Professional Documents
Culture Documents
etapa temprana
CICLO DE VIDA DE AMENAZAS
ARCHIVO DEL
CASO
VERTICALES
LogRhythm recopila los El análisis de la La plataforma de Asegúrese de que Nuestro marco La orquestación
datos de la máquina máquina analiza inteligencia y análisis de las amenazas no se de automatización de respuestas
de toda la empresa y automáticamente todos seguridad de LogRhythm filtren por las grietas. SmartResponse™ lo ante incidentes de
aumenta estos datos los datos recopilados, califica automáticamente Active investigaciones ayuda a establecer LogRhythm ofrece un
de la máquina con un lo que detecta tanto las todas las amenazas con colaborativas mediante acciones preconfiguradas acceso centralizado
contexto crítico. Los amenazas usuales como una escala de calificación el uso de capacidades para automatizar los a toda la información
COMPETIDORES
sensores forenses de las avanzadas en forma de prioridad basada en integradas de respuesta pasos de investigación y requerida. Los flujos
terminales y redes de automática. Nuestras riesgos de 100 puntos, para ante incidentes. Obtenga las acciones de mitigación de trabajo colaborativos
LogRhythm ofrecen potentes capacidades que su equipo sepa dónde visibilidad en tiempo real habituales. Permita que reúnen a los equipos
una mayor visibilidad de búsqueda le permiten emplear su tiempo. Las sobre las investigaciones a su equipo de respuesta para obtener una rápida
en todo el entorno de a su equipo encontrar alarmas pueden calificarse e incidentes activos con ante incidentes y analistas recuperación.
TI extendido. Conozca eficientemente las rápidamente con un acceso las fuentes de actividad y investigue y elimine las
RECONOCIMIENTOS
más sobre la Gestión amenazas. Conozca inmediato a detalles los tableros. amenazas de manera más
de registros. más sobre el Análisis forenses sustanciales que rápida.
de seguridad. aparecen en herramientas
de análisis de fácil uso
para el usuario.
Análisis de seguridad
SIEM de próxima Comportamiento del
generación y usuario y de la entidad
gestión de registros Comportamiento de redes
Comportamiento de
ALIANZAS
terminales
Supervisión
COMPETIDORES
Incident Response
Orquestación Orchestration
y automatización & Response
de seguridad
LogRhythm es fácil de usar y es escalable. No solo eso, el soporte es maravilloso. Es genial hacer negocios con LogRhythm.
—Compañía de servicios de transporte para grandes empresas
• ¿Cómo descubre amenazas/ataques/malware que ya han omitido sus controles de seguridad existentes? ¿Están
priorizados? ¿Puede establecer reglas automatizadas para responder ante ellos?
• ¿Cómo lleva a cabo el análisis de la causa de origen del incidente de seguridad y la respuesta ante el incidente?
¿Eso está integrado con su SIEM?
• ¿Cuáles son las 3 principales cosas que podría hacer para reducir su tiempo medio para detectar y responder ante
incumplimientos? ¿Análisis para la detección? ¿Prioridad? ¿Búsqueda más rápida? ¿Respuesta automatizada?
VERTICALES
USUARIO Diferenciadores
• SIEM de próxima generación totalmente integrado, monitoreo de la integridad de los archivos (en inglés, FIM),
Y/O
monitoreo de actividad de red y servidor, y análisis de seguridad
ANFITRIÓN • Análisis de máquina impulsado por datos para detectar amenazas avanzadas.
• Los algoritmos de prioridad basada en riesgos aplican factores de riesgo y amenaza para calificar
ALIANZAS
automáticamente alarmas, a fin de permitirles a los usuarios enfocarse en las preocupaciones de mayor riesgo
• Contramedidas basadas en script SmartResponse™, que se activan mediante una alarma o manualmente
• Automatización de cumplimiento y paquetes de aplicación para PCI, HIPAA, SOX, GLBA, NERC, FISMA, DoDI y más
LogRhythm nos brinda un nivel de inteligencia y análisis de seguridad que supera el SIEM tradicional. No solo nos
permite monitorear el cumplimiento, sino también demostrar el verdadero valor de la seguridad al consejo.
