लॉगपॉइंट सिएम समीक्षा और विकल्प
लॉगप्वाइंट सिएमलॉगफ़ाइलों को देखकर और नेटवर्क ट्रैफ़िक की निगरानी करके आईटी सिस्टम पर दुर्भावनापूर्ण घटनाओं की खोज करता है। गुप्त हमलों और उन्नत लगातार खतरों का पता लगाने के लिए एक एसआईईएम नेटवर्क पर कई बिंदुओं से पता लगाने के तरीकों और नमूना संकेतकों को संयोजित करने में सक्षम है।
सिएम के बारे में
सिएम का मतलब सुरक्षा सूचना और इवेंट मैनेजमेंट है। इस प्रकार की प्रणाली घुसपैठ का पता लगाने के लिए दो तरीकों को जोड़ती है।
एक होस्ट-आधारित घुसपैठ का पता लगाने वाली प्रणाली प्रत्येक एंडपॉइंट पर लॉग फ़ाइलों और नेटवर्क पर यात्रा करने वाली फ़ाइलों की भी जांच करती है। लॉग संदेशों के लिए दो मुख्य मानक हैं विंडोज़ घटनाएँ विंडोज़ ऑपरेटिंग सिस्टम के लिए और सिसलॉग , जो Linux, macOS और Unix पर संचालित होता है। सभी लॉग संदेश स्वचालित रूप से दर्ज नहीं होते हैं, इसलिए सिएम प्रणाली का पहला कार्य एक लॉग सर्वर प्रदान करना है जो लॉग संदेशों को एकत्र और संग्रहीत करता है।
एसआईईएम उपकरण को विभिन्न स्रोतों से लॉग के माध्यम से खोज करने की आवश्यकता है, इसलिए उन संदेशों को सहेजने से पहले एक तटस्थ प्रारूप में पुनर्गठित करने की आवश्यकता है। इस कार्य को लॉग समेकन कहा जाता है। SIEM का वह भाग जो लॉग फ़ाइलों के साथ कार्य करता है, कहलाता है सुरक्षा इवेंट प्रबंधन (एसईएम) .
सिएम का दूसरा भाग है हाँ . यह है सुरक्षा सूचना प्रबंधन और यह वास्तविक समय में काम करता है, दुर्भावनापूर्ण गतिविधि के पैटर्न देखने के लिए लाइव डेटा एकत्र करता है। यह है नेटवर्क-आधारित घुसपैठ का पता लगाना (एनआईडीएस) और यह मुख्य रूप से नेटवर्क मॉनिटरिंग के माध्यम से संचालित होता है।
सिम तत्काल है और घुसपैठियों को बहुत जल्दी पहचान सकता है। हालाँकि, अधिकांश हैकर जानते हैं कि फ़ायरवॉल और एनआईडीएस सिस्टम द्वारा उपयोग की जाने वाली पारंपरिक हस्ताक्षर-आधारित पहचान विधियों जैसे पहचान प्रणालियों से कैसे बचना है। उदाहरण के लिए, पैकेट हेडर की जांच करने से पैकेटों में विभाजित विशिष्ट आक्रमण हस्ताक्षरों का पता नहीं चलता है।
आधुनिक हैकर तरीकों को पहचानने के लिए डेटा के संयोजन की आवश्यकता होती है। यह कार्य केवल पूर्वव्यापी रूप से ही किया जा सकता है। गुजरने वाले ट्रैफ़िक को स्कैन करने के साथ-साथ, सिम मॉनिटर अपने स्वयं के लॉग उत्पन्न करते हैं जो साथी एसईएम सिस्टम में उपलब्ध जानकारी को जोड़ते हैं। तो, सिम और एसईएम प्रत्येक दूसरे की कमजोरी को कवर करते हैं।
लॉगपॉइंट के बारे में
लॉगप्वाइंटएक साझेदारी है, जिसके वरिष्ठ भागीदार सभी प्रमुख साइबर सुरक्षा विशेषज्ञ हैं। व्यवसाय का मुख्यालय कहाँ है? कोपेनहेगन, डेनमार्क और इसके कार्यालय यूके, फ्रांस, जर्मनी, स्वीडन, फिनलैंड, अमेरिका और नेपाल में हैं।
