Prehľad sumo logiky a alternatívy
Možno sa pýtate, či Sumo logika je nástroj SIEM, krátka odpoveď je áno. Vo svojom jadre Sumo Logic poskytuje prehľad o bezpečnosti generovaný z protokolov udalostí z viacerých zdrojov.
Je sumo logika SIEM?
Sumo Logic berie tieto údaje denníka a môže vás automaticky upozorniť na konkrétne udalosti alebo vykonať automatickú akciu na odstránenie problémov a zastavenie hrozieb skôr, ako sa rozšíria. Okrem živého varovania a detekcie má Sumo Logic schopnosť analyzovať protokoly udalostí, aby vytvorila forenznú analýzu narušenia alebo kybernetického útoku. Práve táto kombinácia správy protokolov a ochrany v reálnom čase robí zo Sumo Logic plnohodnotný nástroj SIEM.
Ako funguje sumo logika?
Vo svojom jadre Sumo Logic funguje tak, že zhromažďuje údaje protokolov na všetkých vašich serveroch a analyzuje tieto protokoly, aby sa vytvorili bezpečnostné a prevádzkové prehľady v reálnom čase.
Počas počiatočného nastavenia bude Sumo Logic vyžadovať, aby boli na každom koncovom bode, z ktorého chcete zbierať údaje, nainštalovaní malí agenti nazývaní Collectors. Tieto kolektory sú nakonfigurované tak, aby stiahli relevantné informácie denníka z daného servera do vášho cloudu Sumo Logic na spracovanie. Keď tieto neštruktúrované údaje vstupujú do systému, Sumo Logic je možné automaticky alebo manuálne prehľadávať, aby bolo možné odhaliť prieniky, identifikovať vnútorné hrozby alebo poskytnúť analýzu základných príčin zložitých problémov.
Centralizovaná platforma SIEM vám umožňuje analyzovať bezpečnostné incidenty z jedného miesta bez ohľadu na to, aký server alebo aplikácia udalosť vygenerovala. Ďalšie problémy, ako sú zlyhania a chyby aplikácií, je možné zistiť prostredníctvom platformy prostredníctvom jej analýzy protokolovania. Skutočná hodnota produktu SIEM, akým je Sumo Logic, sa stáva jasnejšou, keď sa vaše podnikanie a siete časom stávajú zložitejšími.
Teraz, keď už vieme niečo o tom, ako Sumo Logic funguje, poďme sa ponoriť do každej z funkcií, ktoré prináša Sumo Logic.
Začíname so sumo logikou
Stručne sme spomenuli, že Sumo Logic využíva kolektory na zhromažďovanie údajov. Tieto ľahké koncové body sa relatívne ľahko nasadzujú a možno ich nainštalovať manuálne alebo prostredníctvom automatizovaného procesu, ako je skupinová politika alebo dávkový skript. V súčasnosti je možné Collectors nainštalovať na Windows, Linux alebo macOS.
V porovnaní s inými riešeniami SIEM je proces inštalácie agenta pre Sumo Logic jednoduchý a nevyžaduje príliš veľa zložitých krokov. Collector môžete nainštalovať buď pomocou inštalačného programu používateľského rozhrania alebo pomocou inštalátora príkazového riadka. Ak vyberiete inštalačný program používateľského rozhrania, niektoré z pokročilejších možností inštalácie nebudú k dispozícii. Obidve dostupné možnosti umožňujú menej technickým jednotlivcom začať so Sumo Logic bez toho, aby sa museli učiť programovať alebo používať príkazový riadok.
Ďalším krokom je pripojenie zdroja k vášmu kolektoru. Zdroj je miesto, kde sa zberatelia pripájajú na zhromažďovanie údajov z vašej lokality. Zdroje vám umožňujú lepšie organizovať vaše údaje a môžu mať k nim priradených až 1 000 kolektorov. Zdroje sa môžu líšiť v závislosti od prostredia. Napríklad existujú zdroje pre vyhradené protokoly udalostí systému Windows, protokoly Docker, Syslogs a ďalšie metriky hostiteľa.
Môže to znieť trochu komplikovane, ale to všetko sa dá urobiť priamo na ovládacom paneli Sumo Logic Collection pomocou sprievodcu. Zadaním dotazu na tieto údaje môžete jednoducho otestovať, či vaše konektory a zdroje spolupracujú. Ak dosiahnete výsledok, budete vedieť, že ste v prevádzke.
Hľadanie vnútri sumo logiky
Vyhľadávanie údajov v Sumo Logic je podobné platformám ako Graylog alebo Splunk. Pri vytváraní dopytu panel vyhľadávania predpovedá a navrhne funkcie, keď ich začnete písať. Jednou z mojich osobných obľúbených častí vyhľadávania v Sumo Logic je schopnosť vizualizovať údaje vyhľadávania, keď ich zadávate.
