統整事件之餘，LogRhythm能偵測與反制進階威脅

針對進階威脅，資安事件管理平臺廠商LogRhythm，他們旗下同名安全事件管理軟體，可透過人工智慧機制，對於內部使用者的行為進行分析，並將有關事件彙整。LogRhythm在統整各種類型與廠牌的產品Log之餘，更重視未知進階攻擊的預測能力，其中，針對內部使用者威脅分析（UEBA或UBA），以及端點偵測反制（EDR），LogRhythm都有相關的模組可選。同時，這款SIEM平臺提供了自動反制模組SmartResponse，讓企業選用，在同類型產品中算是相當少見。

在2016年7月，LogRhythm推出的7.2重大改版，對於延展性、機器資料學習、使用者行為分析，以及嵌入式系統的安全管理，自動化維護的部分，進行強化。

LogRhythm的警示通知中，以分數標示每個事件通知，並以紅色顯示管理者應該優先處理的項目。

大致來說，這款軟體改版的頻率相當高，在7.2版推出之後，截至2016年底，就有多達3次的小幅更新。最近一次改版是7.2.3，LogRhythm納入了用戶情資交換平臺Threat Analytics Cloud（TAC），可與其他用戶共享已經分析的威脅情報。

在TAC之外，LogRhythm能夠支援匯整的情資來源，也包含TAXII與STIX等標準資料格式，以及企業向Symantec、Webroot、Cisco等廠商購買的情資。此外，這個平臺也可讀取來自Tor Network、Malware Domains等網站提供的開放情資。

LogRhythm可彙整各式設備事件的能力，原廠在系統中，已經內建超過900種廠牌與設備的資料格式，其中也包含Office 365、Box、Salesforces等SaaS服務，LogRhythm能夠直接整合，並在儀表板中呈現。

由於在儀表板中，LogRhythm彙整了各式設備的事件記錄，如果管理者只想針對特定的項目檢視有關資訊，可點選圖表中代表的區塊，就可快速切換，而且，其他相關的圖表也會跟著呈現對應的內容。以圖中為例，隨著管理者操作時，在其中一個圖表中指定想要檢視的條件，像圖中的最常見事件、最多記錄來源類型、事件中最多的端點電腦IP位址等圖表，也會跟著變化。

此外，針對已歸納的事件屬性，LogRhythm透過下拉式選單提供相關項目，因此，在管理者搜尋或調查事件時，大部分的情況，不需考量各種設備的資料格式差異，幾乎只要透過點選即可執行。在選單之外，這個平臺同時提供自然語法模式，讓管理者調查時，也能指定較多的搜尋條件。

針對搜尋的功能，LogRhythm可用的方式包含條件搜尋，以及自然語法兩種，此外，也可以透過以往搜尋的記錄，選擇想要尋找的資料。

值得一提的是，在管理介面中，LogRhythm提供了大量圖表資訊，並且內建豐富的模版，管理者可自行配置所需檢視的項目，也能直接拖曳，安排擺放的位置。針對想要進一步調查的資料，管理者只需在圖表上的某個區塊（或區段）點選，就能瀏覽較為詳細的內容。

產品資訊

LogRhythm 7.2
●代理商：漢領國際(02)8228-6983
●建議售價：廠商未提供
●核心元件：資料處理、資料索引、管理平臺模組
●支援情資來源：STIX、TAXII等
●法規遵循：ISO 27001、HIPAA、PCI DSS等14種
●可監控的端點平臺：Windows、AIX、Debian、HP-UX、RHEL、Solaris等

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】