31.10.2023

Autor: Michal Hrinda

Kategorie: Články, Novinky

EventLog Analyzer je komplexní řešení pro správu protokolů a správu informací a událostí v oblasti bezpečnosti (SIEM) vyvinuté firmou ManageEngine. Jak ELA zajistí, aby naše organizace byla pod kontrolou a zásadní protokoly byly v souladu s bezpečnostními opatřeními a politikami, které považujeme v naší organizaci za povinné: 

Sběr protokolů:

EventLog Analyzer může sbírat protokoly z širokého spektra zdrojů, včetně serverů Windows a Linux, síťových zařízení, firewalů, aplikací a dalších. Podporuje různé formáty protokolů, jako jsou syslog, protokoly událostí Windows a protokoly W3C, pomocí protokolů jako SNMP, FTP a HTTPS. Proces sběru protokolů zahrnuje analýzu, normalizaci a indexaci protokolů pro efektivní analýzu. 

Monitorování protokolů v reálném čase:

Monitorování protokolů v reálném čase zahrnuje nepřetržité sledování a analýzu příchozích dat protokolů. EventLog Analyzer využívá pravidel pro korelaci událostí v reálném čase a mechanismy upozorňování k detekci bezpečnostních incidentů v okamžiku jejich výskytu. Zpracovává protokoly téměř v reálném čase, což zajišťuje rychlou detekci a reakci na bezpečnostní události. 

Ukládání a archivace protokolů:

Protokoly jsou bezpečně ukládány ve strukturované databázi. EventLog Analyzer podporuje jak relační databáze (např. MySQL, MS SQL), tak databáze NoSQL (např. Elasticsearch) pro škálovatelné a výkonné ukládání protokolů. Archivace protokolů zajišťuje dlouhodobé uchování protokolů pro dodržování předpisů a historickou analýzu. 

Vyhledávání a dotazování protokolů:

Řešení nabízí silný dotazovací jazyk, často založený na SQL, pro vyhledávání a filtrování protokolů podle specifických kritérií. Pokročilé mechanismy indexace a mezipaměti urychlují načítání protokolů, což zajišťuje, že uživatelé rychle najdou relevantní data protokolů k analýze. 

Pravidla korelace a detekce hrozeb:

EventLog Analyzer využívá pravidel korelace k identifikaci vzorců a vztahů v datech protokolů. Tyto pravidla lze přizpůsobit pomocí složité booleovské logiky a regulárních výrazů. Řešení využívá informační kanály o hrozbách a algoritmy detekce anomálií založené na chování k detekci bezpečnostních hrozeb a generování upozornění. 

Zprávy o dodržování předpisů:

Zprávy o dodržování předpisů jsou generovány analýzou protokolů a porovnáním dat protokolů s předem definovanými standardy dodržování předpisů, jako jsou HIPAA, PCI DSS nebo GDPR. EventLog Analyzer využívá šablony a vlastní skripty k extrakci relevantních informací z protokolů a prezentuje je v zprávách o dodržování předpisů. 

Analýza chování uživatelů a entit (UEBA):

UEBA zahrnuje profilování chování uživatelů a entit na základě historických dat protokolů. EventLog Analyzer aplikuje algoritmy strojového učení k identifikaci neobvyklých vzorců chování, které by mohly indikovat vnitřní hrozby nebo kompromitované účty. Stanovuje základní úrovně a aktivuje upozornění při odchylkách. 

Řízení incidentů a automatizace pracovních postupů:

EventLog Analyzer umožňuje vytváření pracovních postupů pro řízení incidentů pomocí přizpůsobitelných skriptů a akcí. Když je detekován bezpečnostní incident, mohou být spuštěny automatizované reakce, jako jsou odeslání upozornění, blokování IP adres nebo spuštění nápravných skriptů. 

Předávání protokolů a integrace:

Řešení podporuje předávání protokolů externím SIEM systémům nebo platformám pro řízení bezpečnostních událostí pomocí standardních protokolů, jako jsou syslogCommon Event Format (CEF). Nabízí také integrační řešení pro různé nástroje IT bezpečnosti a SIEM řešení pro plynulé sdílení dat a reakci na incidenty. 

Řízení přístupu na základě rolí:

EventLog Analyzer vynucuje řízení přístupu na základě rolí prostřednictvím integrace s LDAP, Active Directory nebo SAML. Uživatelům jsou přiřazeny role a oprávnění, která určují jejich přístup k protokolům, zprávám a funkcím systému. Jemně granulovaná kontrola přístupu je implementována na úrovni protokolu. 

Škálovatelnost a vysoká dostupnost:

EventLog Analyzer je navržen pro škálovatelnost a vysokou dostupnost. Podporuje horizontální škálování rozdělením zpracování protokolů mezi více serverů nebo uzly. Mechanismy vyrovnávací paměti a přepínání zajišťují nepřerušenou správu a analýzu protokolů. 

Šifrování protokolů a zabezpečená komunikace:

Data protokolů jsou šifrována jak při přenosu, tak v klidu. Zabezpečené komunikační protokoly, jako je TLS/SSL, se používají k šifrování dat během sběru a přenosu protokolů, zatímco algoritmy šifrování dat chrání protokoly uložené v databázích. 

EventLog Analyzer je sofistikované řešení SIEM, které kombinuje správu protokolů, monitorování v reálném čase a schopnosti detekce hrozeb. Jeho technické vlastnosti a funkce umožňují organizacím proaktivně identifikovat a reagovat na bezpečnostní incidenty, dodržovat regulační požadavky a získávat cenné poznatky z jejich dat protokolů. 

 

31.10.2023

Autor: Michal Hrinda

Kategorie: Články Novinky

Newsletter – zůstaňte v obraze!