs, inscrivez-vous à undevis et démo gratuite.
Logpoint SIEM Inscrivez-vous pour une démo GRATUITE
Alternatives à Logpoint
Le modèle d’implémentation de Logpoint est très classe et toutes les réunions de pré-installation avec des consultants séduiront probablement les directeurs informatiques des grandes entreprises. Cependant, les petites entreprises soucieuses de leur budget n’auront ni l’argent ni le temps nécessaires pour surmonter tous les obstacles que semble impliquer l’achat de ce logiciel de sécurité. Pourquoi ne pas simplement vous inscrire en ligne à l’un des autres outils SIEM du marché et le faire installer tout seul ?
Le point de journalisation est très fort en gestion et analyse des logs mais il existe des concurrents plus puissants qui disposent de meilleures capacités de surveillance du trafic. Entreprises qui souhaitent mettre en œuvre un outil SIEM atténuation automatisée des menaces serait également mieux loti avec l'un des autres outils SIEM du marché.
Pour en savoir plus sur SIEM et les meilleurs systèmes concurrents du marché, jetez un œil à notre article sur les meilleurs outils SIEM . Au lieu de cela, vous pouvez employer une équipe d'experts SIEM sur la base d'un abonnement, consultez le services SIEM les mieux gérés poste.
Voici les dix meilleures alternatives à Logpoint SIEM :
- Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT) Un outil SIEM qui comprend une réponse aux incidents en temps réel et des modèles de conformité aux normes préconfigurés. Ce logiciel s'installe sur Windows Server. Démarrez un essai gratuit de 30 jours.
- Analyseur de journaux d'événements ManageEngine (ESSAI GRATUIT) Ce système fait partie d'une suite d'outils de gestion d'infrastructure qui peuvent tous être intégrés ensemble. L'EventLog Analyzer fournit des fonctions SIM tout enLog360pourrait être ajouté pour les services SEM. Il s'installe sur Windows et Linux. Accédez à l'essai gratuit de 30 jours.
- Surveillance de la sécurité Datadog Il s'agit d'un système de surveillance de l'infrastructure basé sur le cloud qui comprend un module de surveillance de la sécurité SIEM.
- Gestionnaire de sécurité McAfee Enterprise Un outil SIEM particulièrement performant sur la gestion Active Directory. Il s'installe sur Windows et macOS.
- Fortinet FortiSIEM Une approche complète comprend des réponses de défense automatisées. Il est basé sur le cloud avec un logiciel d'agent sur site.
- Rapid7 InsightIDR Un service de sécurité basé sur le cloud qui inclut un logiciel agent de surveillance des appareils pour l'installation. Il est facile à installer et inclut une atténuation automatisée des menaces.
- OSSEC Un IDS open source gratuit avec un accent particulier sur l'analyse des journaux. Il s'installe sur Windows, macOS, Linux et Unix.
- Plateforme SIEM LogRhythm NextGen Comprend des méthodes d'IA pour l'analyse du trafic et des journaux. Il s'installe sur Windows et Linux.
- AT&T Cybersecurity Gestion unifiée de la sécurité AlienVault Un IDS complet qui pourrait être classé comme SIEM plus car il comprend une gamme complète de méthodologies de détection et de moniteurs système. Il fonctionne sous Windows et macOS.