लॉगप्वाइंट सिएम कंपनी का एकमात्र उत्पाद है। हालाँकि, सॉफ़्टवेयर के मॉड्यूलर डिज़ाइन का अर्थ है कि SIEM उपकरण वास्तव में सुरक्षा सुविधाओं का एक बंडल है।
लॉगप्वाइंट सिएम सुविधाएँ
जैसा कि कंपनी के नाम से पता चलता है, लॉगपॉइंट लॉग संदेश प्रबंधन और विश्लेषण में बहुत मजबूत है। हालाँकि, लॉग डेटा विश्लेषण एक सिएम प्रणाली की कार्यक्षमता का केवल आधा हिस्सा है। लॉगपॉइंट सिएम सेवा लाइव डेटा की निगरानी और विश्लेषण भी करती है।
लॉग प्रबंधन
लॉगप्वाइंट सिएमकिसी भी आकार के व्यवसायों के लिए उपलब्ध है लेकिन यह बड़े संगठनों के लिए विशेष रूप से आकर्षक होगा। सिस्टम बड़ी मात्रा में लॉग संदेशों को संसाधित करने में सक्षम है। इसकी शीर्ष थ्रूपुट दर 25,000 विभिन्न इवेंट स्रोतों से प्रति सेकंड दस लाख इवेंट (ईपीएस) है।
लॉगप्वाइंट सिएम सॉफ्टवेयर है एक Linux-आधारित प्रणाली , इसलिए Syslog संदेशों को एकत्र करना बहुत अच्छा है। हालाँकि, यह एकमात्र लॉग संदेश प्रकार नहीं है जिसे सिस्टम एकत्र कर सकता है। लॉगपॉइंट सिएम द्वारा एकत्रित किए जाने वाले अन्य लॉग संदेश प्रारूपों में उल्लेखनीय हैं विंडोज़ इवेंट लॉग संदेश।
विभिन्न स्रोतों से लॉग संदेशों को सोर्स करने से संदेशों के प्रारूप में विविधता आ जाती है। एसईएम सिस्टम कई स्रोतों से जानकारी को समेकित करने में उत्कृष्टता प्राप्त करता है और ऐसा करने के लिए, लॉगपॉइंट एसआईईएम को सभी प्राप्त लॉग रिकॉर्ड को एक तटस्थ प्रारूप में पुनर्गठित करने की आवश्यकता होती है। यह लॉग डेटा को केंद्रीय रूप से संग्रहीत करने में सक्षम बनाता है, भले ही उनके निर्माण के लिए किसी भी मानक का पालन किया गया हो।
उन्नत ख़तरे से सुरक्षा
एक उन्नत लगातार खतरा (एपीटी) आज एक बहुत ही सामान्य हैकर गतिविधि है। इसमें हैकर समूह को एक निजी सिस्टम तक पहुंच प्राप्त करना और बार-बार पता न चल पाने वाली पहुंच को बहुत आसान बनाने के लिए डिवाइस कॉन्फ़िगरेशन में समायोजन करना शामिल है। लॉगपॉइंट सिएम सेवा नेटवर्क ट्रैफ़िक को ट्रैक करके सिस्टम गतिविधि पर नज़र रखती है।
लॉग डेटा का विश्लेषण करके और उस विश्लेषण से प्राप्त संदेह को विशिष्ट गतिविधि स्रोतों पर लागू करके, नेटवर्क प्रबंधक बहुत सारा समय और संसाधन बचा सकता है। यह सभी ट्रैफ़िक की जांच करने में प्रयास बर्बाद करने से बचाता है। लॉग फ़ाइल विश्लेषण निष्कर्ष ट्रैफ़िक निगरानी सेवा-विशिष्ट उपयोगकर्ता खातों और आईपी पते पर ध्यान देने के लिए देते हैं।
उपयोगकर्ता की निगरानी
उपयोगकर्ता खाते घुसपैठियों को बिना पहचाने सिस्टम में घुसने का सबसे आसान तरीका प्रदान करते हैं। लॉगप्वाइंट सिएम सभी मौजूदा खातों का मूल्यांकन करता है परित्यक्त या कभी-कभार उपयोग किए जाने वाले खातों की पहचान करना जो हैकर्स के लिए आदर्श माध्यम होंगे। लॉगपॉइंट सिस्टम द्वारा उत्पन्न इवेंट लॉग संदेश भी एकत्र करता है सक्रिय निर्देशिका विफल लॉगिन प्रयासों और बलपूर्वक पासवर्ड क्रैकिंग क्रियाओं का पता लगाने के लिए।
लॉगप्वाइंट सिएम सॉफ्टवेयर में विशेष शामिल हैं उपयोगकर्ता और इकाई व्यवहार विश्लेषण (यूईबीए) . यह विशिष्ट उपयोगकर्ता व्यवहार और सामान्य ट्रैफ़िक के लिए एक आधार रेखा स्थापित करता है जिसकी नेटवर्क पर प्रत्येक डिवाइस से अपेक्षा की जा सकती है। यूईबीए प्रक्रिया सामान्य गतिविधि की आधार रेखा स्थापित करने के लिए मशीन लर्निंग का उपयोग करती है। यह महत्वपूर्ण है क्योंकि विसंगति का पता लगाने के नियमों का एक आउट-ऑफ-द-बॉक्स सेट दुनिया के प्रत्येक व्यवसाय में प्रत्येक उपयोगकर्ता पर लागू नहीं होगा। जब एसआईईएम शुरू हुआ, तो निर्धारित नियमों को लागू करने से बहुत सारे झूठे अलार्म पैदा हुए। वैध गतिविधि को रोकने के लिए यूईबीए टेलर्स अलर्ट सेटिंग्स को संदिग्ध के रूप में चिह्नित किया गया है।
ख़तरे की ख़ुफ़िया जानकारी
लॉगप्वाइंट जानकारी के साथ सिएम टूल प्रदान करता है विशिष्ट आक्रमण वैक्टर ख़तरे की ख़ुफ़िया फ़ीड के रूप में। लॉगपॉइंट के विश्लेषक लगातार नए हमले के तरीकों पर शोध करते हैं और उन कमजोरियों की एक सूची तैयार करते हैं जो उन्नत लगातार खतरों तक पहुंच की सुविधा प्रदान करती हैं। लॉगपॉइंट एसआईईएम एक भेद्यता स्कैनर के रूप में भी कार्य करता है और मॉनिटर किए गए सिस्टम पर उन बिंदुओं की पहचान करेगा जिन्हें ऐसे हमलों को होने से रोकने के लिए पुन: कैलिब्रेट करने की आवश्यकता है।
सुरक्षा मानकों का अनुपालन
ईयू-आधारित व्यवसाय के रूप में, लॉगप्वाइंट बहुत मजबूत है जीडीपीआर अनुपालन। सुरक्षा उपकरण में डैशबोर्ड पर संपूर्ण अनुभाग हैं जो जीडीपीआर के अनुपालन पर ध्यान केंद्रित करते हैं और इसमें जीडीपीआर ऑडिटिंग और रिपोर्टिंग सुविधाएं शामिल हैं।
जीडीपीआर के लिए डेटा का स्थान विशेष रूप से महत्वपूर्ण है। ऐसा इसलिए है क्योंकि नियमों में कहा गया है कि यूरोपीय संघ के नागरिकों के बारे में जानकारी यूरोपीय संघ के बाहर नहीं भेजी जानी चाहिए। लॉगप्वाइंट सिएम संवाददाता के भौतिक स्थान के आधार पर सभी कनेक्शनों को ट्रैक करने में सक्षम है। यह जानकारी लाइव डेटा और ऐतिहासिक डेटा के विश्लेषणात्मक ग्राफ़ के रूप में प्रस्तुत की जाती है।
ये स्थान-आधारित रिकॉर्ड जीडीपीआर के लिए अनुपालन ऑडिटिंग और रिपोर्टिंग को गति देते हैं। लॉगपॉइंट सिएम के साथ भेजे जाने वाले पूर्व-लिखित रिपोर्ट प्रारूपों में कई लेआउट शामिल होते हैं जिनकी आवश्यकता होती है जीडीपीआर अनुपालन .
