18.10.2022

Autor: Patryk Ginter

Kategorie: Aktualności, Artykuł

Czy wiesz, że w grupie produktów ManageEngine znajduje się system klasy SIEM? LOG360 to kompleksowe rozwiązanie, które występuje zarówno w wersji lokalnej jak i Cloud. Poznaj lepiej produkt i zobacz, jakie różnice występują między oferowanymi wersjami.  

Czym jest LOG360?

 

ManageEngine Log360 jest kompleksowym rozwiązaniem SIEM, które pomaga przedsiębiorstwom każdej wielkości zwalczać zagrożenia i łagodzi ataki na systemy informatyczne dzięki funkcjom analizy zagrożeń, korelacji zdarzeń, monitorowania integralności plików, audytu urządzeń sieciowych i monitorowanie aktywności użytkowników. Pozwala chronić infrastrukturę informatyczną i nią zarządzać w wersji on-premise, w chmurze lub obu – Log360 ma wszystko pod kontrolą. Jest to proste w implementacji oprogramowanie, posiadające scentralizowaną konsolę do zarządzania wieloma środowiskami w oparciu o model pay only (opłata jednorazowa) oraz for what you use (opłata za moduły z których chcemy skorzystać).

Czym jest LOG360 Cloud?

 

Log360 Cloud to oparte na chmurze rozwiązanie do zarządzania i przechowywania logów z Twojej infrastruktury IT. To rozwiązanie pozwala zespołom bezpieczeństwa zarządzać logami z chmury, pomagając im osiągnąć cele związane z bezpieczeństwem i zgodnością IT.

Wersja Cloud – co może nam zaoferować?

 

LOG360 Cloud pozwala nam na zbieranie logów ze zróżnicowanych serwerów i urządzeń za pomocą agenta dla systemu Windows. Przetwarza je ze średnią częstotliwością 22 000 logów na sekundę, a dla zdarzeń częstotliwość oscyluje od 2148 do 5833 zdarzeń na sekundę. Formatami logów akceptowalnymi przez wersję Cloud jest format Windows oraz syslog.

 

Wersja Cloud pozwala również na ostrzeganie w czasie rzeczywistym o nieprawidłowościach oraz wysyłanie tego powiadomienia drogą mailową. Oferuje również ostrzeżenia dotyczące zgodności i pozwala na przesyłanie ticketu do zewnętrznego systemu help desk, ułatwiając częściową automatyzację procesu.

 

Ważną funkcją są predefiniowane raporty, które przedstawiają dokładne informacje o urządzeniach w naszej infrastrukturze np. o zmianach rejestru, o chmurze oraz o zewnętrznych zagrożeniach na infrastrukturze chmurowej.

 

LOG360- predefiniowane raporty

Dodatkowo możliwe jest podejrzenie raportów dotyczących trendów, raportów dotyczących aktywności użytkowników uprzywilejowanych oraz raportów dotyczących zgodności z przepisami takimi jak GDPR.

Wersja On-premise – co może nam zaoferować?

 

Wersja On-premise jest bardziej rozbudowana – zawiera w sobie możliwości wersji Cloud i rozszerza o nowe funkcjonalności. Pierwszą rzucającą się w oczy różnicą jest korzystanie z LOG360 bez konieczności instalacji agenta. W pełni pozwala na międzyplatformowe zbieranie logów oraz na ich importowanie, filtrowanie oraz na niestandardowe parsowanie.

 

Logi przetwarzane są z częstotliwością od 20 000 do 25 00 logów na sekundę, a dla zdarzeń częstotliwość wynosi 2000 zdarzeń na sekundę. Wspierany jest dowolny format logów, w tym format AWS EC2.

 

W Log360 rozwinięta została kwestia wsparcia. Wspiera aplikacje takie jak Microsoft IIS Web Server, FTP, Apache i wiele innych. Dzięki temu pozwala na zbierania logów z dowolnych aplikacji, w tym z aplikacji bazodanowych (Oracle Audit, MS SQL Server), firewalli, IDS/IPS, aplikacji antywirusowych, mailowych, skanerów podatności oraz ujednoliconymi rozwiązaniami do zarządzania zagrożeniami. Umożliwia również wykrywanie zagrożeń w czasie rzeczywistym oraz przesyłanie informacji o zagrożeniu drogą mailową oraz SMS. Ponadto LOG360 zawiera moduł zarządzania incydentami oraz pozwala na podpięcie skryptu który rozwiąże pojawiąjący się alert, co przekłada się na automatyzację pracy.