—Compañía de servicios financieros en Reino Unido
• ¿Cuenta con una solución de captura de paquete completo para sus investigaciones de respuesta ante incidentes? ¿Cómo las analiza?
• ¿Tiene visibilidad de los datos que se vieron afectados en una exfiltración sospechosa de datos o un caso de acceso no autorizado a los
datos? ¿Puede reconstruir los archivos transferidos?
• ¿Posee una forma confiable y fácil de usar para detectar sistemas y aplicaciones que se vieron comprometidos por malware avanzado,
ataques de día cero, amenazas persistentes avanzadas (en inglés, APT) y amenazas de informantes internos?
Diferenciadores
VERTICALES
• Network Monitor [Supervisor de redes] puede detectar de forma confiable casi 3000 aplicaciones únicas, dándole una
visibilidad profunda al uso de la red
• Las capacidades analíticas de comportamientos de la red (en inglés, NBA) de Network Monitor detectan automáticamente los cambios
de comportamiento y patrones de comunicación maliciosos conocidos, lo que indica sistemas y aplicaciones comprometidos y actividad
sospechosa de usuarios.
ALIANZAS
• Network Monitor puede realizar una captura de paquetes completos en formato PCAP a lo largo de todas las comunicaciones o basado
selectivamente en la política, lo que le permite al personal de respuesta ante incidentes utilizar la herramienta de análisis de paquetes
completos.
• Network Monitor puede reconstruir archivos transferidos a lo largo de las redes.
• Detección de amenazas avanzadas: Network Monitor permite la detección de amenazas avanzadas mediante una combinación única
de Análisis de paquete profundo (en inglés, DPA) y análisis de comportamientos de la red (en inglés, NBA) centralizados.
• Respuesta rápida ante incidentes: Network Monitor permite que el personal que maneja incidentes tenga acceso rápido a capturas
de paquete completo y búsqueda centralizada fácil de usar a lo largo de toda la red y las comunicaciones de aplicaciones
RECONOCIMIENTOS
[Nuestra organización] necesitaba una mejor visibilidad de la red con nuestros enlaces de Internet; LogRhythm nos brinda
un medio eficiente y rentable para hacerlo.
Sí, [recomendaría Network Monitor de LogRhythm porque] no creo que puedas encontrar un mayor beneficio a menor costo
en este área.
—Firma de servicios profesionales globales
Diferenciadores
VERTICALES
• La supervisión de actividad continua en tiempo real registra la actividad del servidor supervisado
• La supervisión de integridad de archivos y registros identifica cambios inesperados a archivos o al registro de Windows
• La supervisión de procesos, redes y usuarios registra la actividad de procesos locales, comunicaciones de redes y actividades
de usuarios
• La supervisión de medios extraíbles registra todos los datos transferidos a un dispositivo USB u otros medios grabables
• Soporte multiplataforma y POS a lo largo de una amplia variedad de sistemas operativos de Windows, Linux y Unix, y sistemas POS
ALIANZAS
• La escalabilidad de empresas grandes les permite a los clientes implementar y administrar hasta decenas de miles de agentes de
forma rentable
• Detectar eventos individuales, como procesos críticos que se reinician adecuadamente después de mantenimiento de rutina, sin un
registro independiente del evento.
• Saber quién ha iniciado sesión en un terminal particular cuando se produce una actividad maliciosa o una falla de operaciones crítica
• Bloquear dispositivos una vez que se detecte una amenaza, lo que evitará que software maliciosos se infiltren en la organización
RECONOCIMIENTOS
LogRhythm nos ha dado una perspectiva sobre la actividad de un gran número de diferentes dispositivos en nuestro entorno.
—S&P 500 Entidad bancaria
Análisis de seguridad
El enfoque integral de LogRhythm respecto del análisis de seguridad le brinda una visión holística. Con nuestro
análisis basado en riesgos, sus clientes pueden enfocarse en las amenazas más preocupantes.
Diferenciadores
VERTICALES
• El Análisis de comportamiento multidimensional combina el análisis avanzado con listas blancas automatizadas de
comportamientos para ayudar a las organizaciones a definir la actividad normal
• AI Engine automatiza el análisis de máquinas para un análisis y una correlación de comportamientos en tiempo real, lo que
permite una detección de amenazas rápida y avanzada.