Pod vyhľadávacím panelom môžete vidieť svoje údaje ako vizualizáciu vo forme grafu. Pod tým uvidíte jednotlivé riadky a tabuľky, keď budete dopytovať údaje a vykonávať zmeny. Ak zistíte, že potrebujete vyhľadávať a porovnávať rovnaké súbory údajov v priebehu času, môžete svoje vyhľadávania jednoducho uložiť. Tieto vyhľadávacie dopyty môžete tiež usporiadať do priečinkov, či už na osobné použitie, alebo na zdieľanie s tímom.
Prístrojové dosky a panely
Kľúčom k konceptualizácii vašich novovytvorených poznatkov je schopnosť porozumieť a vizualizovať ich ako celok. Sumo Logic využíva plne prispôsobiteľné zobrazenia dashboardu na prezentáciu relevantných údajov v reálnom čase. Každá metrika môže byť zobrazená na niekoľkých paneloch, ktoré môžete pridať alebo odstrániť zo zobrazenia informačného panela.
Zmena konfigurácie alebo výstupu existujúceho dashboardu je jednoduchšia, než som si pôvodne myslel. Nad každým panelom je tlačidlo, ktoré vám presne ukazuje, aký dopyt poháňa daný modul. Kliknutím na toto môžete upraviť tento dotaz a úplne zmeniť spôsob, akým tento modul zobrazuje údaje.
Ak chcete len zmeniť spôsob zobrazenia údajov, môžete tiež prepínať medzi 10 rôznymi zobrazeniami údajov pomocou niekoľkých jednoduchých kliknutí. Akékoľvek panely, ktoré vytvoríte, je možné pretiahnuť a uzamknúť na miesto podľa vašich preferencií. Keď budete mať presný vzhľad a dojem, ako chcete, aby sa zobrazoval váš informačný panel, môžete ho uložiť alebo zdieľať so svojím tímom prostredníctvom odkazu URL.
Ak nechcete tráviť čas vytváraním informačných panelov alebo panelov, katalóg aplikácií Sumo Logics obsahuje stovky predkonfigurovaných informačných panelov, ktoré obsahujú šablóny upozornení a vyhľadávania, ktoré sú pripravené na spustenie jediným kliknutím. Pri používaní Sumo Logic zistíte, že Katalóg aplikácií je jedným z výkonnejších nástrojov na platforme, najmä ak máte menší tím, ktorý sa možno stále učí, ako naplno využiť silu pokročilej analýzy.
Vytváranie upozornení v Sumo Logic
Výstrahy možno konfigurovať na základe údajov denníka alebo metrík a sú založené na konkrétnom dotaze alebo podmienke, ktorú definujete. Nájdenie miesta na vytvorenie upozornenia trvalo nejaký čas. Namiesto špeciálneho tlačidla upozornenia má Sumo Logic možnosť po kliknutí uložiť dotaz ako typ upozornenia Uložiť ako . Ak chcete skutočne dostávať upozornenie, musíte sa uistiť, že naplánujete spustenie tohto dotazu. Môžete to urobiť po uložení dopytu. Tento proces je pomerne jednoduchý, ale mohol byť navrhnutý tak, aby sa dal ľahšie nájsť.
Budete mať možnosť nastaviť časový rozsah pre výstrahu, ako aj špecifické podmienky výstrahy, ktoré možno nakonfigurovať tak, aby pomohli znížiť opakujúce sa a nepotrebné objemy výstrah. Možnosti upozornení siahajú od e-mailu, webhooku, služby ServiceNow alebo vlastného spustenia skriptu. Možnosť spustiť skript za určitých podmienok vám poskytuje širokú škálu automatických možností nápravy. Nakoniec si môžete zvoliť uloženie upozornenia do indexu namiesto odoslania upozornenia. Táto možnosť zaznamená udalosť a uloží dotaz do indexu, kde ho možno neskôr vyhľadať so zvýšeným výkonom vyhľadávania.
Vytváranie upozornení môže byť také jednoduché alebo zložité, ako to umožňujú vaše vyhľadávacie dopyty, a neexistujú žiadne skutočné obmedzenia na to, čo je možné nakonfigurovať. Sumo Logic môže použiť základné numerické operátory na sledovanie problémov alebo trochu zložitejšie odľahlé dopyty, ktoré sledujú odchýlku priemernej hodnoty, a nie konkrétne číslo. Pomáha to udržiavať vaše upozornenia presné, keď sa návštevnosť časom zvyšuje a znižuje.
Namiesto vytvárania týchto upozornení od začiatku môžete v knižnici dotazov Sumo Logics nájsť veľa príkladov a vzoriek najbežnejších dotazov na upozornenia.
