लॉगरिदम सिएम समीक्षा और विकल्प
लॉगरिदम दुनिया के सबसे अधिक में से एक है अभिनव इसे ऑन-प्रिमाइसेस स्थापित करने या क्लाउड सेवा के रूप में एक्सेस करने के विकल्प के साथ एसआईईएम समाधान। सिएम सॉफ्टवेयर बहुत जटिल है और बहुत शक्तिशाली भी है। हालाँकि, पैकेज के डिज़ाइनरों ने सिस्टम को शामिल करके उपयोग को आसान बनाने के लिए बहुत सोचा है परिनियोजन केंद्र , जो डेटा जांच कार्यों के माध्यम से उपयोगकर्ता का मार्गदर्शन करने के लिए विज़ार्ड तैनात करता है।
सिएम के बारे में सब कुछ
सिएम का एक रूप है घुसपैठ का पता लगाने वाली प्रणाली (आईडीएस) . परिवर्णी शब्द का अर्थ है सुरक्षा सूचना और इवेंट प्रबंधन . यह शब्द दो डेटा जांच दृष्टिकोणों से बनी एक मिश्रित रणनीति को इंगित करता है।
सुरक्षा सूचना प्रबंधन (सिम) दुर्भावनापूर्ण गतिविधि के संकेतों के लिए लॉग फ़ाइलों को देखने का अभ्यास है। इसे ही a कहा जाता है होस्ट-आधारित घुसपैठ जांच प्रणाली (एचआईडीएस) .
सुरक्षा इवेंट प्रबंधन (एसईएम) इसमें अनाधिकृत गतिविधि के लिए गुजरने वाले यातायात को देखना शामिल है। यह के समान है डीप पैकेट निरीक्षण (DPI) उन्नत फ़ायरवॉल द्वारा किया गया। SEM एक है नेटवर्क-आधारित घुसपैठ जांच प्रणाली (एनआईडीएस) जो उपयोगकर्ताओं की गतिविधियों के बारे में जानकारी निकालने के लिए पासिंग पैकेट के हेडर डेटा पर काम करता है।
SEM का लाभ यह है कि यह बहुत तेज़ है। यदि संदिग्ध गतिविधि देखी जाती है, तो उस गतिविधि पर तुरंत कार्रवाई की जा सकती है। हालाँकि, यह गुप्त हैकर गतिविधियों से निपटने में बहुत प्रभावी नहीं है, जैसे कि उन्नत लगातार खतरे (एपीटी) . एपीटी में, एक हैकर समूह सिस्टम तक पहुंच प्राप्त करता है और फाइलों के माध्यम से खोज करने में सक्षम होता है और यहां तक कि बिना पता लगाए अपने उद्देश्यों के लिए सिस्टम संसाधनों का उपयोग भी करता है। हैकर नियमित उपयोगकर्ता खातों के माध्यम से संचालन करके पता लगाने से बचता है।
सिम वैध उपयोगकर्ताओं द्वारा किए गए अनधिकृत कार्यों की पहचान कर सकता है। यह न केवल एपीटी को पहचानता है बल्कि ब्लॉक भी करता है अंदरूनी धमकी . आधुनिक डेटा हानि घटना केवल कार्यों की एक श्रृंखला को देखकर ही पहचाना जा सकता है, जिनमें से प्रत्येक व्यक्तिगत रूप से हानिरहित लगता है, लेकिन जब एक साथ जांच की जाती है तो हमले का संकेत मिलता है। सिम के साथ बड़ी समस्या यह है कि गतिविधियों की पूरी तस्वीर बनाने में समय लग सकता है। जब तक गतिविधि का कोई संदिग्ध पैटर्न दिखाई देता है, तब तक कंपनी का डेटा संभवतः चोरी हो चुका होता है।
सिम और एसईएम के संयोजन से, एसआईईएम सिस्टम खतरे की पहचान की गति में सुधार कर सकते हैं, साथ ही पारंपरिक साइबर सुरक्षा उपायों से बचने वाले हमलों को देखने में भी सक्षम हो सकते हैं। सिएम का उद्देश्य फ़ायरवॉल और अन्य सीमा सुरक्षा को बदलना नहीं है; इसका लक्ष्य उन प्रकार के हमलों की पहचान करना और उनका पता लगाना है जिन्हें फ़ायरवॉल रोक नहीं सकता है।
लॉगरिदम के बारे में
लॉगरिदम, इंक 2003 में परिचालन शुरू किया। कंपनी स्थित है बोल्डर, कोलोराडो बल्कि दुनिया भर में इसके कार्यालय भी हैं। व्यवसाय विशेष रूप से सुरक्षा समाधान विकसित करने के लिए शुरू हुआ जो जानकारी के लिए सिस्टम लॉग फ़ाइलों को माइन करता है। एसआईईएम लॉगफ़ाइल-आधारित प्रणाली का एक प्राथमिक उदाहरण है और इसलिए लॉगरिदम एसआईईएम का विकास कंपनी की प्राथमिकता थी।
कंपनी के संस्थापक, क्रिस पीटरसन और फिलिप विलेला लॉग डेटा संग्रह, फ़ॉर्मेटिंग और प्रसंस्करण विधियों के लिए नवीन तरीकों पर शोध किया और उनके पास उस क्षेत्र में कई पेटेंट हैं। यह LogRhythm को SIEM बाज़ार में प्रतिस्पर्धात्मक बढ़त देता है क्योंकि जितनी तेज़ी से लॉग फ़ाइलों को संसाधित किया जा सकता है, उतनी ही जल्दी किसी असामान्य घटना को देखा जा सकता है।
लॉगरिदम सिएम सिंहावलोकन
LogRhythm SIEM का पूरा शीर्षक है लॉगरिदम नेक्स्टजेन सिएम प्लेटफार्म . सेवा पांच आवश्यक तत्वों और दो वैकल्पिक मॉड्यूल से बनी है। ये हैं:
- नेटमॉन - एक लाइव नेटवर्क मॉनिटर जो विश्लेषण के लिए महत्वपूर्ण पैकेट जानकारी निकालता है।
- SysMon - एक वितरित डेटा संग्रह एजेंट और एंडपॉइंट मॉनिटर।
- AnalytiX - एक लॉग मैनेजर।
- डिटेक्टएक्स - खतरे का शिकार मॉड्यूल।
- रिस्पॉन्डएक्स - एक सुरक्षा ऑर्केस्ट्रेशन और रिस्पांस (एसओएआर) प्रणाली।
- नेटवर्कएक्सडीआर - एक वैकल्पिक मॉड्यूल जो उन्नत नेटवर्क निगरानी प्रदान करता है।
- UserXDR - एक वैकल्पिक मॉड्यूल जो एक उपयोगकर्ता और इकाई व्यवहार विश्लेषण (UEBA) समाधान है।
इनमें से प्रत्येक मॉड्यूल को नीचे विस्तार से समझाया गया है।
नेटमॉन
NetMon, SIEM विश्लेषण इंजन के लिए लाइव नेटवर्क ट्रैफ़िक डेटा का मुख्य स्रोत है। यह पैकेट हेडर में मेटाडेटा को पढ़ने के लिए डीप पैकेट इंस्पेक्शन (DPI) का उपयोग करता है। यह सेवा को प्रति एप्लिकेशन, प्रति उपयोगकर्ता और प्रति एंडपॉइंट ट्रैफ़िक लॉग करने में सक्षम बनाता है। यह जानकारी के अनुसार स्वरूपित की गई है स्मार्टफ्लो केंद्रीय विश्लेषणात्मक इंजन पर अपलोड होने पर विश्लेषण के लिए प्रोटोकॉल। यह प्रणाली परत 2 से परत 7 तक सभी तरह से नेटवर्क स्टैक परिप्रेक्ष्य एकत्र करती है।
नेटमॉन मॉड्यूल केवल विश्लेषण के लिए डेटा एकत्र नहीं करता है; यह कार्य भी करता है. यह ईमेल अनुलग्नकों को फिर से संगठित कर सकता है क्योंकि वे पैकेटों की एक श्रृंखला में यात्रा करते हैं, दुर्भावनापूर्ण सामग्री का पता लगाते हैं और समय होने पर उन्हें हटा देते हैं या किसी समस्या का संकेत देने के लिए उनके गंतव्य पर उनकी स्थिति को अपडेट कर सकते हैं।
LogRhythm डैशबोर्ड में NetMon की अपनी नेटवर्क मॉनिटरिंग स्क्रीन हैं जिनमें शामिल हैं स्थिति अलर्ट और समायोज्य सीमाएँ . डेटा स्क्रीन अनुकूलन योग्य हैं और नेटवर्क ट्रैफ़िक डेटा को एपीआई के माध्यम से अन्य अनुप्रयोगों में भी फीड किया जा सकता है। ट्रैफ़िक डेटा में बाहरी कनेक्शन का स्रोत और गंतव्य, बॉटनेट नियंत्रकों के साथ पहचाना गया संचार और प्रतिबंधित आईपी पतों की एक अद्यतन योग्य सूची शामिल है।
सिस्मॉन
SysMon, LogRhythm की मुख्य डेटा संग्रह प्रणाली है। इसमें प्रत्येक मॉनिटर किए गए समापन बिंदु पर घटक होते हैं और इसमें एक केंद्रीय नियंत्रक भी होता है। सिस्मोन नियंत्रक प्रत्येक एजेंट से डेटा प्राप्त करता है और प्रतिक्रियाओं के लिए निर्देश वापस भेजता है।
SySMon एजेंट लॉग डेटा एकत्र करने और मालिकाना लॉगरिदम आँकड़े उत्पन्न करने के लिए एंडपॉइंट और सर्वर पर स्थापित करें और फिर उन्हें केंद्रीय नियंत्रक को भेजें।
कार्यों में यह सुनिश्चित करने के लिए फ़ाइल अखंडता की निगरानी शामिल है कि स्थानीय फ़ाइलों के साथ छेड़छाड़ नहीं की गई है। केंद्रीय SysMon एकत्रित डेटा के साथ समान कर्तव्य करता है। एजेंट प्रत्येक मशीन पर प्रक्रियाओं की निगरानी भी करते हैं, रजिस्ट्री सुरक्षा, संलग्न डिवाइस की निगरानी और स्थानीय रूप से दुर्भावनापूर्ण उपयोगकर्ता पहुंच को अवरुद्ध करने सहित स्थानीय सुरक्षा जांच करते हैं।
SysMon एजेंट भी इसमें योगदान करते हैं लाइव नेटवर्क ट्रैफ़िक निगरानी मॉनिटर किए गए डिवाइस द्वारा बनाए गए या स्वीकार किए गए प्रत्येक कनेक्शन को लॉग करके। डिवाइस पर सभी गतिविधियाँ उस उपयोगकर्ता खाते के विरुद्ध लॉग की जाती हैं जो उस समय सक्रिय था।
एनालिटिक्स
AnalytiX है लॉग मैनेजर लॉगरिदम का. यह SysMon द्वारा चैनल किए गए सभी लॉग डेटा को प्राप्त करता है और उन रिकॉर्ड्स को डिस्प्ले और फाइलिंग के लिए डैशबोर्ड पर भेजने से पहले एक सामान्य प्रारूप में रखता है।
रिकॉर्ड को पुन: स्वरूपित करते समय, AnalytiX संदिग्ध कार्यों को चिह्नित करता है, और घटनाओं को लिंक करता है। लॉग फ़ाइलें सार्थक निर्देशिकाओं और एक खोज इंजन घटक द्वारा आपूर्ति की जाती हैं Elasticsearch इन कच्चे लॉग को उपयोगकर्ता और किसी अन्य इच्छुक पार्टी, जैसे मानक अनुपालन लेखा परीक्षक, द्वारा सीधे पहुंच के लिए सुलभ बनाता है।
डिटेक्टएक्स
डिटेक्टएक्स है ख़तरा शिकारी लॉगरिदम का. यह AnalytiX द्वारा बनाई गई संरचित फ़ाइलें लेता है और उन पर सेवा पहचान नियम लागू करता है। यह घटक डेटा सुरक्षा मानकों की आवश्यकताओं के अनुकूल है। पहचान के नियमों को लाइव ख़तरे की ख़ुफ़िया फ़ीड द्वारा लगातार अद्यतन किया जाता है।
डिटेक्टएक्स प्रक्रिया दुर्भावनापूर्ण गतिविधियों की पहचान करती है और उन्हें बंद करने के लिए उचित वर्कफ़्लो लॉन्च करती है। द्वारा उन कार्यों को क्रियान्वित किया जायेगा उत्तरएक्स .