 

Dodatkowo wersja zawiera rozbudowane, predefiniowane raporty które pomogą w zarządzaniu. Pozwala również na tworzenie własnych raportów, co umożliwia dostosowanie sekcji raportowania do swoich potrzeb. Dzięki temu możemy zapisać wynik wyszukiwania jako raport, co pozwala w prosty sposób stworzyć raport z interesującymi nas kryteriami.

 

Bardzo ważną funkcją jest korelacja zdarzeń. Dzięki temu możliwe jest stworzenie korelacji, która wykrywa zagrożenia w sieci i niweluje je. Dzięki tworzeniu wzoru ataków jakie nastąpiły w sieci jest w stanie szybciej i sprawniej chronić sieć przed nieautoryzowanymi działaniami.

LOG360- korelacja zdarzeń

LOG360 pozwala na elastyczne archiwizowanie logów, ich szyfrowanie oraz retencję.

Porównanie wersji produktu

Nazwa funkcji

Opis funkcji

Wersja On-premise

Wersja Cloud

Zbieranie logów

Agent

Oprogramowanie umożliwiające zbieranie danych z urządzeń

Niepotrzebny – wersja On-premise nie wymaga instalowania agenta

Potrzebny

Międzyplatformowe zbieranie danych

Zbieranie danych z dowolnego systemu

Pełna

Częściowa – logi z systemu Linux zbierane są za pomocą agenta na systemie Windows

Wsparcie serwerów/ urządzeń heterogenicznych

 

Tak

Tak

Importowanie logów

 

Tak

Nie

Okresowe importowanie logów

Możliwość ustalenia w jakich godzinach zbierane są logi z systemu

Tak

Nie

Filtrowanie logów

 

Tak

Nie

Niestandardowe parsowanie i indeksowanie logów

 

Tak

Nie

Częstotliwość zbierania logów

 

Od 20 000 do 25 000 logów na sekundę a dla zdarzeń częstotliwość wynosi 2000 zdarzeń na sekundę

22 000 logów na sekundę a dla zdarzeń częstotliwość oscyluje od 2148 do 5833 zdarzeń na sekundę

Wspierane formaty logów

Windows event log

Zdarzenia na systemie Windows

Tak

Tak

Syslog

 

Tak

Tak

Dowolny format z niestandardowym parsowaniem i indeksowaniem

 

Tak

Nie

AWS EC2

 

Tak

Nie

Wspierane aplikacje

Aplikacje licencjonowane [Microsoft IIS Web Server, FTP Server (W3C logs), Apache Web Server, DHCP Windows, DHCP Linux]

 

Tak

Nie

Aplikacje bazodanowe [Oracle Audit, MS SQL Server]

 

Tak

Nie

Dowolna aplikacja z niestandardowym parsowaniem i indeksowaniem

 

Tak

Nie

Inne wspierane urządzenia

Niestandardowe urządzenia [IBM AS400 (iSeries), Vmware]

 

Tak

Nie

Niestandardowe urządzenia

·        Firewall

·        Systemy detekcji włamań/ Systemy zpobiegania włamań (IDS/IPS)

·        Aplikacje antywirusowe

·        Aplikacje pocztowe oraz sieciowe

·        Skanery podatności

·        Ujednolicone rozwiązania zarządzania zagrożeniami

o   Symantec DLP

o   FireEye

o   Symantec Endpoint Solution

 

Tak

Nie

Ostrzeżenia i powiadomienia

Ostrzeżenia w czasie rzeczywistym

 

Tak

Tak

Powiadomienia – email, SMS

 

Tak

Tylko mailowo

Automatyczne włączanie skryptów  jako odpowiedź na ostrzeżenie

 

Tak

Nie

Ostrzeżenia zgodności

 

Tak

Tak

Wbudowany system zarządzania incydentami

 

Tak

Nie

Przesyłanie ticketów do zewnętrznego systemu help desk

 

Tak

Tak

Monitorowanie zagrożeń

Ostrzeżenia w czasie rzeczywistym dotyczący globalnych adresów IP znajdujących się na czarnej liście

 

Tak

Nie

Raporty

Monitorowanie integralności plików

 

Tak

Nie

Raporty „Canned”

Zwięzłe, sformatowane raporty

Tak

Nie

Własne raporty

 

Tak

Nie

Zaplanowane raporty

 

Tak

Nie

Dystrybucja raportów drogą mailową

 

Tak

Nie

Raporty w formatach PDF, CSV oraz HTML

 

Tak

Tylko format PDF i CSV

Przejście do surowych logów

 

Tak

Nie

Raporty trendów

 

Tak

Tak

Raporty monitorujące aktywność użytkowników uprzywilejowanych

 

