A ManageEngine Log360 szerepelt a GigaOm Radar Automated Security Operations Management (ASOM) jelentésében, amelyet 2022 októberében tettek közzé, és Logan Andrew Green írt. A kutatócég jelentése mélyreható tanulmányt tartalmaz a piac néhány fő szállítója által kínált megoldásokról, és kiemeli a Log360-at, mint az ASOM szektor kihívóját.
A Log360 a ManageEngine egyesített SIEM-megoldása integrált DLP- és CASB-képességekkel. Segít észlelni, rangsorolni, kivizsgálni és reagálni a biztonsági fenyegetésekre. Egyesíti a fenyegetésintelligenciát, a gépi tanuláson alapuló anomália-észlelést és a szabályalapú támadásészlelési technikákat, és incidenskezelő konzolt kínál az észlelt fenyegetések hatékony orvoslására.
ASOM: Új integrált kategória
A GigaOm úgy véli, hogy a mai gyorsan változó fenyegetési környezetben fontos a biztonsági információ- és eseménykezelési (SIEM) megoldások integrálása a biztonsági koordinációs, automatizálási és válaszadási (SOAR) eszközökkel, hogy az elemzők hatékonyabban tudják kezelni a fenyegetéseket. Ezt az új integrált kategóriát a GigaOm automatizált biztonsági műveletkezelésként (ASOM) határozta meg.
A jelentés a kiemelt szállítókat a következők alapján értékeli:
- Két korábbi GigaOm-jelentés megállapításai: „A biztonsági és információs események kezelésének kiértékelésének legfontosabb kritériumai” és „A biztonsági koordináció és az automatizálási válasz értékelésének kulcsfontosságú kritériumai”.
- A megoldás funkcionalitása.
- A megoldás SIEM és SOAR integrációjának mértéke.
Az értékelés után a szállítókat vizuális grafikonon helyezik el. Az elhelyezés megmutatja, hogy a szállító Challenger vagy „gyorsreagálású”-e, és hogy kiforrott vagy innovatív szervezet-e. A fenti paraméterek együttesen képet adnak a szállítók végrehajtási képességeiről, a jövőbeni ütemtervről, az innovációs képességről, a megközelítésről, az ökoszisztémán belüli erősségről stb. Ezek az intézkedések pedig segítenek meghatározni a radargrafika négy sarkát: érettség és innováció; Challenger és Fast Mover.
A ManageEngine SIEM-megoldása, a Log360 Challenger és Fast Moverként kerül a radaron; a vezetőközpontú központ felé is halad. Továbbá a diagram Platform Play oldalán található, jelezve, hogy integrált SIEM/SOAR terméket biztosít. Az érettséget az innovációval összehasonlító függőleges tengely mentén a ManageEngine moduláris megoldása az innováció oldala felé helyezkedik el.
A jelentés a ManageEngine termékcsomagjára, mint a SIEM Svájci bicska megoldására hivatkozva a Log360 következő erősségeit emeli ki:
- Piaci szegmentáció
- A naplózás és megfelelőség-kezelés SIEM-szolgáltatásai
- SIEM-SOAR integráció
- ML-hez kapcsolódó fejlesztések
Piaci szegmentáció
A Log360 kiterjesztette szárnyait különböző piaci kategóriákra, például kis- és középvállalkozásokra (SMB-k), nagyvállalatokra, szabályozott iparágakra, menedzselt biztonsági szolgáltatókra (MSSP-k) és hálózati szolgáltatókra. A Log360-nak koncentrált piaca van az Egyesült Államokban, megveti a lábát az európai országokban, és tovább terjeszti piacát a közel-keleti országokra és Indiára. A ManageEngine tekintélyes ügyfélköréhez tartozik többek között az eBay, az IBM, a Toshiba, az L&T Infotech és a Cisco, amelyek különböző iparágakra terjednek ki.
A SIEM jellemzői: Naplózás és megfelelőségkezelés
A ManageEngine Log360 a piacon a legjobb SIEM-funkciók egyikével rendelkezik. Több mint 750 forrásból tud adatokat gyűjteni, beleértve a szervereket, alkalmazásokat, munkaállomásokat, sebezhetőség-ellenőrzőket, virtuális környezeteket, adatbázisokat, fenyegetésmegoldásokat és felhőinfrastruktúrákat, majd ezeket elemzi a biztonsági fenyegetések észlelése érdekében. Ezzel a biztonsági elemzők kivizsgálhatják a fenyegetéseket, elemezhetik és incidensként jelölhetik meg őket, és az automatikus munkafolyamat-képességekkel gyorsan orvosolhatják azokat. A Log360 szabályalapú, aláírás-alapú és gépi tanuláson alapuló fenyegetésészlelési képességekkel rendelkezik valós idejű korrelációs motorjával, a MITER ATT&CK fenyegetésmodellezési keretrendszer elfogadásával és az UEBA modullal.