• Los algoritmos de prioridad basada en riegos mejorados aseguran que los analistas trabajen en las mayores amenazas de riesgo
ALIANZAS
para la empresa.
• Detección de amenazas previamente empaquetada y módulos de automatización de cumplimiento que aceleran la adopción
de análisis de seguridad
• Nuestros módulos de detección de amenazas le permiten ver las amenazas usuales y avanzadas en toda la superficie de ataque.
• Análisis del comportamiento del usuario y de la entidad: amenazas de informantes internos, usuarios comprometidos,
supervisión de usuarios privilegiados
• Análisis de comportamiento de redes: ataque de malware, comunicaciones de redes sospechosas, ataque de DDoS, exfiltración
de datos transmitidos por la red
• Análisis de comportamiento de terminales: manipulación de terminales, actividad de malware, procesos sospechosos,
exfiltración de datos locales
RECONOCIMIENTOS
LogRhythm brinda una visibilidad amplia de la empresa en profundidad de modo que podamos enfocarnos en la administración
basada en excepciones en lugar de intentar de supervisarla por nosotros mismos. Esto permite que nuestro personal se centre en
otros asuntos de seguridad importantes.
—S&P 500 Empresa de servicios al consumidor
• ¿Puede capturar y guardar datos forenses, así como capturas de pantalla y datos de eventos de productos de terceros?
• ¿Cómo coordina la respuesta? ¿Es automatizado? ¿Puede administrar alarmas y respuestas dentro de un caso?
Diferenciadores
• La gestión de casos ofrece una detección y respuesta ante amenazas de punta a punta al recopilar y analizar datos de eventos
e incidentes y automatizar la investigación y el flujo de trabajo de respuesta. Integrar capturas de pantalla y datos de terceros
VERTICALES
• Integrado completamente a lo largo del flujo de trabajo del analista para una creación de caso rápida y acceso desde
cualquier pantalla
• Tiempo medio de detección (en inglés, MTTD) expedito con la creación de caso con un solo clic y escalación de incidentes
• Administrar la carga de trabajo de investigación a través de prioridad de caso granular con acceso discrecional y fechas
límite asignadas
• Asegurar una pista de auditoría a prueba de manipulaciones mediante un historial de actividad completo
ALIANZAS
• Colaborar en casos de respuesta ante incidentes, lo que permite compartir y escalar datos en tiempo real
Las características de la Administración de casos... han optimizado en gran medida nuestros esfuerzos de respuesta
ante incidentes.
RECONOCIMIENTOS
Estamos utilizando LogRhythm en nuestro departamento de seguridad para investigación forense, alertar sobre eventos relacionados
con la seguridad y reportar el cumplimiento.
—Entidad bancaria de grandes empresas
Arquitectura de componentes
Capa de recolección Data Processors Data Indexers Al Engine Platform Manager
Platform Manager
Agente recolector
Data Processor Data Indexer Al Engine
VERTICALES
!
Alarmas priorizadas Informes
según el riesgo
Data Processor Data Indexer Al Engine
Network Monitor
ALIANZAS
Los Data Collectors [Recolectores de datos] brindan una recolección sin Los Data Processors [Procesadores de datos] procesan uniformemente datos de Data
agentes local y remota de datos de la máquina, tales como: Collectors, System Monitors y Network Monitors, lo que permite un análisis basado en la
• Mensajes de registro búsqueda y de las máquinas
• Eventos relacionados con la seguridad
• Datos de flujo Los Data Indexers [Indexadores de datos] almacenan copias de datos no estructurados
originales y metadatos estructurados para permitir el análisis basado en la búsqueda
RECONOCIMIENTOS
Los Network Monitors [Supervisores de redes] respaldan la detección de amenazas El Platform Manager [Administrador de plataforma] administra alarmas,
y respuesta ante incidentes mediante la identificación de aplicaciones, extracción de notificaciones, administración de incidentes de caso y seguridad, lo que permite una
metadatos, análisis profundo de capas 2-7, y captura de paquete completo búsqueda distribuida, el análisis forense, la generación de informes y los paneles en
tiempo real
Guía de ventas en etapa temprana de LogRhythm | 9
CICLO DE VIDA DE AMENAZAS
Casos de uso • Todas las empresas que cotizan en bolsa deben cumplir • Ataques virtuales en aumento apuntados a infraestructura
únicos con Sarbanes-Oxley (SOX) de energía y tubería
• Todas las instituciones financieras de EE. UU. deben cumplir • La automatización continua y los dispositivos SCADA resultan
SOLUCIONES
con la Ley Gramm-Leach-Bliley (GLBA) en más puntos de acceso a la red y mayor vulnerabilidad
• Retención de datos a largo plazo obligatoria • Las normas NERC CIP (Protección de infraestructura crítica)
• Los delincuentes virtuales apuntan a instituciones financieras se aplican a todas las entidades que «afectan físicamente»
• Las medidas antifraude son esenciales para la seguridad de una la confiabilidad del sistema de alimentación en masa.
