針對進階威脅,資安事件管理平臺廠商LogRhythm,他們旗下同名安全事件管理軟體,可透過人工智慧機制,對於內部使用者的行為進行分析,並將有關事件彙整。LogRhythm在統整各種類型與廠牌的產品Log之餘,更重視未知進階攻擊的預測能力,其中,針對內部使用者威脅分析(UEBA或UBA),以及端點偵測反制(EDR),LogRhythm都有相關的模組可選。同時,這款SIEM平臺提供了自動反制模組SmartResponse,讓企業選用,在同類型產品中算是相當少見。

在2016年7月,LogRhythm推出的7.2重大改版,對於延展性、機器資料學習、使用者行為分析,以及嵌入式系統的安全管理,自動化維護的部分,進行強化。

LogRhythm的警示通知中,以分數標示每個事件通知,並以紅色顯示管理者應該優先處理的項目。

大致來說,這款軟體改版的頻率相當高,在7.2版推出之後,截至2016年底,就有多達3次的小幅更新。最近一次改版是7.2.3,LogRhythm納入了用戶情資交換平臺Threat Analytics Cloud(TAC),可與其他用戶共享已經分析的威脅情報。

在TAC之外,LogRhythm能夠支援匯整的情資來源,也包含TAXII與STIX等標準資料格式,以及企業向Symantec、Webroot、Cisco等廠商購買的情資。此外,這個平臺也可讀取來自Tor Network、Malware Domains等網站提供的開放情資。

LogRhythm可彙整各式設備事件的能力,原廠在系統中,已經內建超過900種廠牌與設備的資料格式,其中也包含Office 365、Box、Salesforces等SaaS服務,LogRhythm能夠直接整合,並在儀表板中呈現。

由於在儀表板中,LogRhythm彙整了各式設備的事件記錄,如果管理者只想針對特定的項目檢視有關資訊,可點選圖表中代表的區塊,就可快速切換,而且,其他相關的圖表也會跟著呈現對應的內容。以圖中為例,隨著管理者操作時,在其中一個圖表中指定想要檢視的條件,像圖中的最常見事件、最多記錄來源類型、事件中最多的端點電腦IP位址等圖表,也會跟著變化。

此外,針對已歸納的事件屬性,LogRhythm透過下拉式選單提供相關項目,因此,在管理者搜尋或調查事件時,大部分的情況,不需考量各種設備的資料格式差異,幾乎只要透過點選即可執行。在選單之外,這個平臺同時提供自然語法模式,讓管理者調查時,也能指定較多的搜尋條件。

針對搜尋的功能,LogRhythm可用的方式包含條件搜尋,以及自然語法兩種,此外,也可以透過以往搜尋的記錄,選擇想要尋找的資料。

值得一提的是,在管理介面中,LogRhythm提供了大量圖表資訊,並且內建豐富的模版,管理者可自行配置所需檢視的項目,也能直接拖曳,安排擺放的位置。針對想要進一步調查的資料,管理者只需在圖表上的某個區塊(或區段)點選,就能瀏覽較為詳細的內容。

產品資訊

LogRhythm 7.2
●代理商:漢領國際(02)8228-6983
●建議售價:廠商未提供
●核心元件:資料處理、資料索引、管理平臺模組
●支援情資來源:STIX、TAXII等
●法規遵循:ISO 27001、HIPAA、PCI DSS等14種
●可監控的端點平臺:Windows、AIX、Debian、HP-UX、RHEL、Solaris等

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容