A Log360 korrelációs motorja előre beépített szabályokkal rendelkezik az ismert fenyegetések és támadások észlelésére, mint például a brute force, a zsarolóprogramok különféle törzsei és még sok más. Ez a motor integrálva van a válaszmodullal a támadások visszaszorítására szolgáló automatikus munkafolyamat-végrehajtáshoz. A korrelációs motor részletes incidens idővonalat is biztosít a felhasználóknak, hogy segítse a jogsértés utáni hatáselemzést. Ezenkívül a megoldás a MITER ATT&CK fenyegetésmodellező keretrendszert alkalmazza az ellenfelek által használt különféle taktikák és technikák észlelésére. A technikák korrelálhatók a teljes támadási minta különböző szakaszokban történő nyomon követéséhez, és részletes munkafolyamat-műveletek is beállíthatók a támadás terjedésének megállítására. A Log360 emellett képes IT-ellenőrzési jelentéseket generálni a különböző auditálási szabványok (például SOX, HIPAA, GLBA, FISMA és PCI DSS) követelményei szerint, valamint egyéni jelentéseket generálni más megfelelőségi követelményekhez.
SIEM-SOAR integráció
A SIEM-SOAR integráció napjaink egyik legkeresettebb kombinációja a vállalatok körében. Az integrált SIEM-SOAR megoldások lehetővé teszik a felhasználó számára, hogy kezelje az összes SIEM-tevékenységet, generálja a szükséges jelentéseket, és védekező válaszlépéseket szervezzen a fenyegetésekre. Ezenkívül lehetővé teszi az ilyen fenyegetésekkel szembeni megelőző intézkedések automatizálását. A biztonsági műveleti központ (SOC) elemzői a jegyértékesítő rendszerekkel való integráció segítségével kezelhetik az incidenseket, és a riasztást követően azonnal hozzárendelhetik azokat a megfelelő rendszergazdákhoz. A Log360 átfogó incidenskezelési irányítópultot biztosít, amely segít az elemzőknek SOC-ik teljesítményének mérésében és optimalizálásában. Az incidens irányítópultja olyan kulcsfontosságú mérőszámokat ad meg, mint az átlagos észlelési idő (MTTD), az átlagos megoldási idő (MTTR), valamint a késedelmes és felügyelet nélküli események. A Log360 integrálható olyan help desk szoftverekkel, mint a ManageEngine ServiceDesk Plus, Jira Service Desk, Zendesk, ServiceNow és még sok más.
Az ML-hez kapcsolódó fejlesztések
A gépi tanulás (ML) és a mesterséges intelligencia (AI) minden technológiával kapcsolatos megoldás üzemanyagává válik, így az ML és a mesterséges intelligencia alapú biztonsági megoldások alapvető eleme. A ManageEngine Log360 sikeresen beépíti az ML és az AI képességeit. A különféle fenyegetéselemző gyártóktól származó fenyegetés-feedekkel a Log360 gyorsan képes észlelni a fenyegetéseket. A SIEM-megoldások ML-innovációi fejlett UEBA-hoz vagy anomália-észleléshez vezettek: A hálózaton belüli felhasználó vagy entitás által végzett bármilyen rendellenes tevékenység észlelésének folyamata. A rendszer összegyűjti a naplóforrásokból származó adatokat, és az ML algoritmus modellek tanulmányozzák az adatokat, hogy egy adott felhasználó vagy entitás alapvonalát dolgozzák ki. Például egy szokatlan időpontban történő bejelentkezés vagy kijelentkezés anomáliát vált ki, ami figyelmezteti az elemzőt. Hasonlóképpen, minden rendellenes fájltörlés észlelhető, és riasztást küldhet. Az UEBA tovább javítható szezonalitás- és csoportelemzéssel, hogy pontosabb legyen a fenyegetésészlelés. A szezonalitás alapos megértéséhez olvasson itt többet.
Az elemző nézete
A GigaOm jelentés kiemeli, hogy az ASOM-megoldások a jelenlegi iparági kereslet, mivel készen kapható, átfogó eszközt kínálnak az elemzők számára a legtöbb biztonsági tevékenység kezeléséhez. Ez azonban arra is utal, hogy az ASOM-megoldások rendkívül összetettek, és sok vállalat keresi a megfizethető, SOAR- és UEBA-képességekkel rendelkező SIEM-megoldásokat. Noha a SIEM-szolgáltatásként vagy felügyelt SIEM-ajánlatok jól jönnek, előfordulhat, hogy hiányzik belőlük az ügyfél műszaki ismerete és kulturális ismerete.
A GigaOm jelentés kiemeli, hogy az ASOM-megoldások a jelenlegi iparági kereslet, mivel készen kapható, átfogó eszközt kínálnak az elemzők számára a legtöbb biztonsági tevékenység kezeléséhez. Ez azonban arra is utal, hogy az ASOM-megoldások rendkívül összetettek, és sok vállalat keresi a megfizethető, SOAR- és UEBA-képességekkel rendelkező SIEM-megoldásokat. Noha a SIEM-szolgáltatásként vagy felügyelt SIEM-ajánlatok jól jönnek, előfordulhat, hogy hiányzik belőlük az ügyfél műszaki ismerete és kulturális ismerete.
2023 március 24
Szerző: Orosz-Rizák Gergely
Kategória: Cikk Hírek