institución financiera
VERTICALES
Cumplimiento • Módulos de automatización de cumplimiento con SOX y GLBA • El módulo de automatización NERC CIP incluye informes listos
• Aplicación del cumplimiento continua y en tiempo real para usar (100+), reglas de AI Engine (55+) y alertas, todo sin
• Almacenamiento a largo plazo de todos los datos recopilados, costo adicional. Admite tanto v3 como v5
encriptados y comprimidos 20:1 • Categorización automática de empresas de acuerdo con
las normas de Identificación de activos virtuales críticos
ALIANZAS
NERC CIP-002-1
• Soluciones de recuperación de desastres y alta disponibilidad
en cada capa (recolección, indexado, análisis)
diferenciadas • Monitoreo de comportamientos en tiempo real • Soporte específico para dispositivos SCADA
• Algoritmos de fraude listos para usar • La compatibilidad de diodo segura unidireccional permite
• Detección de amenazas de informantes internos con integración la comunicación en redes altamente seguras
del Directorio activo • Análisis listo para usar para activos críticos de protección
• FIM integrado para detectar, alertar e informar sobre el acceso • Complementos de SmartResponse™ para una seguridad
no autorizado o cambios a información financiera sensible proactiva y aplicación del cumplimiento
RECONOCIMIENTOS
Clientes
Casos de uso • Entornos altamente distribuidos • Se necesita recopilar desde aplicaciones de Registro médico
únicos • Recolección desde sistemas POS personalizados, con electrónico (en inglés, EMR) complejas y personalizadas
soporte para entorno de bajo ancho de banda • Capacidad limitada para la recolección de registros personalizada
SOLUCIONES
Cumplimiento • Módulo de automatización de cumplimiento de PCI, validado por • Módulo de automatización de cumplimiento de la ley
Coalfire HIPAA con informes listos para usar (40+), reglas de AI
• Soporte directo o argumentación para 80+ controles Engine y alertas que mapean a los requisitos de la HIPAA
de cumplimiento de PCI DSS • Supervisión de la integridad de los archivos integrada para
• Informes listos para usar para el cumplimiento optimizado detectar, alertar e informar sobre alteraciones no autorizadas
• Aplicación proactiva con reglas de AI Engine y alarmas o destrucción de información de atención médica sensible
ALIANZAS
• Categorización automática de activos empresariales en • Guías de implementación de inicio rápido para una
línea con listas de fuentes de registros PCI DSS configuración veloz
Capacidades • Los recolectores pueden comprimir, encriptar y devanar • Soporte personalizado para la recolección y el análisis
COMPETIDORES
diferenciadas datos, lo que asegura una recolección segura y confiable de registros de EMR patentados
• Administración centralizada basada en políticas • Integración con FairWarning para agregar y alertar sobre
• Amplio soporte para sistemas POS personalizados eventos y violaciones de más de 150 EMR
• FIM integrado: soporta directamente el req. 11.5 y 12.9 • Supervisión de seguridad en tiempo real de plataformas de EHR:
Epic McKesson, GE, MediTech, Siemens
• Supervisión de usuarios privilegiados para proteger la
Información de salud de pacientes (en inglés, PHI) electrónica
RECONOCIMIENTOS
Clientes
REDES E INFRAESTRUCTURA
SEGURIDAD DE TERMINALES
VERTICALES
ALIANZAS
COMPETIDORES
Preguntas • ¿Necesita centralizar la visibilidad a lo • ¿Busca una forma de centralizar todos sus • ¿Puede detectar inmediatamente
admisibles largo de sus firewalls PAN con otros datos datos de eventos de Cisco en un panel fácil de actividad anormal que se origina desde los
para ayudarlo de máquina en su entorno? usar para optimizar la visibilidad y expeditar terminales?
