Versão autônoma

EventLog Analyzer é uma solução de gerenciamento de logs e conformidade de TI para a sua empresa. Ele é baseado na web e usa mecanismos sem agente e baseados em agente para coletar logs de origens em sua rede, fornecendo relatórios, alertas e análises de segurança detalhados.

Os principais módulos que a solução fornece:

• Mecanismo de análise: filtra logs que não são necessários — conforme configurado pelo administrador — e normaliza logs brutos para um formato padrão.
• Banco de dados centralut: armazena logs brutos e normalizados de todos os dispositivos e aplicações em sua rede, bem como relatórios de dados e inteligência global sobre ameaças. O banco de dados padrão instalado com o produto é o PostgreSQL. Como alternativa, os usuários têm a opção de migrar para bancos de dados do Microsoft SQL Server ou do MySQL.
• Construtor de relatórios: processa os logs brutos e normalizados para criar mais de mil relatórios predefinidos - incluindo de conformidade - e também personalizados. O EventLog Analyzer gera e envia relatórios agendados, além de exportar sob demanda.
• Gerenciamento de alertas e incidentes: envia notificações por e-mail e SMS com base nos perfis de alertas configurados; atribui incidentes a técnicos específicos e armazena o status e as informações relacionadas a cada um deles.
• Fluxos de trabalho automatizados: automatiza a resposta ao incidente por meio de fluxos de trabalho predefinidos que são disparados quando os alertas são acionados.
• Mecanismo de pesquisa de logs: pesquisa milhões de logs em segundos. O mecanismo de pesquisa é baseado no Elasticsearch.
• Monitoramento da integridade do arquivo: Usa logs do servidor de arquivos para monitorar todas as atividades em arquivos e pastas críticos e gerar relatórios detalhados de integridade de arquivos.
• Mecanismo de correlação: correlaciona logs de fontes heterogêneas para identificar possíveis ataques e gera relatórios de incidentes agregados detalhados e alertas de segurança.
• Inteligência contra ameaças: extrai e armazena periodicamente dados de ameaças de feeds populares baseados em STIX/TAXII, bem como de outros feeds de código aberto. O módulo compara esses dados com eventos de rede e gera alertas quando detecta entidades maliciosas interagindo com sua rede.

Versão distribuída

A versão distribuída do EventLog Analyzer é útil quando sua rede consiste em mais de mil fontes de log ou se ela está distribuída em várias regiões geográficas. Também é o modelo perfeito para implantação por prestadores de serviços de segurança gerenciados (MSSPs). Segue uma arquitetura distribuída com vários servidores gerenciados controlados por um único de gerenciamento central.

• Servidor administrador: um servidor central que fornece ao administrador controle sobre toda a rede.
• Servidor gerenciado: cada servidor gerenciado monitora uma porção menor da rede e funciona exatamente como a versão autônoma descrita acima