Log Manager a SIEM systémy

Co je to Log Management a SIEM?

Představte si log management jako černou skříňku vaší IT infrastruktury. Zaznamenává vše důležité, co se ve vašich systémech děje - od přihlášení uživatelů, přes chybové hlášky aplikací až po pokusy o průnik zvenčí. Díky tomu máte neustálý přehled o zdraví vašeho IT.

Proč je to tak zásadní v oblasti kybernetické bezpečnosti?

1. Uchovávání logů na bezpečném úložišti umožňuje zpětně vyšetřovat události
2. Včasná detekce bezpečnostních incidentů díky stálému monitoringu
3. Efektivní řešení provozních problémů a ucelený přehled o vašem IT
4. Zajištění souladu s GDPR, NIS2 a dalšími předpisy
5. Vysoká bezpečnost díky možnosti napojení na SOC a nonstop dohledu
   SecOps

Základem je centralizovaný sběr logů ze všech důležitých zdrojů - serverů, aplikací, databází, sítě. Ty se pak ukládají do zabezpečeného uložiště pro další analýzu.

Analýza logů jako detektivní práce

Samotný sběr logů ale nestačí. To důležité se skrývá uvnitř, v jednotlivých záznamech. Je třeba je umět efektivně prohledávat, filtrovat a hlavně - dávat do souvislostí.
Představte si to jako skládání puzzle. Každý log je jedním dílkem. Sám o sobě vám moc neřekne. Ale když je správně poskládáte k sobě, začne se vám rýsovat celkový obrázek.

Automatizace a efektivita

Log management vám ale neslouží jen k lepšímu zabezpečení. Je to také mocný nástroj pro zvýšení efektivity vašeho IT týmu.
Vezměte si třeba řešení provozních problémů. Běžně to vypadá tak, že vám zavolá naštvaný uživatel, že mu nefunguje aplikace. Vy začnete zjišťovat proč, prokousáváte se logu na různých systémech, hledáte spojitosti. Zabere to hodiny, někdy dny.
S log managementem je to jiné. Máte všechny potřebné informace
pohromadě, přehledně a na jednom místě. Nastavíte si automatické alerty,které vás upozorní, kdyby něco nebylo v pořádku. Váš tým tak může proaktivně řešit potenciální problémy, dřív než se projeví navenek. A to je jen začátek. Log management umožňuje automatizovat a zefektivnit celou řadu činností - od reportingu pro manažery až po plnění požadavků auditu.

Cenově dostupný Log Management a SIEM systém

Nabízíme 3 varianty:
‍
-LogMan - sběr, archivace a analýza logů
-LogMan Plus - sběr, analýza a archivace logů s vybranými korelačními pravidly
-SIEM – plnohodnotný SIEM systém

Jak budeme postupovat?

1. Konzultace
2. Analýza IT prostředí nebo Bezpečnostní audit
3. Návrh systému LogMan nebo SIEM
4. Implementace na míru
5. Předání systému, zaškolení Vašeho týmu nebo dohled našimi specialisty včetně řešení detekovaných incidentů

Soulad s legislativou

Splnění požadavků vycházejících z nové směrnice Evropské Unie NIS2 a Zákona o kybernetické bezpečnosti č.181/2014 Sb., a Vyhlášky o
kybernetické bezpečnosti č. 82/2018 Sb. Uložení dat po dobu 18 měsíců k naplnění požadavků Zákona o Kybernetické bezpečnosti č.82/2018 (kritické, významné informační systémy), a normy ČSN ISO 27001:2013.

Podpora

Podpora od výrobce je k dispozici od první konzultace, přes nasazení až po provoz technologie. Veškeré otázky či asistenci vyřizuje team
bezpečnostních expertů a specialistů. Během prvních 3 měsíců od
nasazení probíhá tzv. Hyper Care období. V rámci této doby je nasazenívěnována zvýšená pozornost a péče, aby byl přechod do ostrého provozu co nejvíce plynulý.

