Arquitetura da solução
Arquitetura do Log30
O Log360 é uma solução completa de gerenciamento de informações e eventos de segurança (SIEM) que o ajuda a impedir ataques internos e externos proativamente; identificar, resolver e conter ameaças à segurança; e melhorar sua conformidade Ele faz isso integrando componentes e módulos como gerenciamento de logs, auditoria do Active Directory (AD), monitoramento do Exchange Server, relatórios de infraestrutura de nuvem, e muito mais, de maneira transparente.
Com o Log360, você pode obter controle total sobre sua rede e auditar mudanças no AD, logs de dispositivos de rede, Microsoft Exchange Servers, Microsoft Exchange Online, Azure Active Directory e sua infraestrutura de nuvem pública, tudo isso em um único console.
Módulos do Log360
- Coleta de logs
Coleta logs de várias fontes, como firewalls, sistemas Windows, sistemas Unix/Linux, aplicações, bancos de dados, roteadores, switches e sistemas de detecção de intrusão (IDSs)/sistemas de prevenção de intrusões (IPSs). A solução oferece suporte imediato a mais de 700 fontes de logs para análise. Além disso, ela também oferece um analisador de logs personalizado para analisar dados de logs de dispositivos não suportados.
- Análises de segurança de logs
A solução também oferece modelos de relatórios de segurança predefinidos, perfis de alerta, regras de correlação e perfis de fluxo de trabalho para detectar, analisar e mitigar ataques e incidentes de maneira eficaz.
- Modelos de relatório predefinidos
Ela inclui uma biblioteca de relatórios integrada com mais de 1.000 relatórios predefinidos. Os relatórios são gerados instantaneamente sempre que os logs são coletados, reduzindo a sobrecarga de auditoria das organizações ao apresentar apenas as informações mais importantes. Esses relatórios ajudam as organizações a analisar suas redes e atender a vários requisitos de segurança e conformidade.
- Sistema de resposta a eventos em tempo real com perfis de alerta e fluxo de trabalho
Permite que você responda a eventos críticos de segurança prontamente. Envia notificações por e-mail e SMS com base nos perfis de alerta configurados; atribui incidentes a técnicos designados e armazena os status e informações relacionadas a cada incidente.
- Mecanismo de correlação em tempo real
Ajuda-o a identificar os padrões de ataque definidos nos seus logs com eficiência. Ele também fornece alertas em tempo real e relatórios intuitivos que o ajudam a tomar medidas oportunas para mitigar o impacto dos ataques. O Log360 também é integrado às ferramentas de ITIL®, ServiceNow e ServiceDesk Plus da ManageEngine para alinhar os serviços de TI para resolver incidentes com eficiência. Seu poderoso mecanismo de busca ajuda-o a pesquisar registros facilmente, independentemente do volume de dados.
- Arquivamento de logs
Arquiva automaticamente todos os logs de eventos e syslogs coletados de dispositivos Windows e UNIX, roteadores, switches e outros dispositivos syslog. O arquivo de logs de eventos é inestimável na análise forense e determinação de estatísticas de desempenho e uso de um dispositivo. Os dados de logs arquivados são criptografados e marcados com data e hora para garantir que os arquivos de dados arquivados sejam à prova de violação. O período padrão de compactação de logs é de sete dias e pode ser personalizado de acordo com as necessidades da organização. O arquivamento também pode ser desabilitado completamente, embora isso não seja recomendado.
- Gerenciamento de incidentes
O console de gerenciamento de incidentes reúne eventos, relatórios, pesquisas de logs e alertas que são adicionados manualmente como incidentes ou capturados utilizando regras predefinidas. Conforme incidentes de segurança são detectados pelo mecanismo de correlação do Log360 e pelo módulo de análise de comportamento baseado em machine learning, o console de incidentes ajuda a criar tickets, gerenciar e rastrear o status dos incidentes, automatizar a atribuição de técnicos ou administradores, ativar fluxos de trabalho e observar métricas do SOC, como tempo médio de detecção (MTTD) e tempo médio de resposta (MTTR). Os usuários também podem criar fluxos de trabalho personalizados para mitigar o impacto do ataque.
- Análise de comportamento de usuários e entidades (UEBA)
Analisa logs de diferentes fontes, incluindo firewalls, roteadores, estações de trabalho, bancos de dados e servidores de arquivos. Qualquer desvio do comportamento normal é classificado como uma anomalia de tempo, contagem ou padrão. Em seguida, ele fornece uma visão prática ao administrador de TI com o uso de pontuações de risco, tendências de anomalias e relatórios intuitivos.
- Análise avançada de ameaças
Ajuda a detectar qualquer comunicação com diversas fontes maliciosas externas conhecidas. Sua integração incorporada com o Webroot e seu serviço BrightCloud Threat Intelligence fornece insights detalhados sobre as ameaças que foram sinalizadas; as equipes de segurança podem analisar as pontuações de reputação de IPs e URLs e tomar as medidas corretivas apropriadas.
- Auditoria do Active Directory
Oferece mais de 200 relatórios específicos de eventos e alertas por e-mail em tempo real, o Log360 fornece conhecimento profundo sobre as mudanças realizadas no conteúdo e configuração do Active Directory, Azure AD e Windows Servers.
- Relatórios do Exchange
O Log360 pode gerar relatórios e auditar Microsoft Exchange servers com mais de 100 relatórios diferentes para cada aspecto de um ambiente do Exchange Server. Com esses relatórios, você pode realizar análises de tráfego do Exchange, obter relatórios detalhados sobre o uso do ActiveSync, e muito mais.
- Relatórios do M365
Um console singular que permite monitorar, auditar e criar alertas para atividades críticas relacionadas aos serviços do M365, como Exchange Online, Azure Active Directory, Skype for Business, OneDrive for Business, Microsoft Teams, entre outros.
- Monitoramento de nuvem
Combate preocupações com a segurança e protege sua nuvem. Ele oferece visibilidade completa das infraestruturas de nuvem da Amazon Web Services (AWS) e do Azure. Os relatórios completos , o mecanismo de pesquisa fácil e os perfis de alerta personalizáveis permitem que você rastreie, analise e reaja a eventos que ocorrem nos seus ambientes de nuvem, garantindo que sua empresa funcione sem problemas em uma nuvem segura e protegida.
