Wersja autonomiczna
Narzędzie EventLog Analyzer jest rozwiązaniem do zarządzania dziennikami i zgodnością IT przedsiębiorstw. Jest ono oparte na wykorzystaniu sieci Web i stosuje zarówno mechanizmy bez wykorzystania agenta, jak i z wykorzystaniem agenta do zbierania dzienników ze źródeł dzienników w całej sieci użytkownika, dostarczając jednocześnie dogłębnych raportów, alertów i analiz bezpieczeństwa.
Główne moduły, jakie ma do zaoferowania program EventLog Analyzer:
- Silnik analizy składniowej: Filtruje dzienniki, które nie są potrzebne — zgodnie z konfiguracją administratora — i normalizuje pierwotne dane dziennika do standardowego formatu.
- Centralna baza danych: Przechowuje pierwotne i znormalizowane dane rejestrowe ze wszystkich urządzeń i aplikacji w całej sieci użytkownika, a także dane z raportów i dane o globalnych zagrożeniach. Domyślną bazą danych, która jest instalowana z produktem jest PostgreSQL. Alternatywnie, użytkownicy mają możliwość migracji do baz danych Microsoft SQL Server lub MySQL.
- Konstruktor raportów: Przetwarza pierwotne i znormalizowane dane rejestrowe w celu stworzenia ponad tysiąca wstępnie zdefiniowanych raportów, w tym raportów zgodności, a także raportów niestandardowych. Narzędzie EventLog Analyzer generuje i wysyła zaplanowane raporty, a także eksportuje je w razie potrzeby.
- Alerty i zarządzanie zdarzeniami: Wysyła powiadomienia e-mail i SMS w oparciu o skonfigurowane profile alertów; przypisuje zdarzenia do wyznaczonych techników i przechowuje statusy oraz powiązane informacje dla każdego zdarzenia.
- Zautomatyzowane przepływy pracy: Automatyzacja odpowiedzi na zdarzenia dzięki wstępnie zdefiniowanym przepływom pracy, które uruchamiają się po wyzwoleniu alertów.
- Wyszukiwarka dzienników: Przeszukuje miliony dzienników w ciągu kilku sekund. Wyszukiwarka oparta jest na silniku Elasticsearch.
- Monitorowanie integralności plików: Wykorzystuje dzienniki serwera plików do monitorowania całej aktywności zachodzącej w krytycznych plikach i folderach oraz generuje szczegółowe raporty dotyczące integralności plików.
- Silnik korelacji: Koreluje dzienniki z heterogenicznych źródeł w celu identyfikacji potencjalnych ataków i generuje dogłębne, zagregowane raporty o zdarzeniach i alerty bezpieczeństwa.
- Analiza zagrożeń: Regularnie pobiera i przechowuje dane o zagrożeniach z popularnych kanałów zagrożeń opartych na standardach STIX/TAXII, jak również z innych kanałów open source. Moduł porównuje te dane ze zdarzeniami sieciowymi, a następnie generuje alerty o zagrożeniach w przypadku wykrycia złośliwych podmiotów wchodzących w interakcję z siecią.
Wersja rozproszona
Rozproszona wersja programu EventLog Analyzer jest przydatna, gdy sieć składa się z ponad tysiąca źródeł dzienników lub jest rozproszona w wielu regionach geograficznych. Jest to również idealny model do wdrożenia przez dostawców zarządzanych usług bezpieczeństwa (MSSP). To rozwiązanie korzysta z architektury rozproszonej, w której wiele zarządzanych serwerów jest kontrolowanych przez jeden, centralny serwer administracyjny.
- Serwer administracyjny: Centralny serwer, który zapewnia administratorowi kontrolę nad całą siecią.
- Serwer zarządzany: Każdy serwer zarządzany nadzoruje mniejszą część sieci i działa dokładnie tak, jak opisana powyżej wersja autonomiczna.