घटना की प्रतिक्रिया
लॉगपॉइंट सिएम के घटना प्रतिक्रिया कार्य संभावित घुसपैठ या अंदरूनी खतरों का पता लगाने के लिए नेटवर्क ट्रैफ़िक और लॉग फ़ाइलों के विश्लेषण पर निर्भर करते हैं। संदिग्ध गतिविधि का पता चलने पर नेटवर्क प्रबंधन कर्मचारियों को अलर्ट ट्रिगर किया जाता है, प्रत्येक चेतावनी के कारणों की व्याख्या के साथ। नए ख़तरे की प्रतिक्रिया में सिस्टम स्कैन भी खुफिया जानकारी उत्पन्न करता है सिस्टम सख्त करने की सिफ़ारिशें .
लॉगप्वाइंट सिएम में स्वचालन खतरा शमन क्रियाएं शामिल नहीं हैं। इसे अधिक सक्रिय प्रतिद्वंद्वी सिएम उत्पादों की तुलना में लॉगपॉइंट सिएम सेवा में कमजोरी के रूप में देखा जा सकता है। कंपनियाँ किसी कंप्यूटर प्रोग्राम को ट्रैफ़िक रोककर और खाते बंद करके गतिविधि को नियंत्रित करने देने से घबरा सकती हैं। उस स्थिति में, एक्शन ऑटोमेशन के बजाय लॉगपॉइंट सिएम की एक्शन अनुशंसाओं की रणनीति अधिक आकर्षक होगी।
लॉगपॉइंट कॉन्फ़िगरेशन विकल्प
लॉगपॉइंट सिएम सॉफ्टवेयर उबंटू लिनक्स पर चलता है। वैकल्पिक रूप से, इसे वर्चुअल मशीन पर चलाया जा सकता है, ऐसी स्थिति में, इसे किसी भी सर्वर पर होस्ट किया जा सकता है। लॉगपॉइंट लॉगपॉइंट सिएम को एक उपकरण के रूप में भी पेश करता है जिसमें सभी सिएम सॉफ्टवेयर पहले से लोड होते हैं।
लॉगप्वाइंट कार्यान्वयन
सॉफ़्टवेयर को सेट अप करना इतना आसान नहीं है और आमतौर पर, लॉगपॉइंट वितरकों में से एक सॉफ़्टवेयर सेट करने के लिए क्लाइंट साइट पर जाता है। एक ओर, यह विशेष सेवा एक उच्च-विशिष्ट उत्पाद का संकेत है, लेकिन दूसरी ओर, यह इंस्टॉलेशन प्रक्रिया कुछ संभावित ग्राहकों को निराश कर सकती है। कुछ लोग चिंतित हो सकते हैं कि आईटी बुनियादी ढांचे में किए गए किसी भी बदलाव के लिए लॉगपॉइंट वितरक को वापस आकर सॉफ़्टवेयर इंस्टॉलेशन में बदलाव करना होगा, जिससे कॉल आउट शुल्क लगेगा।
खरीद प्रक्रिया, जैसा कि लॉगप्वाइंट वेबसाइट पर वर्णित है, एक लंबी, लंबी प्रक्रिया प्रतीत होती है कार्यशाला प्रमुख आईटी कर्मचारी और लॉगपॉइंट सलाहकार शामिल हैं। यह अनुरूप, परामर्श-आधारित दृष्टिकोण आज उपलब्ध कई प्रमुख एसआईईएम उत्पादों के बिल्कुल विपरीत है।
