Architektura: EventLog Analyzer

Funkcje
Zarządzanie dziennikami
Zarządzanie dziennikiem aplikacji
Audyt zgodności IT
- Raporty inspekcji zgodności
SIEM
Monitorowanie urządzeń sieciowych
Zarządzanie logami punktów końcowych
- Inspekcja urządzeń wymiennych
Raporty monitorowania systemu i użytkowników
Więcej funkcji
- Analiza dzienników serwerów druku
- Inspekcje i raportowanie Linux

Wersja autonomiczna

Narzędzie EventLog Analyzer jest rozwiązaniem do zarządzania dziennikami i zgodnością IT przedsiębiorstw. Jest ono oparte na wykorzystaniu sieci Web i stosuje zarówno mechanizmy bez wykorzystania agenta, jak i z wykorzystaniem agenta do zbierania dzienników ze źródeł dzienników w całej sieci użytkownika, dostarczając jednocześnie dogłębnych raportów, alertów i analiz bezpieczeństwa.

Główne moduły, jakie ma do zaoferowania program EventLog Analyzer:

Silnik analizy składniowej: Filtruje dzienniki, które nie są potrzebne — zgodnie z konfiguracją administratora — i normalizuje pierwotne dane dziennika do standardowego formatu.
Centralna baza danych: Przechowuje pierwotne i znormalizowane dane rejestrowe ze wszystkich urządzeń i aplikacji w całej sieci użytkownika, a także dane z raportów i dane o globalnych zagrożeniach. Domyślną bazą danych, która jest instalowana z produktem jest PostgreSQL. Alternatywnie, użytkownicy mają możliwość migracji do baz danych Microsoft SQL Server lub MySQL.
Konstruktor raportów: Przetwarza pierwotne i znormalizowane dane rejestrowe w celu stworzenia ponad tysiąca wstępnie zdefiniowanych raportów, w tym raportów zgodności, a także raportów niestandardowych. Narzędzie EventLog Analyzer generuje i wysyła zaplanowane raporty, a także eksportuje je w razie potrzeby.
Alerty i zarządzanie zdarzeniami: Wysyła powiadomienia e-mail i SMS w oparciu o skonfigurowane profile alertów; przypisuje zdarzenia do wyznaczonych techników i przechowuje statusy oraz powiązane informacje dla każdego zdarzenia.
Zautomatyzowane przepływy pracy: Automatyzacja odpowiedzi na zdarzenia dzięki wstępnie zdefiniowanym przepływom pracy, które uruchamiają się po wyzwoleniu alertów.
Wyszukiwarka dzienników: Przeszukuje miliony dzienników w ciągu kilku sekund. Wyszukiwarka oparta jest na silniku Elasticsearch.
Monitorowanie integralności plików: Wykorzystuje dzienniki serwera plików do monitorowania całej aktywności zachodzącej w krytycznych plikach i folderach oraz generuje szczegółowe raporty dotyczące integralności plików.
Silnik korelacji: Koreluje dzienniki z heterogenicznych źródeł w celu identyfikacji potencjalnych ataków i generuje dogłębne, zagregowane raporty o zdarzeniach i alerty bezpieczeństwa.
Analiza zagrożeń: Regularnie pobiera i przechowuje dane o zagrożeniach z popularnych kanałów zagrożeń opartych na standardach STIX/TAXII, jak również z innych kanałów open source. Moduł porównuje te dane ze zdarzeniami sieciowymi, a następnie generuje alerty o zagrożeniach w przypadku wykrycia złośliwych podmiotów wchodzących w interakcję z siecią.

EventLog Analyzer Architecture

Wersja rozproszona

Rozproszona wersja programu EventLog Analyzer jest przydatna, gdy sieć składa się z ponad tysiąca źródeł dzienników lub jest rozproszona w wielu regionach geograficznych. Jest to również idealny model do wdrożenia przez dostawców zarządzanych usług bezpieczeństwa (MSSP). To rozwiązanie korzysta z architektury rozproszonej, w której wiele zarządzanych serwerów jest kontrolowanych przez jeden, centralny serwer administracyjny.

Serwer administracyjny: Centralny serwer, który zapewnia administratorowi kontrolę nad całą siecią.
Serwer zarządzany: Każdy serwer zarządzany nadzoruje mniejszą część sieci i działa dokładnie tak, jak opisana powyżej wersja autonomiczna.