Možnosti nasazení nástrojů LogMan a SIEM

On-premise neboli lokální nasazení
On-premise nasazení je možné realizovat dodáním softwarové licence (s instalací na hardware zákazníka), nebo jako dodávka celková, tj. softwarová licence a hardware.

Software as a service (SaaS)
Nejrychlejší a nejekonomičtější možnost nasazení logmanagementu. Řešení je dodáváno formou služby. Odpadá tak starost o hardware, správu a provoz technologie.

Cloud
Nasazení do cloudového prostředí zákazníka.

LogMan

Pomáhá rychle odhalit a analyzovat kybernetické hrozby i provozní incidenty a podává tak ucelený přehled o dění v IT infrastruktuře. Díky analýze dat v reálném čase lze okamžitě reagovat na kybernetickou událost nebo provozní incident. Nezměnitelně uložená data poskytují spolehlivý záznam incidentů pro účely vyšetření události a následné prevence.
‍
Hlavní výhody LogMan

1. Úplný přehled nad IT infrastrukturou a děním ve firmě
2. Snadné prohledávání a viditelnost veškerých logů
3. Přehledné a moderní uživatelské prostředí
4. Včasné odhalení potencionálních hrozeb či možných problémů a okamžitá reakce na ně
5. Velké množství předpřipravených vizualizací
6. Možnost rozšíření sady dashboardů o nové vizualizace dle individuálních potřeb zákazníka a jeho infrastruktury
7. Neomezený počet vizualizací či dashboardů bez vlivu na výkon technologie
8. Okamžitá reakce na události
9. Moderní nástroj bez historického zatížení a technologického dluhu
10. Bezproblémové připojování i nestandardních zdrojů logů
11. Tvorba vlastních detekčních pravidel bez nutnosti programování
12. Možnost rozšíření LogMan na plnohodnotný SIEM
13. V případě překročení objemu dat v rámci licence nedochází k zahození dat
14. Licenčně neomezené datové úložiště
15. Provoz i práce s nástrojem je intuitivní a nenáročná

Technické parametry LogMan

1. Podpora více než 350 různých zdrojů logů
2. Podpora sběru logů z desítek různých databází
3. Reportování a analýza dat v reálném čase
4. Snadné škálování nástroje dle růstu IT infrastruktury bez vlivu na výkon systému
5. Propustnost i více než 500 000 událostí za sekundu
6. Multi-user režim. Logman.io může najednou používat neomezené množství uživatelů
7. Multi-tenancy režim. Jedna fyzická instalace poskytuje více oddělených instancí
8. Propojitelnost Single Sign-on s Active Directory
9. TeskaLabs SeaCatAuth, pro autentizaci, autorizaci, správu uživatelksých rolí a řízení přístupů
10. TeskaLabs SP-Lang. Snadný a intuitivní výrazový jazyk pro psaní vlastních parserů a korelačních pravidel
11. Snadné napojení na Business Intelligence, Big Data a moduly strojového učení
12. Vysoká dostupnost, geograficky oddělený cluster
13. Distribuce v Docker kontejnerech
14. Garantovaná nezměnitelnost dat
15. Podpora cloudového řešení

LogMan Plus

Je kombinací log managementu s vybranými funkcemi SIEMu. Představuje tak ideální vykročení k plnohodnotnému SIEMu. LogMan Plus poskytuje ucelený přehled o vaší IT infrastruktuře a kybernetické bezpečnosti. Umožňuje logy snadno prohledávat, identifikovat a okamžitě reagovat na provozní události a bezpečnostní hrozby.
LogMan Plus je navržen tak, aby pomohl vaší organizaci fungovat rychleji a efektivněji.
‍
Hlavní výhody LogMan Plus

