pl 
Czy wiesz, że w grupie produktów ManageEngine znajduje się system klasy SIEM? LOG360 to kompleksowe rozwiązanie, które występuje zarówno w wersji lokalnej jak i Cloud. Poznaj lepiej produkt i zobacz, jakie różnice występują między oferowanymi wersjami.
Czym jest LOG360?
ManageEngine Log360 jest kompleksowym rozwiązaniem SIEM, które pomaga przedsiębiorstwom każdej wielkości zwalczać zagrożenia i łagodzi ataki na systemy informatyczne dzięki funkcjom analizy zagrożeń, korelacji zdarzeń, monitorowania integralności plików, audytu urządzeń sieciowych i monitorowanie aktywności użytkowników. Pozwala chronić infrastrukturę informatyczną i nią zarządzać w wersji on-premise, w chmurze lub obu – Log360 ma wszystko pod kontrolą. Jest to proste w implementacji oprogramowanie, posiadające scentralizowaną konsolę do zarządzania wieloma środowiskami w oparciu o model pay only (opłata jednorazowa) oraz for what you use (opłata za moduły z których chcemy skorzystać).
Czym jest LOG360 Cloud?
Log360 Cloud to oparte na chmurze rozwiązanie do zarządzania i przechowywania logów z Twojej infrastruktury IT. To rozwiązanie pozwala zespołom bezpieczeństwa zarządzać logami z chmury, pomagając im osiągnąć cele związane z bezpieczeństwem i zgodnością IT.
Wersja Cloud – co może nam zaoferować?
LOG360 Cloud pozwala nam na zbieranie logów ze zróżnicowanych serwerów i urządzeń za pomocą agenta dla systemu Windows. Przetwarza je ze średnią częstotliwością 22 000 logów na sekundę, a dla zdarzeń częstotliwość oscyluje od 2148 do 5833 zdarzeń na sekundę. Formatami logów akceptowalnymi przez wersję Cloud jest format Windows oraz syslog.
Wersja Cloud pozwala również na ostrzeganie w czasie rzeczywistym o nieprawidłowościach oraz wysyłanie tego powiadomienia drogą mailową. Oferuje również ostrzeżenia dotyczące zgodności i pozwala na przesyłanie ticketu do zewnętrznego systemu help desk, ułatwiając częściową automatyzację procesu.
Ważną funkcją są predefiniowane raporty, które przedstawiają dokładne informacje o urządzeniach w naszej infrastrukturze np. o zmianach rejestru, o chmurze oraz o zewnętrznych zagrożeniach na infrastrukturze chmurowej.
Dodatkowo możliwe jest podejrzenie raportów dotyczących trendów, raportów dotyczących aktywności użytkowników uprzywilejowanych oraz raportów dotyczących zgodności z przepisami takimi jak GDPR.
Wersja On-premise – co może nam zaoferować?
Wersja On-premise jest bardziej rozbudowana – zawiera w sobie możliwości wersji Cloud i rozszerza o nowe funkcjonalności. Pierwszą rzucającą się w oczy różnicą jest korzystanie z LOG360 bez konieczności instalacji agenta. W pełni pozwala na międzyplatformowe zbieranie logów oraz na ich importowanie, filtrowanie oraz na niestandardowe parsowanie.
Logi przetwarzane są z częstotliwością od 20 000 do 25 00 logów na sekundę, a dla zdarzeń częstotliwość wynosi 2000 zdarzeń na sekundę. Wspierany jest dowolny format logów, w tym format AWS EC2.
W Log360 rozwinięta została kwestia wsparcia. Wspiera aplikacje takie jak Microsoft IIS Web Server, FTP, Apache i wiele innych. Dzięki temu pozwala na zbierania logów z dowolnych aplikacji, w tym z aplikacji bazodanowych (Oracle Audit, MS SQL Server), firewalli, IDS/IPS, aplikacji antywirusowych, mailowych, skanerów podatności oraz ujednoliconymi rozwiązaniami do zarządzania zagrożeniami. Umożliwia również wykrywanie zagrożeń w czasie rzeczywistym oraz przesyłanie informacji o zagrożeniu drogą mailową oraz SMS. Ponadto LOG360 zawiera moduł zarządzania incydentami oraz pozwala na podpięcie skryptu który rozwiąże pojawiąjący się alert, co przekłada się na automatyzację pracy.
