Administrateur Réseau

Examen et alternatives LogRhythm SIEM

Examen et alternatives de LogRhythm SIEM

LogRythme est l'un des plus innovant Solutions SIEM avec la possibilité de l'installer sur site ou d'y accéder en tant que service cloud. Le logiciel SIEM est très compliqué et également très puissant. Cependant, les concepteurs du package ont beaucoup réfléchi pour rendre le système facile à utiliser en incluant le Centre de déploiement , qui déploie des assistants pour guider l'utilisateur dans les tâches d'investigation des données.

Tout sur SIEM

SIEM est une forme de Système de détection d'intrusion (IDS) . L'acronyme signifie Gestion des informations de sécurité et des événements . Le terme indique une stratégie mixte composée de deux approches d’investigation des données.

Gestion des informations de sécurité (SIM) est la pratique consistant à consulter les fichiers journaux à la recherche d’indications d’activités malveillantes. C'est ce qu'on appelle un Système de détection d'intrusion basé sur l'hôte (HIDS) .

Gestion des événements de sécurité (SEM) implique de rechercher dans le trafic de passage toute activité non autorisée. Ceci est similaire au Inspection approfondie des paquets (DPI) effectuée par des pare-feu avancés. SEM est un Système de détection d'intrusion basé sur le réseau (NIDS) qui opère sur les données d'en-tête des paquets qui passent pour extraire des informations sur les activités des utilisateurs.

L’avantage du SEM est qu’il est très rapide. Si une activité suspecte est repérée, cette activité peut faire l’objet d’une action immédiate. Cependant, cela n'est pas très efficace pour lutter contre les activités de pirates informatiques furtifs, telles que Menaces persistantes avancées (APT) . Dans une APT, un groupe de pirates informatiques accède au système et est capable de rechercher dans les fichiers et même d'utiliser les ressources du système à ses propres fins sans être détecté. Le pirate informatique échappe à la détection en opérant via des comptes d’utilisateurs réguliers.

SIM peut identifier les actions non autorisées effectuées par des utilisateurs légitimes. Cela détecte non seulement les APT mais bloque également menaces internes . Un moderne événement de perte de données ne peuvent être identifiés qu'en examinant une série d'actions qui, chacune individuellement, semblent inoffensives, mais qui, examinées ensemble, indiquent une attaque. Le gros problème du SIM est qu’il faut parfois du temps pour dresser un tableau complet des activités. Au moment où une activité suspecte devient visible, les données de l’entreprise ont probablement déjà été volées.

En combinant SIM et SEM, les systèmes SIEM peuvent améliorer la vitesse d'identification des menaces tout en étant également capables de détecter les attaques qui échappent à la détection par les mesures de cybersécurité traditionnelles. SIEM n’est pas destiné à remplacer les pare-feu et autres défenses de frontières ; il vise à identifier et repérer les types d’attaques que les pare-feu ne peuvent pas bloquer.

À propos de LogRhythm

LogRhythm, Inc. a commencé ses activités en 2003. La société est basée à Boulder, Colorado mais possède également des bureaux dans le monde entier. L'entreprise a commencé spécifiquement à développer des solutions de sécurité qui exploitent les fichiers journaux du système à la recherche d'informations. SIEM est un exemple principal de système basé sur des fichiers journaux et le développement de LogRhythm SIEM était donc la priorité de l'entreprise.

Les fondateurs de l’entreprise, Chris Petersen et Philippe Villella a recherché des méthodes innovantes pour la collecte, le formatage et le traitement des données de journalisation et détient plusieurs brevets dans ce domaine. Cela donne à LogRhythm un avantage concurrentiel sur le marché SIEM, car plus les fichiers journaux peuvent être traités rapidement, plus tôt un événement anormal peut être détecté.

Présentation de LogRhythm SIEM

Le titre complet de LogRhythm SIEM est le Plateforme SIEM LogRhythm NextGen . Le service est composé de cinq éléments essentiels plus deux modules optionnels. Ceux-ci sont:

  • NetMon – Un moniteur de réseau en direct qui extrait des informations importantes sur les paquets à des fins d'analyse.
  • SysMon – Un agent de collecte de données distribué et un moniteur de points de terminaison.
  • AnalytiX – Un gestionnaire de journaux.
  • DetectX – Le module de chasse aux menaces.
  • RespondX – Un système d'orchestration et de réponse de sécurité (SOAR).
  • NetworkXDR – Un module optionnel qui offre une surveillance améliorée du réseau.
  • UserXDR – Un module facultatif qui est une solution d'analyse du comportement des utilisateurs et des entités (UEBA).

Chacun de ces modules est expliqué plus en détail ci-dessous.

NetMon

NetMon est la principale source de données de trafic réseau en direct pour le moteur d'analyse SIEM. Il utilise Deep Packet Inspection (DPI) pour lire les métadonnées dans les en-têtes de paquets. Cela permet au service d'enregistrer le trafic par application, par utilisateur et par point de terminaison. Ces informations sont formatées selon le Flux intelligent protocole d’analyse une fois téléchargé sur le moteur analytique central. Ce système rassemble les perspectives de la pile réseau depuis la couche 2 jusqu'à la couche 7.

Le module NetMon ne se contente pas de collecter des données à des fins d'analyse ; il agit aussi. Il peut reconstruire les pièces jointes des e-mails au fur et à mesure qu'elles voyagent dans une série de paquets, en repérant le contenu malveillant et en les supprimant s'il y a du temps ou en mettant à jour leur statut à leur destination pour indiquer un problème.

NetMon possède ses propres écrans de surveillance du réseau dans le tableau de bord LogRhythm qui incluent alertes d'état et seuils réglables . Les écrans de données sont personnalisables et les données de trafic réseau peuvent également être transmises à d'autres applications via une API. Les données de trafic incluent la source et la destination des connexions externes, les communications identifiées avec les contrôleurs de botnet et une liste modifiable d'adresses IP interdites.

SysMon

SysMon est le principal système de collecte de données de LogRhythm. Il comporte des composants sur chaque point de terminaison surveillé et dispose également d’un contrôleur central. Le Contrôleur Sysmon reçoit les données de chaque agent et renvoie les instructions pour les réponses.

Le Agents SySMon installez-le sur les points de terminaison et les serveurs pour collecter les données de journal et générer des statistiques LogRhythm propriétaires, puis les envoyer au contrôleur central.

Les tâches incluent la surveillance de l'intégrité des fichiers pour garantir que les fichiers locaux ne sont pas falsifiés. Le SysMon central remplit la même tâche avec les données collectées. Les agents surveillent également les processus sur chaque machine, effectuant des contrôles de sécurité locaux, notamment la protection du registre, la surveillance des périphériques connectés et le blocage local des accès des utilisateurs malveillants.

Les agents SysMon contribuent également à surveillance du trafic réseau en direct en enregistrant chaque connexion établie ou acceptée par l'appareil surveillé. Toutes les activités sur les appareils sont enregistrées par rapport au compte utilisateur qui était actif à ce moment-là.

AnalytiX

AnalytiX est le gestionnaire de journaux de LogRhythm. Il reçoit toutes les données de journal acheminées par SysMon et met ces enregistrements dans un format commun avant de les envoyer au tableau de bord pour les afficher et les classer.

Lors du reformatage des enregistrements, AnalytiX signale les actions suspectes et lie les événements. Les fichiers journaux sont stockés dans des répertoires significatifs et dans un composant de moteur de recherche fourni par Recherche élastique rend ces journaux bruts accessibles pour un accès direct par l'utilisateur et toute autre partie intéressée, comme un auditeur de conformité aux normes.

DétecterX

DetectX est le chasseur de menaces de LogRhythm. Il prend les fichiers structurés créés par AnalytiX et leur applique les règles de détection des services. Ce composant est adaptable aux exigences des normes de sécurité des données. Les règles de détection sont constamment mises à jour par un flux de renseignements en direct sur les menaces.

Le processus DetectX identifie les activités malveillantes et lance les workflows appropriés pour les arrêter. Ces actions seront mises en œuvre par RépondreX .

RépondreX

RespondX est le Orchestration, automatisation et réponse de la sécurité (SOAR) unité de LogRhythm. Il est lié à d'autres services système tels que les pare-feu et les gestionnaires de droits d'accès pour collecter des données supplémentaires et également mettre en œuvre des flux de travail de réponse.

La méthodologie d'atténuation RespondX s'appelle Automatisation des réponses intelligentes . Il modifie les règles de pare-feu pour bloquer les adresses IP suspectes et les interfaces avec les systèmes d'accès des utilisateurs pour suspendre les comptes.

RéseauXDR

NetworkXDR est un module optionnel qui améliore les capacités de détection de NetMon. Il est capable de repérer une activité sur plusieurs points du réseau qui indique un attaque latérale . Il utilise apprentissage automatique établir une base de référence pour l’activité régulière du réseau plutôt que d’imposer un seuil qui pourrait être trop strict.

UtilisateurXDR

UserXDR est un module optionnel qui améliore la surveillance du comportement des utilisateurs de SysMon. C'est un Analyse du comportement des utilisateurs et des entités (UEBA) service qui applique l'apprentissage automatique de l'IA pour établir un modèle de comportement normal pour chaque utilisateur et groupe d'utilisateurs.

Le système UserXDR recherche les comptes abandonnés, qui constituent des failles de sécurité. Il est également capable de gérer les autorisations accordées aux utilisateurs qui se connectent avec leurs propres appareils.

Tableau de bord LogRhythm SIEM

Le tableau de bord de LogRhythm SIEM est basé sur le Web et est accessible à partir de l'un des navigateurs Web suivants :

  • Google Chrome
  • Microsoft Internet Explorer
  • Microsoft Bord
  • Mozilla Firefox

La console du SIEM est à onglets le tableau de bord étant un élément de la mise en page. D'autres onglets accèdent à des utilitaires tels que des listes d'alertes et des rapports. Deux autres onglets en bas de l'écran donnent accès à une liste de tâches et un accès direct aux journaux pour les recherches.

Tableau de bord LogRhythm

L'arrière-plan du tableau de bord est noir avec des couleurs plus claires utilisées pour le texte et les graphiques. Chaque écran du tableau de bord propose un mélange de graphiques et de panneaux de texte, comme le montre l'exemple du Analyser tableau de bord ci-dessous.

Surveillance VPN LogRhythm

Chaque élément d'un écran, tel que le tableau de bord Analyse, offre l'accès à un écran de détails. Les éléments d'un panneau de classement sont des liens actifs vers des écrans de détails. Les écrans du tableau de bord Analyse proposent tous filtres de données Ainsi, les données visualisées peuvent être isolées jusqu'à un appareil ou un utilisateur particulier.

Options de configuration de LogRhythm SIEM

Le logiciel LogRhythm SIEM fonctionne sur Windows Serveur 2012 et ensuite. LogRhythm peut également fournir tous les logiciels de la plateforme LogRhythm NextGen SIEM préchargés sur un appareil . Le système est également disponible sous forme un service basé sur le cloud , qui comprend la puissance de traitement et l’espace de stockage.

Rapports de conformité LogRhythm SIEM

Le système LogRhythm peut être adapté pour se concentrer sur le respect de normes spécifiques de sécurité des données. Ces exigences de conformité ne remplacent pas les procédures standards du LogRhythm SIEM – tout administrateur a toujours accès à tous les écrans et services standards. Les adaptations de conformité se présentent sous la forme de modules supplémentaires, appelés modules d'automatisation de la conformité .