a descubrir • ¿Puede identificar rápidamente investigaciones en cuanto a la seguridad? • ¿Estaría interesado en automatizar los
comportamientos anormales que se • ¿Necesita analizar datos de eventos de Cisco esfuerzos de respuesta para evitar la
oportunidades
originan desde firewalls PAN? con otros datos de seguridad y eventos para propagación de malware en un terminal
de LogRhythm
• Cuando se identifica la amenaza, ¿le detectar rápidamente actividad anormal? comprometido?
VERTICALES
Diferenciadores • Corrección automática: SmartResponse • Aumentar visibilidad: panel de Cisco • Detectar y priorizar intrusiones:
de LogRhythm para agregar en tiempo real dentro de la consola de correlacionar la actividad de terminales
ALIANZAS
automáticamente direcciones de LogRhythm que destaca amenazas y detallada con otro contexto ambiental
IP atacantes detectadas dentro de eventos capturados por dispositivos Cisco para reconocer indicadores tempranos de
LogRhythm para la lista de control de • Acelerar la detección: correlacionar la un posible compromiso
firewall PAN actividad del firewall ASA de Cisco como • Procesos de respuesta e investigación
• Detectar ataques avanzados: LogRhythm demasiados intentos de intrusión exitosos o automatizados: implementar
COMPETIDORES
analiza los datos del firewall PAN en actividad de amenazas Threat Grid AMP de contramedidas en tiempo real en un
contexto con todos los demás datos de la Cisco con el universo de datos de máquina terminal para evitar mayor impacto y
máquina recopilados por LogRhythm para análisis de expeditar una respuesta ante incidentes
seguridad avanzados y alertas priorizadas
• Respuesta automatizada: tomar medidas
protectoras inmediatas al aprobar un
complemento de SmartResponse™ que
instruye a ISE de Cisco para poner un
RECONOCIMIENTOS
servidor en cuarentena
Casos de uso • Aumentar visibilidad • Fortalecer la detección de intrusiones • Evitar la propagación de malware avanzado
abordados • Corrección automática • Proteger el WiFi corporativo • Detectar amenazas de informantes internos
• Detectar ataques avanzados • Corrección automatizada en dispositivos • Corrección automatizada e investigación
• Detectar intentos de exfiltración de datos que se sabe que están comprometidos forense
Rendimiento del
Calificaciones vendedor y vendedores
de productos
Nota: desde esta revisión,
SOLUCIONES
General Capacidad Aseq. Arq. General Viabilidad Enfoque Alcance Ventas servidor backend desde
de uso SQL Server a Elasticsearch
para mover esta debilidad
AlienVault
de arquitectura relativa
VERTICALES
HP
IBM
ALIANZAS
LogRhythm
Seguridad Intel
COMPETIDORES
NetIQ
RSA
SolarWinds
RECONOCIMIENTOS
Splunk
Fuente: Info-Tech Research Group, “2015 Security Information Event Management (SIEM) Vendor Landscape”
In-Info-Tech
-Tech Research
Research Group 13
Guía de ventas en etapa temprana de LogRhythm | 14
CICLO DE VIDA DE AMENAZAS
AlienVault
SOLUCIONES
EventTracker
HP
IBM
VERTICALES
LogRhythm
Seguridad Intel
ALIANZAS
NetIQ
RSA
COMPETIDORES
SolarWinds
Splunk
Fuente: Info-Tech Research Group, “2015 Security Information Event Management (SIEM) Vendor Landscape”
14
Liderazgo de mercado
Analistas del sector
VENDOR
LANDSCAPE
SOLUCIONES
AWARD
A 2016 LEADER
SIEM Magic Quadrant
VERTICALES
CoN
COMPETIDORES
Conozca más