Dodatkowo wersja zawiera rozbudowane, predefiniowane raporty które pomogą w zarządzaniu. Pozwala również na tworzenie własnych raportów, co umożliwia dostosowanie sekcji raportowania do swoich potrzeb. Dzięki temu możemy zapisać wynik wyszukiwania jako raport, co pozwala w prosty sposób stworzyć raport z interesującymi nas kryteriami.
Bardzo ważną funkcją jest korelacja zdarzeń. Dzięki temu możliwe jest stworzenie korelacji, która wykrywa zagrożenia w sieci i niweluje je. Dzięki tworzeniu wzoru ataków jakie nastąpiły w sieci jest w stanie szybciej i sprawniej chronić sieć przed nieautoryzowanymi działaniami.
LOG360 pozwala na elastyczne archiwizowanie logów, ich szyfrowanie oraz retencję.
Porównanie wersji produktu
Nazwa funkcji | Opis funkcji | Wersja On-premise | Wersja Cloud |
Zbieranie logów | |||
Agent | Oprogramowanie umożliwiające zbieranie danych z urządzeń | Niepotrzebny – wersja On-premise nie wymaga instalowania agenta | Potrzebny |
Międzyplatformowe zbieranie danych | Zbieranie danych z dowolnego systemu | Pełna | Częściowa – logi z systemu Linux zbierane są za pomocą agenta na systemie Windows |
Wsparcie serwerów/ urządzeń heterogenicznych | Tak | Tak | |
Importowanie logów | Tak | Nie | |
Okresowe importowanie logów | Możliwość ustalenia w jakich godzinach zbierane są logi z systemu | Tak | Nie |
Filtrowanie logów | Tak | Nie | |
Niestandardowe parsowanie i indeksowanie logów | Tak | Nie | |
Częstotliwość zbierania logów | Od 20 000 do 25 000 logów na sekundę a dla zdarzeń częstotliwość wynosi 2000 zdarzeń na sekundę | 22 000 logów na sekundę a dla zdarzeń częstotliwość oscyluje od 2148 do 5833 zdarzeń na sekundę | |
Wspierane formaty logów | |||
Windows event log | Zdarzenia na systemie Windows | Tak | Tak |
Syslog | Tak | Tak | |
Dowolny format z niestandardowym parsowaniem i indeksowaniem | Tak | Nie | |
AWS EC2 | Tak | Nie | |
Wspierane aplikacje | |||
Aplikacje licencjonowane [Microsoft IIS Web Server, FTP Server (W3C logs), Apache Web Server, DHCP Windows, DHCP Linux] | Tak | Nie | |
Aplikacje bazodanowe [Oracle Audit, MS SQL Server] | Tak | Nie | |
Dowolna aplikacja z niestandardowym parsowaniem i indeksowaniem | Tak | Nie | |
Inne wspierane urządzenia | |||
Niestandardowe urządzenia [IBM AS400 (iSeries), Vmware] | Tak | Nie | |
Niestandardowe urządzenia · Firewall · Systemy detekcji włamań/ Systemy zpobiegania włamań (IDS/IPS) · Aplikacje antywirusowe · Aplikacje pocztowe oraz sieciowe · Skanery podatności · Ujednolicone rozwiązania zarządzania zagrożeniami o Symantec DLP o FireEye o Symantec Endpoint Solution | Tak | Nie | |
Ostrzeżenia i powiadomienia | |||
Ostrzeżenia w czasie rzeczywistym | Tak | Tak | |
Powiadomienia – email, SMS | Tak | Tylko mailowo | |
Automatyczne włączanie skryptów jako odpowiedź na ostrzeżenie | Tak | Nie | |
Ostrzeżenia zgodności | Tak | Tak | |
Wbudowany system zarządzania incydentami | Tak | Nie | |
Przesyłanie ticketów do zewnętrznego systemu help desk | Tak | Tak | |
Monitorowanie zagrożeń | |||
Ostrzeżenia w czasie rzeczywistym dotyczący globalnych adresów IP znajdujących się na czarnej liście | Tak | Nie | |
Raporty | |||
Monitorowanie integralności plików | Tak | Nie | |
Raporty „Canned” | Zwięzłe, sformatowane raporty | Tak | Nie |
Własne raporty | Tak | Nie | |
Zaplanowane raporty | Tak | Nie | |
Dystrybucja raportów drogą mailową | Tak | Nie | |