Aplikácie a integrácie
Aplikácií sme sa v tomto článku dotkli o niečo skôr, ale prejdeme trochu podrobnejšie o tom, čo môžete očakávať pri integrácii aplikácií do Sumo Logic. Sekcia aplikácií bola vytvorená tak, aby používateľom poskytovala okamžité informácie o niektorých z najpopulárnejších dostupných platforiem. Jednoducho nájdete integráciu, ktorú chcete pridať, a kliknete Pridať do knižnice .
Po pridaní už budete mať desiatky dopytov a zobrazujú sa údaje. Tieto hotové riešenia je možné upravovať a meniť podľa vašich predstáv, aby ste skutočne naštartovali proces registrácie.
Existujú stovky predkonfigurovaných dopytov a informačných panelov pre desiatky veľkých integrácií značiek, ako sú Amazon, Google, Microsoft a Cisco. Pokiaľ ide o integráciu SIEM a bezpečnostných nástrojov, Sumo Logic v súčasnosti podporuje viac ako 20 platforma na detekciu hrozieb orchestrácie.
Pre integrácie, ktoré nie sú zahrnuté v knižnici aplikácií, vám Sumo Logic môže poskytnúť podporu. K dispozícii je tiež a špecializované komunitné fórum ktorý môže odpovedať na otázky, ale nemusí byť taký aktívny ako niektoré open-source platformy, ako je Graylog.
Cena sumo logiky
Sumo Logic má päť rôznych úrovní ponuky SIEM na základe kapacity protokolu, uchovávania údajov a schopností. Pre tých, ktorí si chcú len namočiť nohy, začnete Sumo Logic používať úplne zadarmo v rámci programu Free.
Tento plán vám umožňuje odosielať až 500 MB údajov za deň a uchováva údaje denníka jeden týždeň. V rámci bezplatného plánu však získate prístup len k približne pätine funkcií, ktoré plán Enterprise Operations zahŕňa. V bezplatnej verzii môžete stále vyhľadávať a vytvárať vizualizácie, prezerať aktuálne a historické údaje a využívať prediktívne analýzy a detekciu odľahlých hodnôt.
Platené plány sú k dispozícii na 30-dňovú skúšobnú verziu a využívajú kreditný systém, ktorý účtuje váš účet na základe spotreby dát za deň. Ak po 30 dňoch nezostanete na platenom pláne, namiesto pokusu o nabitie z karty po skúšobnej verzii, váš účet sa jednoducho vráti späť na skúšobný plán.
Na najzákladnejšej platenej úrovni bude Sumo Logic Essentials stáť 2,50 USD za GB prijatých údajov denníka a ponúka 365 dní uchovávania údajov. Balík Essentials obsahuje mnohé z najpopulárnejších funkcií, ktoré Sumo Logic ponúka, ale nezahŕňa funkcie, ako je prémiová podpora, prijímacie rozpočty a prístup k vyhľadávaciemu API.
Keď zohľadníte úroveň flexibility a kontroly, ktorú máte nad svojimi cenami, Sumo Logic je určite na cenovo dostupnejšom konci spektra, pokiaľ ide o cloudovú správu protokolov a zabezpečenie.
Prečo si vybrať sumo logiku
Sumo Logic bol vytvorený tak, aby sprístupnil bezpečnostné informácie bez ohľadu na to, koľko serverov máte vo svojej sieti, a presne to urobil dobre. S flexibilnými cenovými plánmi Sumo Logic, jednoduchou registráciou a obchodom s aplikáciami plnými funkcií je to určite nástroj, ktorý budete chcieť vyskúšať. Ak si stále robíte domácu úlohu na produktoch SIEM, určite si pozrite náš príspevok na stránke najlepšie nástroje SIEM .
Alternatívy sumo logiky
Ak hľadáte alternatívy pre Sumo Logic, nižšie uvádzame užší zoznam porovnateľných nástrojov, ktoré stojí za zmienku.
Správca bezpečnostných udalostí SolarWinds (SKÚŠKA ZADARMO) Komplexný kompletný bezpečnostný nástroj zameraný na pomoc MSP spravovať zložité bezpečnostné udalosti bez zložitých integrácií alebo nastavovania.
- Datadog Využíva údaje v reálnom čase a historické údaje na poskytovanie užitočných prehľadov, automatizovanej nápravy a varovania v rámci vášho cloudového alebo lokálneho prostredia.
- ELK Populárny open-source nástroj určený na bezplatnú správu protokolov a zahŕňa nástroje ako Elasticsearch, Logstash a Kibana pre rozšírenú funkčnosť.
- sentry.io Poskytuje logovacie riešenia primárne zamerané na obsluhu tímov vývoja softvéru a priemyslu DevOps.
- Splunk Platforma SIEM bohatá na funkcie zameraná na obsluhu rozsiahlych podnikových prostredí. Splunk vyniká kombináciou najmodernejšej technológie s ľahko použiteľným rozhraním.