1. Úplný přehled nad IT infrastrukturou a děním ve firmě
2. Snadné prohledávání a viditelnost veškerých logů
3. Přehledné a moderní uživatelské prostředí
4. Včasné odhalení potencionálních hrozeb či možných problémů a okamžitá reakce na ně
5. Velké množství předpřipravených vizualizací
6. Možnost rozšíření sady dashboardů o nové vizualizace dle individuálních potřeb zákazníka a jeho infrastruktury
7. Neomezený počet vizualizací či dashboardů bez vlivu na výkon technologie
8. Okamžitá reakce na události
9. Moderní nástroj bez historického zatížení a technologického dluhu
10. Bezproblémové připojování i nestandardních zdrojů logů
11. Tvorba vlastních detekčních pravidel bez nutnosti programování
12. Tvorba vlastních korelačních pravidel dle individuálních potřeb
13. Možnost rozšíření LogMan Plus na plnohodnotný SIEM
14. V případě překročení objemu dat v rámci licence nedochází k zahození dat
15. Licenčně neomezené datové úložiště
16. Provoz i práce s nástrojem je intuitivní a nenáročná

Technické parametry LogMan Plus

1. Podpora více než 350 různých zdrojů logů
2. Podpora sběru logů z desítek různých databází
3. Reportování a analýza dat v reálném čase
4. Vybraná korelační pravidla
5. Snadné škálování nástroje dle růstu IT infrastruktury bez vlivu na výkon systému
6. Propustnost i více než 500 000 událostí za sekundu
7. Multi-user režim. Logman.io PLUS může najednou používat neomezené množství uživatelů
8. Multi-tenancy režim. Jedna fyzická instalace poskytuje více oddělených instancí
9. Propojitelnost Single Sign-on s Active Directory
10. TeskaLabs SeaCatAuth, pro autentizaci, autorizaci, správu uživatelksých rolí a řízení přístupů
11. TeskaLabs SP-Lang. Snadný a intuitivní výrazový jazyk pro psaní vlastních parserů a korelačních pravidel
12. Snadné napojení na Business Intelligence, Big Data a moduly strojového učení
13. Vysoká dostupnost, geograficky oddělený cluster
14. Distribuce v Docker kontejnerech
15. Garantovaná nezměnitelnost dat
16. Podpora cloudového řešení

SIEM systém

Hlavní přínosy SIEM

1. Včasný přehled nad událostmi z mnoha zařízení
2. Pružnější a rychlejší reakce na útoky
3. Automatické korelace
4. Automatické reakce na události
5. Kontrola přístupu k datům
6. Optimalizace IT bezpečnostních procesů
7. Zdokonalení bezpečnosti a řízení rizik
8. Nahrávání událostí pro účely forenzní analýzy

Klíčové funkce a vlastnosti SIEM

1. Proudové (stream) zpracování dat v reálném čase
2. Unikátní řešení High availability (HA) - dle požadavků ISO 27001:2013
3. Flexibilita – Architektura mikroslužeb podporuje vývoj nových funkcí,
   které lze snadno navázat na existující funkční celky. Výsledkem je
   vysoce flexibilní systém, který je schopný pružně reagovat na změny a nové požadavky.
4. Škálovatelnost – podpora horizontálního i vertikálního škálování
5. Web UI v českém a anglickém jazyce
6. Forenzní a reverzní analýza aktivit
7. Přímá podpora vývojového týmu
8. Otevřená platforma - nehrozí proprietární uzamčení (Vendor lock-in)
9. Jednoduché rozšíření na oblasti mimo cybersecurity, tj. Stavba real-time analytické platformy pro zákaznickou zkušenost (Customer Experience Management/CEM) a mnohé další
10. Single Sign On (SSO) propojitelné s podnikovou databází uživatelů
    (LDAP)
11. Rozsáhlé možnosti využití pro Business Inteligence, Big Data a Machine Learning

Technické parametry

1. Multitenance
2. Vysoká propustnost – trvalý příjem 100.000 EPS a více
3. Plně rozšiřitelné na active/active cluster s neomezeným počtem uzlů
4. Out of the box knihovny a tvorba vlastních detekčních pravidel bez
   nutnosti programování
5. Škálovatelný cluster ve výchozím nastavení (by default)
6. Neomezené diskové uložiště