Log Management e SIEM

Log Management e SIEM

SERVICE OVERVIEW

I log sono delle registrazioni sequenziali e cronologiche delle attività eseguite da un sistema informatico (es. server, storage, firewall, programmi). Le attività che generano log possono essere effettuate da un utente che utilizza un programma o automaticamente dal sistema. Tutte le informazioni sul funzionamento del sistema, errori e problemi, vengono scritte all’interno di file di log per poter essere successivamente lette e analizzate.

I log sono essenziali per la sicurezza dei sistemi e per la compliance aziendale (GDPR) in quanto consentono di monitorare attività svolte come gli accessi al sistema, le operazioni fallite, anomalie hardware o software e anche possibili minacce malware.

Come è facile intuire, non è per niente semplice gestire e monitorare i log generati da numerosi sistemi hardware e software che compongono una realtà aziendale, ed è per questo che ci vengono in aiuto i sistemi di log management (LM).

SysUP come Managed Security Service Provider (MSSP) mette a disposizione dei propri clienti una piattaforma che va oltre il solo log management, grazie ad ulteriori moduli di sicurezza avanzati, siamo in grado di offrirvi un servizio completo di Security Operation Center (SOC) garantendo elevati standard di sicurezza.

Soluzione Log Management

Un sistema di LM consente di raccogliere grandi quantità di log provenienti dall’intero sistema informativo, li organizza e li conserva in maniera sicura, evita la perdita di queste informazioni in caso di guasto di un sistema, infine ne agevola la consultazione e il monitoraggio al personale tecnico. Anche in questo caso SysUP viene in aiuto alle tutte le aziende che devono adeguarsi alla nuova normativa per la protezione dei dati personali, offrendo un servizio completamente gestito cloud-based per la raccolta, gestione e conservazione dei log.

Il modulo LM supporta nativamente lo standard Syslog, ma può raccogliere log di qualsiasi formato da qualunque fonte dati, senza la necessità di dover installare alcun agent proprietario. Il cuore del modulo è un potente motore di riconoscimento e normalizzazione dei log che, attraverso un’interfaccia semplice e intuitiva, permette all’utente di aggregare autononamente log originati da tutte le piattaforme presenti in azienda. I dati raccolti possono essere analizzati e gestiti effettuando un’analisi in tempo reale oppure sullo storico dei log. Sono disponibili anche report dettagliati con rappresentazione grafica.

Il sistema sfrutta la cifratura a chiavi asimmetriche, il timestamp e la firma GPG per garantire l’integrità dei log salvati.

Può raccogliere una grande quantità di eventi da numerose soluzioni di sicurezza informatica (NIDS, firewall, AV, dispositivi di rete, ecc.), attacchi alle applicazioni web e tentativi di data breach che possono essere mostrati in una dashboard dinamica per facilitarne le indagini, la gestione dei dati è velocissima ed efficace anche con elevati volumi di dati.

 

Il modulo LM fornisce una serie di report studiati per aiutare le imprese a rispettare le condizioni di conformità imposte dalle
normative come il GDPR.

Il modulo LM può essere installato anche on-premise ma SysUp consiglia di sfruttare il servizio in cloud per ridurre costi e sforzi.

SIEM as a service

Attivando i moduli di sicurezza avanzati è possibile usufruire di un servizio in cloud paragonabile ad un SIEM hardware, ma col vantaggio di ridurre sensibilmente i tempi di implementazione e i costi legati all’hardware. Allo stesso tempo sarà il nostro team di esperti a monitorare costantemente tutti gli eventi di sicurezza della tua azienda. 

Protezione dei sistemi Microsoft, grazie alla raccolta e correlazione delle informazioni provenienti dagli endpoint windows dove si concentrano la maggior parte degli attacchi. Identificazione delle minacce e risposte automatiche in grado di mitigare il rischio di possibili data breach.

Gestione avanzata per la scansione delle vulnerabilità della rete e di tutti i device presenti.Grazie al processo di discovery della rete il modulo analizza ogni host trovato al fine di identificare lo stato di sicurezza e quindi le eventuali vulnerabilità e criticità.E’ possibile definire gruppi di host a cui applicare profili di scansione personalizzati. Possibilità di pianificare nel dettaglio ogni profilo di scansione inviando report dettagliati a differenti utenti a cui sono stati assegnati gruppi di host. riceveranno report dettagliati. Grazie ai sensori di scansione e possibile monitorare e scansionare reti remote e filiali.

Il motore di correlazione dei log consente di configurare regole avanzate per identificare comportamenti potenzialmente pericolosi. Tutte le informazioni raccolte e gestite dal modulo di LM vengono analizzate e correlate dal motore, allo scopo di rilevare attacchi e rispondere con le adeguate contromisure, tutto questo in maniera completamente automatica sfruttando le API e script presenti su sistemi esterni. Il monitoraggio delle cartelle di rete consente di rilevare esfiltrazione di dati e attacchi malware, permette di visualizzare i dettagli e le modifiche apportate a file o alle cartelle.

Il monitoraggio e l’analisi del comportamento degli account utenti compresi quelli amministrativi, consente di tracciare e rilevare comportamenti anomali rispetto a quelli abituali andando quindi a identificare eventuali account compromessi o che semplicemente stanno eseguendo delle operazioni  che violano le policy aziendali. Una serie di indicatori presenti nella dashboard centrale indicheranno il rischio legato agli account utente.