Des modules sont disponibles pour les normes suivantes :

  • 201 CMR 17h00
  • Protection informatique de base BSI
  • Contrôles de sécurité critiques du CIS
  • DoDi 8500.2
  • FISMA
  • RGPD
  • GLBA
  • GPG 13
  • HIPAA, HITECH et MU
  • OIN 27001
  • PLUS DE TRMG
  • MAINTENANT 08-09 Rév. 6
  • NERC-CIP
  • NIST800-53
  • Cadre de cybersécurité du NIST
  • Guide de réglementation du CNRC 57.1
  • PCI DSS
  • SOX
  • EAU-NESA

En plus de fournir des ajustements des contrôles de surveillance de sécurité pour se conformer à la norme sélectionnée, un module d'automatisation de la conformité ajuste également les systèmes d'audit pour répondre aux exigences des normes. Le module comprend une bibliothèque de formats de rapport nécessaires lors de la génération d'une preuve de conformité. LogRhythm distribue des mises à jour de ces modules si l'une des normes change.

Alternatives à LogRhythm SIEM

Le LogRhythm SIEM est difficile à battre. Le système est complet et comprend des mécanismes de réponse automatisés, qui peuvent faire gagner beaucoup de temps. Cependant, LogRhythm n’est pas le seul SIEM disponible sur le marché et quiconque achète un nouveau logiciel de sécurité voudra probablement évaluer un certain nombre d’alternatives.

Pour en savoir plus sur SIEM et les meilleurs systèmes concurrents du marché, consultez le Meilleurs outils SIEM . Si vous n'avez pas le temps de lire ce guide, voici notre liste des dix meilleures alternatives à LogRhythm SIEM.

  1. Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT) Un outil qui fournit la gestion des journaux pour l'analyse des données de sécurité. Il n’inclut pas la surveillance du réseau mais pourrait être amélioré avec un flux tiers. Ce logiciel s'installe sur Windows Server. Commencez un essai gratuit de 30 jours.
  2. Analyseur de journaux d'événements ManageEngine (ESSAI GRATUIT) Un système d'analyse de sécurité basé sur les journaux qui fournit la partie SIM du SIEM. Cela pourrait être associé à OpManager pour fournir des données réseau en direct et créer un SIEM complet. Il s'installe sur Windows et Linux. Accédez à l'essai gratuit de 30 jours.
  3. Surveillance de la sécurité Datadog Un service basé sur le cloud qui nécessite l'installation d'un logiciel agent sur site. Ce système de sécurité peut être associé à un système complet de surveillance du réseau.
  4. Gestionnaire de sécurité McAfee Enterprise Un SIEM bien planifié qui comprend la gestion des journaux et la surveillance du trafic en direct. Ce système de sécurité est renforcé par un flux de renseignements sur les menaces de haute qualité. S'installe sur Windows et macOS.
  5. Fortinet FortiSIEM Un système SIEM basé sur le cloud qui déploie un logiciel agent sur les appareils surveillés pour assurer la continuité pendant les temps d'arrêt du réseau. Il comprend une gamme de stratégies de détection, telles que l'UEBA, et intègre des réponses de défense automatisées.
  6. Rapid7 InsightIDR Un service de sécurité basé sur le cloud impressionnant qui garantit la continuité du service grâce à des modules d'agent sur site. Il comprend l’UEBA et la réponse automatisée aux menaces.
  7. OSSEC Un système de détection d'intrusion basé sur un hôte open source gratuit qui fournit des fonctions SIM. Il acceptera les données du réseau en direct comme entrée supplémentaire, mais celles-ci doivent être fournies par un outil tiers. S'installe sur Windows, macOS, Linux et Unix.
  8. IBM QRadar Une plateforme de renseignement de sécurité qui comprend un module SIEM. Les éléments du SIEM incluent l'analyse des vulnérabilités, un flux de renseignements sur les menaces, l'analyse du trafic en direct et des fonctions de gestion des journaux. Il fonctionne sur Windows Server.
  9. AT&T Cybersecurity Gestion unifiée de la sécurité AlienVault Un système SIEM très apprécié qui bénéficie du soutien financier d’une très grande multinationale. Il fonctionne sous Windows et macOS.
^