उद्योग के बाकी हिस्सों में, लॉगपॉइंट के प्रतिस्पर्धी क्लाउड सेवाओं की ओर चले गए हैं। उन प्रणालियों के लिए सदस्यता की आवश्यकता होती है और फिर सेवा तुरंत उपलब्ध होती है। SaaS SIEMs के डैशबोर्ड में विज़ार्ड नए उपयोगकर्ता को एक एजेंट प्रोग्राम डाउनलोड करने के लिए मार्गदर्शन करते हैं, जो फिर एक ऑटोडिस्कवरी प्रक्रिया आयोजित करता है और नेटवर्क के चारों ओर स्वयं-इंस्टॉल करता है।
जिन व्यवसायों के पास इन-हाउस आईटी टीम नहीं है, उन्हें प्रारंभिक लॉगपॉइंट कार्यान्वयन कार्यशाला में भेजने के लिए प्रमुख कर्मचारियों को ढूंढने में संघर्ष करना पड़ेगा और उन्हें अब उपलब्ध प्रबंधित एसआईईएम सेवाओं में से एक द्वारा बेहतर सेवा प्रदान की जाएगी।
लॉगप्वाइंट डैशबोर्ड
लॉगपॉइंट उपयोगकर्ता वातावरण है रंगीन और आकर्षक . कंसोल स्क्रीन टैब्ड है ताकि उपयोगकर्ता प्रत्येक डिटेक्शन मॉड्यूल से संबंधित डेटा के बीच जल्दी से स्विच कर सकें। एक उदाहरण उपयोगकर्ता खाता प्रबंधन स्क्रीन है, जो नीचे दिखाया गया है।
कंसोल की विश्लेषणात्मक विशेषताएं सहसंबद्ध घटनाओं को पहचानने और उचित प्रतिक्रियाओं पर निर्णय लेने का अवसर प्रदान करती हैं। घटना डेटा को ग्राफ़िकल रूप में प्रस्तुत करने के साथ-साथ, लॉगपॉइंट में बॉक्स से बाहर पूर्व-लिखित रिपोर्ट प्रारूप भी शामिल हैं। विश्लेषणात्मक इंजन भी शामिल है तदर्थ खोज और छँटाई कार्य जो विश्लेषकों को अपनी स्वयं की जांच शुरू करने में सक्षम बनाता है।
डेटा विश्लेषण स्क्रीन का एक उदाहरण नीचे दिखाया गया है।
इस उदाहरण में, विश्लेषक ने लॉगप्वाइंट सिएम को एक उन्नत लगातार खतरे की तलाश के लिए कई दिनों का डेटा प्लॉट करने के लिए कहा है। विश्लेषण अवधियों को केवल हालिया डेटा ही नहीं, बल्कि एक समायोज्य समयावधि में घटनाओं को दिखाने के लिए समायोजित किया जा सकता है।
मूल्य निर्धारण के बारे में अधिक जानने के लिए, पंजीकरण करेंउद्धरण और एक निःशुल्क डेमो.
मुफ़्त डेमो के लिए लॉगपॉइंट सिएम रजिस्टर करें
लॉगप्वाइंट के विकल्प
लॉगपॉइंट का कार्यान्वयन मॉडल बहुत उत्तम है और सलाहकारों के साथ सभी प्री-इंस्टॉलेशन बैठकें संभवतः बड़ी कंपनियों के आईटी निदेशकों को पसंद आएंगी। हालाँकि, छोटे, बजट-सचेत व्यवसायों के पास इस सुरक्षा सॉफ़्टवेयर को खरीदने में आने वाली सभी बाधाओं से गुज़रने के लिए पैसा या समय नहीं होगा। बाज़ार में उपलब्ध अन्य सिएम उपकरणों में से किसी एक के लिए ऑनलाइन साइन अप क्यों न किया जाए और इसे स्वयं इंस्टॉल क्यों न किया जाए?
लॉगप्वाइंट है लॉग प्रबंधन और विश्लेषण पर बहुत मजबूत लेकिन ऐसे मजबूत प्रतिद्वंद्वी भी हैं जिनके पास बेहतर यातायात निगरानी क्षमताएं हैं। व्यवसाय जो कार्यान्वयन के लिए एक एसआईईएम उपकरण चाहते हैं स्वचालित खतरा शमन बाज़ार में उपलब्ध अन्य सिएम उपकरणों में से एक के साथ भी बेहतर स्थिति होगी।
सिएम और बाज़ार में प्रतिस्पर्धा करने वाली सर्वोत्तम प्रणालियों के बारे में अधिक जानने के लिए, हमारी पोस्ट पर एक नज़र डालें सर्वोत्तम सिएम उपकरण . इसके बजाय, आप सदस्यता के आधार पर एसआईईएम विशेषज्ञों की एक टीम को नियुक्त कर सकते हैं, इसकी जांच करें सर्वोत्तम प्रबंधित सिएम सेवाएँ डाक।
यहां लॉगपॉइंट सिएम के दस सर्वोत्तम विकल्प दिए गए हैं:
- सोलरविंड्स सुरक्षा इवेंट मैनेजर (निःशुल्क परीक्षण) एक एसआईईएम उपकरण जिसमें वास्तविक समय घटना प्रतिक्रिया और पूर्व-कॉन्फ़िगर मानक अनुपालन मॉडल शामिल हैं। यह सॉफ्टवेयर विंडोज सर्वर पर इंस्टॉल होता है। 30 दिन का निःशुल्क परीक्षण प्रारंभ करें.
- इंजन इवेंटलॉग विश्लेषक प्रबंधित करें (निःशुल्क परीक्षण) यह प्रणाली बुनियादी ढांचे प्रबंधन उपकरणों के एक सूट का हिस्सा है जिसे सभी को एक साथ एकीकृत किया जा सकता है। इवेंटलॉग एनालाइज़र सिम फ़ंक्शन प्रदान करता हैलॉग360SEM सेवाओं के लिए जोड़ा जा सकता है। यह विंडोज़ और लिनक्स पर इंस्टॉल होता है। 30-दिवसीय निःशुल्क परीक्षण तक पहुंचें।
- डेटाडॉग सुरक्षा निगरानी यह एक क्लाउड-आधारित बुनियादी ढांचा निगरानी प्रणाली है जिसमें एक एसआईईएम सुरक्षा निगरानी मॉड्यूल शामिल है।
- मैक्एफ़ी एंटरप्राइज़ सुरक्षा प्रबंधक एक सिएम उपकरण जो सक्रिय निर्देशिका प्रबंधन पर विशेष रूप से मजबूत है। यह विंडोज़ और मैकओएस पर इंस्टॉल होता है।
- फोर्टिनेट फोर्टिसिएम व्यापक में स्वचालित रक्षा प्रतिक्रियाएँ शामिल हैं। यह ऑनसाइट एजेंट सॉफ्टवेयर के साथ क्लाउड पर आधारित है।
- रैपिड7 इनसाइटआईडीआर एक क्लाउड-आधारित सुरक्षा सेवा जिसमें इंस्टॉलेशन के लिए डिवाइस मॉनिटरिंग एजेंट सॉफ़्टवेयर शामिल है। इसे स्थापित करना आसान है और इसमें स्वचालित खतरा शमन भी शामिल है।
- ओएसएसईसी लॉग विश्लेषण पर विशेष ध्यान देने वाला एक निःशुल्क ओपन-सोर्स आईडीएस। यह विंडोज़, मैकओएस, लिनक्स और यूनिक्स पर इंस्टॉल होता है।
- लॉगरिदम नेक्स्टजेन सिएम प्लेटफार्म ट्रैफ़िक और लॉग विश्लेषण के लिए AI तरीके शामिल हैं। यह विंडोज़ और लिनक्स पर इंस्टॉल होता है।
- एटी एंड टी साइबर सुरक्षा एलियनवॉल्ट एकीकृत सुरक्षा प्रबंधन एक पूर्ण आईडीएस जिसे एसआईईएम प्लस के रूप में वर्गीकृत किया जा सकता है क्योंकि इसमें पता लगाने के तरीकों और सिस्टम मॉनिटर की पूरी श्रृंखला शामिल है। यह विंडोज़ और मैकओएस पर चलता है।