Raporty w formatach PDF, CSV oraz HTML | Tak | Tylko format PDF i CSV | |
Przejście do surowych logów | Tak | Nie | |
Raporty trendów | Tak | Tak | |
Raporty monitorujące aktywność użytkowników uprzywilejowanych | Tak | Tak | |
Wyszukiwanie logów | |||
Zaawansowane szukanie logów z wykorzystaniem logicznych typów danych, wildcard’ów, wyszukiwaniu po grupie, zasięgu oraz frazy | Tak | Tak | |
Wyszukiwanie sformatowanych logów | Tak | Tak | |
Wyszukiwanie surowych logów | Tak | Nie | |
Zapisywanie wyniku wyszukiwania jako raportu i ostrzeżenia | Tak | Nie | |
Raporty zgodności | |||
Raporty „Canned” | Tak | Tak | |
Dostosowywanie istniejących raportów | Tak | Tak | |
Tworzenie nowych raportów zgodności | Tak | Tak | |
PCI-DSS | Tak | Tak | |
HIPAA | Tak | Tak | |
FISMA | Tak | Tak | |
SOX | Tak | Tak | |
GLBA | Tak | Tak | |
ISO 27001 | Tak | Tak | |
GDPR | Tak | Tak | |
CCPA | Tak | Tak | |
Korelacja zdarzeń w czasie rzeczywistym | |||
Korelacja zdarzeń | Tak | Nie | |
Filtry kolumnowe do budowania zasad korlacji | Filtr kolumnowy to filtr pozwalający budować zapytania za pomocą gotowych zapytań | Tak | Nie |
Predefiniowane zasady detekcji zróżnicowanych ataków, w tym ransomware, bruteforce itp | Tak | Nie | |
Monitorowanie sesji użytkownika | Tak | Nie | |
Monitorowanie integralności plików | |||
Raporty monitorowania integralności plików | Tak | Nie | |
Harmonogram raportów | Tak | Nie | |
Ostrzeżenia podczas krytycznych zmian na plikach/folderach w czasie rzeczywistym | Tak | Nie | |
Ścieżka audytu zmian na plikach/folderach | Tak | Nie | |
Archiwizacja logów | |||
Elastyczna częstotliwość archiwizacji | Tak | Nie | |
Elastyczna retencja logów | Pozwala na sprawdzenie o tym, kto, z kim i kiedy się łączył | Tak | Nie |
Szyfrowanie logów | Tak | Nie | |
Możliwości dostosowania produktu | |||
Widok oparty na użytkownikach | Tak | Tak | |
Tablice z danymi oparte na użytkownikach | Tak | Nie | |
Rebranding | Tak | Nie | |
Zarządzanie użytkownikiem | |||
Dostęp oparty o obszar i użytkownika | Tak | Tak | |
Uwierzytelnianie użytkowników w Active Directory | Tak | Nie | |
Uwierzytelnianie użytkowników na podstawie serwera RADIUS | Tak | Nie | |
Wymagania systemowe | |||
Baza danych (PostgreSQL/MySQL) | Tak | Nie | |
Wsparcie systemów Windows oraz Linux | Tak | Agent dostępny jest tylko na platformę Windows | |
64-bitowy system | Tak | Tak | |
Wycena | |||
Podstawa wyceny | Bazowana na liczbie serwerów, urządzeń oraz aplikacji | Bazowana na ilości miejsca zajmowanego przez logi | |
Licencjonowanie roczne | Tak | Tak | |
Licencjonowanie wieczyste | Tak | Nie | |
Dzięki aplikacji LOG360 jesteśmy w stanie skutecznie badać sieć oraz zbierać logi. Wersja On-premise oferuje bardzo dużo funkcji skierowanych do firm z dużą ilością urządzeń takich jak firewall itp. Dzięki temu umożliwia nam automatyzację, która pozwala na szybką reakcję i poradzenie sobie z problemem podczas gdy nie ma nas przy komputerze. Natomiast wersja Cloud jest wersją mniejszą i zdecydowanie sprawdzi się w sieci opartej głównie na chmurze. Umożliwia podstawowe funkcje aplikacji typu SIEM wystarczające do podstawowych operacji. Podsumowując, przewagą wersji Cloud jest cena – produkt ten jest tańszy. Dlatego jeśli nie potrzebujemy tak wielu opcji jakie oferuje wersja On-premise to jest to idealne rozwiązanie dla firm.