उत्तरएक्स
रिस्पॉन्डएक्स है सुरक्षा व्यवस्था, स्वचालन, और प्रतिक्रिया (SOAR) लॉगरिदम की इकाई। यह अतिरिक्त डेटा इकट्ठा करने और प्रतिक्रिया वर्कफ़्लो को लागू करने के लिए अन्य सिस्टम सेवाओं जैसे फ़ायरवॉल और एक्सेस अधिकार प्रबंधकों से लिंक करता है।
रेस्पॉन्डएक्स शमन पद्धति कहलाती है स्मार्टरिस्पॉन्स ऑटोमेशन . यह खातों को निलंबित करने के लिए उपयोगकर्ता एक्सेस सिस्टम के साथ संदिग्ध आईपी पते और इंटरफेस को ब्लॉक करने के लिए फ़ायरवॉल नियमों को बदल देता है।
नेटवर्कएक्सडीआर
NetworkXDR एक वैकल्पिक मॉड्यूल है जो NetMon की पहचान क्षमताओं को बढ़ाता है। यह नेटवर्क के कई बिंदुओं पर गतिविधि का पता लगाने में सक्षम है जो संकेत देता है पार्श्व आक्रमण . यह उपयोगकर्ता है यंत्र अधिगम नियमित नेटवर्क गतिविधि के लिए एक आधार रेखा स्थापित करने के बजाय एक सीमा स्तर लागू करना जो बहुत सख्त हो सकता है।
उपयोगकर्ताXDR
UserXDR एक वैकल्पिक मॉड्यूल है जो SysMon के उपयोगकर्ता व्यवहार की निगरानी को बढ़ाता है। यह है एक उपयोगकर्ता और इकाई व्यवहार विश्लेषण (यूईबीए) वह सेवा जो प्रत्येक उपयोगकर्ता और उपयोगकर्ता समूह द्वारा सामान्य व्यवहार का एक पैटर्न स्थापित करने के लिए एआई मशीन लर्निंग लागू करती है।
UserXDR प्रणाली परित्यक्त खातों की तलाश करती है, जो सुरक्षा कमज़ोरियाँ हैं। यह उन उपयोगकर्ताओं को दी गई अनुमतियों को प्रबंधित करने में भी सक्षम है जो अपने स्वयं के उपकरणों से जुड़ते हैं।
लॉगरिदम सिएम डैशबोर्ड
LogRhythm SIEM का डैशबोर्ड वेब-आधारित है और इसे निम्नलिखित में से किसी भी वेब ब्राउज़र से एक्सेस किया जा सकता है:
- गूगल क्रोम
- माइक्रोसॉफ्ट अंतर्जाल अन्वेषक
- माइक्रोसॉफ्ट बढ़त
- मोज़िला फ़ायरफ़ॉक्स
सिएम का कंसोल है टैब किए गए डैशबोर्ड लेआउट का एक तत्व है। अन्य टैब अलर्ट सूचियों और रिपोर्ट जैसी उपयोगिताओं तक पहुंचते हैं। स्क्रीन के नीचे दो और टैब कार्य सूची तक पहुंच और खोजों के लिए लॉग तक सीधी पहुंच प्रदान करते हैं।
डैशबोर्ड का बैकग्राउंड काला है और टेक्स्ट और ग्राफ़िक्स के लिए हल्के रंगों का उपयोग किया गया है। डैशबोर्ड की प्रत्येक स्क्रीन ऑफर करती है ग्राफ़ और टेक्स्ट पैनल का मिश्रण, जैसा कि उदाहरण में दिखाया गया है विश्लेषण नीचे डैशबोर्ड.
स्क्रीन पर प्रत्येक तत्व, जैसे विश्लेषण डैशबोर्ड, विवरण स्क्रीन तक पहुंच प्रदान करता है। लीग टेबल पैनल के तत्व विवरण स्क्रीन के सक्रिय लिंक हैं। विश्लेषण डैशबोर्ड में सभी स्क्रीन ऑफ़र करती हैं डेटा फ़िल्टर इसलिए विज़ुअलाइज़ किए गए डेटा को किसी विशेष डिवाइस या उपयोगकर्ता तक अलग किया जा सकता है।
LogRhythm सिएम कॉन्फ़िगरेशन विकल्प
LogRhythm SIEM सॉफ्टवेयर चलता है विंडोज़ सर्वर 2012 और बाद में। LogRhythm, LogRhythm NextGen SIEM प्लेटफ़ॉर्म के लिए सभी सॉफ़्टवेयर की आपूर्ति पहले से ही एक पर लोड कर सकता है उपकरण . यह प्रणाली भी उपलब्ध है एक क्लाउड-आधारित सेवा , जिसमें प्रसंस्करण शक्ति और भंडारण स्थान शामिल है।
लॉगरिदम सिएम अनुपालन रिपोर्टिंग
विशिष्ट डेटा सुरक्षा मानकों के अनुपालन पर ध्यान केंद्रित करने के लिए लॉगरिदम प्रणाली को अनुकूलित किया जा सकता है। ये अनुपालन आवश्यकताएं LogRhythm SIEM की मानक प्रक्रियाओं को प्रतिस्थापित नहीं करती हैं - किसी भी व्यवस्थापक के पास अभी भी सभी मानक स्क्रीन और सेवाओं तक पहुंच है। अनुपालन अनुकूलन अतिरिक्त मॉड्यूल के रूप में आते हैं, जिन्हें कहा जाता है अनुपालन स्वचालन मॉड्यूल .
मॉड्यूल निम्नलिखित मानकों के लिए उपलब्ध हैं:
- 201 सीएमआर 17.00
- बीएसआई आईटी बुनियादी सुरक्षा
- सीआईएस महत्वपूर्ण सुरक्षा नियंत्रण
- डोडी 8500.2
- FISMA
- जीडीपीआर
- जीएलबीए
- जीपीजी 13
- हिपा, हाईटेक और एमयू
- आईएसओ 27001
- अधिक टीआरएमजी
- अभी 08-09 रेव 6
- एनईआरसी सीआईपी
- एनआईएसटी 800-53
- एनआईएसटी साइबर सुरक्षा ढांचा
- एनआरसी नियामक गाइड 57.1
- पीसीआई डीएसएस
- सॉक्स
- संयुक्त अरब अमीरात-नेसा
चयनित मानक के अनुपालन के लिए सुरक्षा निगरानी नियंत्रण समायोजन प्रदान करने के साथ-साथ, एक अनुपालन स्वचालन मॉड्यूल मानकों की आवश्यकताओं के अनुरूप ऑडिटिंग सिस्टम को भी समायोजित करता है। मॉड्यूल में रिपोर्ट प्रारूपों की एक लाइब्रेरी शामिल है जो अनुपालन प्रमाण तैयार करते समय आवश्यक होती है। किसी भी मानक में बदलाव होने पर LogRhythm इन मॉड्यूल को अपडेट वितरित करता है।
LogRhythm सिएम के विकल्प
LogRhythm SIEM को हराना कठिन है। प्रणाली व्यापक है और इसमें स्वचालित प्रतिक्रिया तंत्र शामिल हैं, जो समय बचाने में बहुत मददगार हो सकते हैं। हालाँकि, LogRhythm बाज़ार में उपलब्ध एकमात्र SIEM नहीं है और नया सुरक्षा सॉफ़्टवेयर खरीदने वाला कोई भी व्यक्ति संभवतः कई विकल्पों का आकलन करना चाहेगा।
सिएम और बाज़ार में प्रतिस्पर्धा करने वाली सर्वोत्तम प्रणालियों के बारे में अधिक जानने के लिए, इस पर एक नज़र डालें सर्वश्रेष्ठ सिएम उपकरण . यदि आपके पास उस गाइड को पढ़ने का समय नहीं है, तो यहां लॉगरिदम सिएम के दस सर्वोत्तम विकल्पों की हमारी सूची है।
- सोलरविंड्स सुरक्षा इवेंट मैनेजर (निःशुल्क परीक्षण) एक उपकरण जो सुरक्षा डेटा विश्लेषण के लिए लॉग प्रबंधन प्रदान करता है। इसमें नेटवर्क मॉनिटरिंग शामिल नहीं है लेकिन इसे तृतीय-पक्ष फ़ीड के साथ बढ़ाया जा सकता है। यह सॉफ्टवेयर विंडोज सर्वर पर इंस्टॉल होता है। 30 दिन का निःशुल्क परीक्षण प्रारंभ करें.
- इंजन इवेंटलॉग विश्लेषक प्रबंधित करें (निःशुल्क परीक्षण) एक लॉग-आधारित सुरक्षा विश्लेषण प्रणाली जो सिएम का सिम भाग प्रदान करती है। लाइव नेटवर्क डेटा प्रदान करने और पूर्ण सिएम बनाने के लिए इसे OpManager के साथ जोड़ा जा सकता है। यह विंडोज़ और लिनक्स पर इंस्टॉल होता है। 30-दिवसीय निःशुल्क परीक्षण तक पहुंचें।
- डेटाडॉग सुरक्षा निगरानी एक क्लाउड-आधारित सेवा जिसके लिए साइट पर एजेंट सॉफ़्टवेयर स्थापित करना आवश्यक है। इस सुरक्षा प्रणाली को पूर्ण नेटवर्क निगरानी प्रणाली के साथ जोड़ा जा सकता है।
- मैक्एफ़ी एंटरप्राइज़ सुरक्षा प्रबंधक एक सुनियोजित एसआईईएम जिसमें लॉग प्रबंधन और लाइव ट्रैफिक मॉनिटरिंग शामिल है। यह सुरक्षा प्रणाली उच्च गुणवत्ता वाली ख़तरे वाली ख़ुफ़िया फ़ीड द्वारा बढ़ाई गई है। विंडोज़ और मैकओएस पर इंस्टॉल होता है।
- फोर्टिनेट फोर्टिसिएम एक क्लाउड-आधारित एसआईईएम प्रणाली जो नेटवर्क डाउनटाइम के दौरान निरंतरता प्रदान करने के लिए मॉनिटर किए गए उपकरणों पर एजेंट सॉफ़्टवेयर तैनात करती है। इसमें यूईबीए जैसी कई पहचान रणनीतियों को शामिल किया गया है, और स्वचालित रक्षा प्रतिक्रियाओं को एकीकृत किया गया है।
- रैपिड7 इनसाइटआईडीआर एक प्रभावशाली क्लाउड-आधारित सुरक्षा सेवा जो ऑन-साइट एजेंट मॉड्यूल के माध्यम से सेवा की निरंतरता सुनिश्चित करती है। इसमें यूईबीए और स्वचालित खतरे की प्रतिक्रिया शामिल है।
- ओएसएसईसी एक निःशुल्क ओपन-सोर्स होस्ट-आधारित घुसपैठ का पता लगाने वाला सिस्टम जो सिम फ़ंक्शन प्रदान करता है। यह लाइव नेटवर्क डेटा को अतिरिक्त इनपुट के रूप में स्वीकार करेगा लेकिन इसकी आपूर्ति किसी तीसरे पक्ष के टूल द्वारा की जानी होगी। विंडोज़, मैकओएस, लिनक्स और यूनिक्स पर इंस्टॉल होता है।
- आईबीएम क्यूराडार एक सुरक्षा खुफिया प्लेटफ़ॉर्म जिसमें एक एसआईईएम मॉड्यूल शामिल है। एसआईईएम के तत्वों में भेद्यता स्कैनिंग, खतरे की खुफिया फ़ीड, लाइव ट्रैफ़िक विश्लेषण और लॉग प्रबंधन फ़ंक्शन शामिल हैं। यह विंडोज़ सर्वर पर चलता है।
- एटी एंड टी साइबर सुरक्षा एलियनवॉल्ट एकीकृत सुरक्षा प्रबंधन एक सुप्रसिद्ध एसआईईएम प्रणाली जिसे एक बहुत बड़ी बहुराष्ट्रीय कंपनी का वित्तीय समर्थन प्राप्त है। यह विंडोज़ और मैकओएस पर चलता है।