Tak

Tak

Wyszukiwanie logów

Zaawansowane szukanie logów z wykorzystaniem logicznych typów danych, wildcard’ów, wyszukiwaniu po grupie, zasięgu oraz frazy

 

Tak

Tak

Wyszukiwanie sformatowanych logów

 

Tak

Tak

Wyszukiwanie surowych logów

 

Tak

Nie

Zapisywanie wyniku wyszukiwania jako raportu i ostrzeżenia

 

Tak

Nie

Raporty zgodności

Raporty „Canned”

 

Tak

Tak

Dostosowywanie istniejących raportów

 

Tak

Tak

Tworzenie nowych raportów zgodności

 

Tak

Tak

PCI-DSS

 

Tak

Tak

HIPAA

 

Tak

Tak

FISMA

 

Tak

Tak

SOX

 

Tak

Tak

GLBA

 

Tak

Tak

ISO 27001

 

Tak

Tak

GDPR

 

Tak

Tak

CCPA

 

Tak

Tak

Korelacja zdarzeń w czasie rzeczywistym

Korelacja zdarzeń

 

Tak

Nie

Filtry kolumnowe do budowania zasad korlacji

Filtr kolumnowy to filtr pozwalający budować zapytania za pomocą gotowych zapytań

Tak

Nie

Predefiniowane zasady detekcji zróżnicowanych ataków, w tym ransomware, bruteforce itp

 

Tak

Nie

Monitorowanie sesji użytkownika

 

Tak

Nie

Monitorowanie integralności plików

Raporty monitorowania integralności plików

 

Tak

Nie

Harmonogram raportów

 

Tak

Nie

Ostrzeżenia podczas krytycznych zmian na plikach/folderach w czasie rzeczywistym

 

Tak

Nie

Ścieżka audytu zmian na plikach/folderach

 

Tak

Nie

Archiwizacja logów

Elastyczna częstotliwość archiwizacji

 

Tak

Nie

Elastyczna retencja logów

Pozwala na sprawdzenie  o tym, kto, z kim i kiedy się łączył

Tak

Nie

Szyfrowanie logów

 

Tak

Nie

Możliwości dostosowania produktu

Widok oparty na użytkownikach

 

Tak

Tak

Tablice z danymi oparte na użytkownikach

 

Tak

Nie

Rebranding

 

Tak

Nie

Zarządzanie użytkownikiem

Dostęp oparty o obszar i użytkownika

 

Tak

Tak

Uwierzytelnianie użytkowników w Active Directory

 

Tak

Nie

Uwierzytelnianie użytkowników na podstawie serwera RADIUS

 

Tak

Nie

Wymagania systemowe

Baza danych (PostgreSQL/MySQL)

 

Tak

Nie

Wsparcie systemów Windows oraz Linux

 

Tak

Agent dostępny jest tylko na platformę Windows

64-bitowy system

 

Tak

Tak

Wycena

Podstawa wyceny

 

Bazowana na liczbie serwerów, urządzeń oraz aplikacji

Bazowana na ilości miejsca zajmowanego przez logi

Licencjonowanie roczne

 

Tak

Tak

Licencjonowanie wieczyste

 

Tak

Nie

Dzięki aplikacji LOG360 jesteśmy w stanie skutecznie badać sieć oraz zbierać logi. Wersja On-premise oferuje bardzo dużo funkcji skierowanych do firm z dużą ilością urządzeń takich jak firewall itp. Dzięki temu umożliwia nam automatyzację, która pozwala na szybką reakcję i poradzenie sobie z problemem podczas gdy nie ma nas przy komputerze. Natomiast wersja Cloud jest wersją mniejszą i zdecydowanie sprawdzi się w sieci opartej głównie na chmurze. Umożliwia podstawowe funkcje aplikacji typu SIEM wystarczające do podstawowych operacji. Podsumowując, przewagą wersji Cloud jest cena – produkt ten jest tańszy. Dlatego jeśli nie potrzebujemy tak wielu opcji jakie oferuje wersja On-premise to jest to idealne rozwiązanie dla firm.

 

18.10.2022

Autor: Patryk Ginter

Kategorie: Aktualności Artykuł

Patryk Ginter

Patryk Ginter

Junior ME Product Engineer

Posiada wiedzę związaną z obszarem IT software. Hobbystycznie działa w bazach danych, analizie danych oraz w Pythonie. W MWT Solutions odpowiada za wsparcie klientów końcowych w funkcjonalności i sprawności produktów ManageEngine z dziedziny IT Operations, IT Security oraz AD.

Newsletter. Bądź na bieżąco.

Kontakt

MWT SOLUTIONS S.A.

ul. Szyperska 14, 61-754 Poznań

Napisz do nas: