Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Produkty ManageEngine AD360 i LOG360 – inne spojrzenie na potrzeby działów IT/Security, ich budżety i zasoby niezbędne, by efektywnie używać oprogramowanie w obszarze cyberbezpieczeństwa.
„Wyścig zbrojeń” na rynku komercyjnych rozwiązań z zakresu cyberbezpieczeństwa trwa w najlepsze. Z jednej strony producenci prześcigają się w coraz to nowszych wariacjach i modernizacjach swoich produktów, zaprzęgając do pracy choćby AI oraz inwestując miliony USD w ich rozwój. Spojrzeć wystarczy na budżety rozwojowe w tym zakresie gigantów takich jak Microsoft, czy Google – prym wiodą tu ostatnio AI, bezpieczeństwo oraz automatyzacja i orkiestracja. Z drugiej strony klienci, przebudzeni nieco realną skalą zagrożeń, dyrektywami NIS2 / DORA, a wcześniej GDPR/RODO, czy też po prostu kierując się zdrowym rozsądkiem, inwestują coraz świadomiej znaczące środki w rozwiązania z zakresu cyberbezpieczeństwa. W tle tego wszystkiego – cyberprzestępczość bije statystyczne rekordy co do ilości ataków, ich skuteczności i (niestety) uzyskanych przez nie profitów.
Dobór właściwych produktów – portfolio dostawcy
„Autor artykułu – 3pro Sp. z o.o., jest firmą świadczącą od 16 lat profesjonalne usługi IT – jako dostawca usług zarządzanych MSP (Managed Services Provider), dostawca rozwiązań z zakresów bezpieczeństwa IT, nowoczesnej infrastruktury IT, automatyki przemysłowej i innych.”
Aby dostarczać szyte na miarę potrzeb klienta rozwiązania, konieczne jest zbudowanie i ciągła aktualizacja portfolio produktów, z których rozwiązania te będą tworzone. Nie jest tajemnicą, że wiele z nich, kiedyś nowatorskich i trudnych do zastąpienia, nie wytrzymuje próby czasu i gorzej odnajduje się w nowych realiach – zarówno biznesowo, jak i technologicznie. Problem budowy dobrego portfolio potęguje też tempo pojawiania się nowych graczy, praktyka fuzji i przejęć oraz – co tu ukrywać – ilość dostępnych, relatywnie (i zwykle wyłącznie w teorii) podobnych rozwiązań. Dlatego w konkretnym obszarze portfolio dostawcy, 3pro posiada jedynie kilka starannie wybranych i sprawdzonych w realnych projektach rozwiązań, starając się jednocześnie, by były one zróżnicowane: od producentów z kwadratu Gartnera, po produkty niszowe, open-source lub własne.
„Zdecydowaliśmy się na artykuł sponsorowany w medium, które sami regularnie śledzimy, gdyż zachęcić chcemy szersze grono odbiorców do zainteresowania się produktami producenta, który na przestrzeni lat regularnie „broni” swojego miejsca w naszym portfolio, choć nie zawsze jest pierwszym, czy „oczywistym” wyborem klientów. Mowa o należącej do Zoho marce ManageEngine, której 3pro jest wieloletnim Gold Partnerem.” – Marcin Tarasiński, wiceprezes 3pro Sp. z o.o.
Oferta ManageEngine to kilkadziesiąt produktów, ale w artykule skupiamy się na dwóch pakietach: ManageEngine AD360 i ManageEngine LOG360, które w znaczący sposób wyróżniają się na tle konkurencji i prowokują do dyskusji: jakiego oprogramowania potrzebuje obecnie szeroko pojęty zespół Operations/ITSM, a jakiego Security/SOC.
ManageEngine AD360 – pakiet dla Operations, doceniany przez Security
AD360 pozycjonowane jest jako kompleksowy produkt klasy IAM (Identity And Access Management) i dedykowane dla środowisk zbudowanych w oparciu o produkty Microsoft, gdzie tożsamości użytkowników zdefiniowane są w Active Directory / EntraID, a infrastruktura oparta o usługi Windows Server, Microsoft 365 i Azure. AD360 zarządza całym cyklem życia cyfrowej tożsamości użytkownika, monitoruje zdarzenia w obrębie sieci Microsoft (zaawansowany SIEM z pogłębioną analityką AI) oraz zapewnia mechanizmy zaawansowanej, zautomatyzowanej administracji – zarówno elementami on-premise, jak i SaaS. Dodatkowymi (choć niejednokrotnie będącymi główną przyczyną wyboru tego narzędzia) funkcjami są mechanizmy MFA (co istotne, nie tylko dla elementów cloud, ale również do logowania w sieci lokalnej, w sesjach RDP, czy połączeniach VPN), SSO (SAML, OAuth, OpenID), portal obsługujący resetowanie haseł przez użytkownika, czy granularna delegacja uprawnień poprzez mechanizm ról. Co ciekawe, producent pozwala wybrać tylko te produkty składowe pakietu, które są realnie potrzebne, co znacząco obniża koszty całościowe rozwiązania. W pakiecie AD360 znajdziemy więc:
- ADAudit Plus– rozbudowany silnik SIEM dla środowisk Microsoft, z mechanizmami AI. Pozycja „must have” dla działów Operations/ITSM lub Security SOC.
- ADManager Plus– zaawansowana administracja i zarządzanie AD, delegacja uprawnień poprzez role, automatyzacja i orkiestracja.
- M365 Manager Plus – rozbudowany silnik audytujący i raportujący dla usług Microsoft 365 wraz z mechanizmami do zaawansowanej administracji i zarządzania, delegacji uprawnień poprzez role, automatyzacji i orkiestracji.
- AD Self Service (MFA) – portal do samoobsługowej obsługi haseł przez użytkowników. Mechanizm MFA dla sesji lokalnych, chmurowych, RDP i VPN.
- Exchange Reporter Plus – rozbudowany silnik audytujący i raportujący dla organizacji korzystających z lokalnych instancji Exchange.
- SharePoint Manager Plus – rozbudowany silnik audytujący i raportujący dla organizacji korzystających z lokalnych instancji SharePoint.
- Recovery Manager Plus – system zapewniający kopię bezpieczeństwa i granularne odtwarzanie elementów AD.
Jak widać mnogość funkcji AD360 zapewnia pokrycie większości potrzeb działów Operations/ITSM w zakresie rozwiązań opartych o produkty Microsoft. Wdrożenia AD360 w tym obszarze pozwalają się też łatwo uzasadnić, posiadają dobry wskaźnik ROI, gdyż namacalne i łatwo policzalne są oszczędności czasowe wynikające z automatyzacji, orkiestracji, oddelegowaniu łatwiejszych zadań do HelpDesk, czy też odciążeniu personelu technicznego poprzez portal samoobsługowy. Co ciekawe sponsorem, użytkownikiem lub właścicielem biznesowym AD360 bywają często działy odpowiedzialne za bezpieczeństwo, doceniające rozwiązania SIEM oraz funkcje zwiększające poziom cyberbezpieczeństwa organizacji takie jak MFA, SSO, czy też pełen nadzór i automatyzację procesów w ramach cyfrowego cyklu życia tożsamości. Na koniec – nie bez znaczenia jest fakt modularności zakupów – kupujemy tylko to, czego potrzebujemy. W efekcie – koszty zakupu i wdrożenia rozwiązań ManageEngine AD360 są nieporównywalnie niższe niż rozwiązań konkurencyjnych.
ManageEngine LOG360 – pakiet dla Security, regularnie używany przez Operations
Pakiet LOG360 pozycjonowany jest jako rozwiązanie SIEM, choć zdaniem naszym i producenta – funkcjonuje również jako pełnowartościowy SOAR. Poszczególne moduły LOG360 obsługują pełnowymiarowo automatyczną odpowiedź (auto-response) na wykryte incydenty, a złożoność, parametryzacja, orkiestracja i ewentualna integracja tego procesu (np. z systemami klasy ITSM), pozwala na tworzenie dowolnych polityk / procedur obsługi incydentów.
Pakiet LOG360, podobnie jak AD360, zbudowany jest modularnie – producent pozwala na wybór tylko tych funkcji, jakie mają zastosowanie w konkretnym przypadku biznesowym / dla konkretnego środowiska. W pakiecie LOG360 znajdziemy:
- EventLog Analyzer – podstawowy silnik SIEM – agregator i korelator logów z różnych źródeł, wyposażony w szereg zaawansowanych modułów analitycznych, opartych o uczenie maszynowe, mechanizmy badania zgodności (Compliance), funkcje detekcji incydentów bezpieczeństwa oraz automatycznej odpowiedzi SOAR.
- UEBA (User and Entity Behavior Analytics) – moduł odpowiedzialny za analizę zachowań behawioralnych użytkowników, wykrywanie anomalii, klasyfikację ryzyka i inne funkcje analityczne nie wynikające wprost z wykrytego wzorca ataku.
- Advanced Threat Analytics – moduł odpowiedzialny za detekcję i nadawanie priorytetów incydentom, na bazie publicznych informacji o podatnościach, reputacji IP/URL/domeny i innych.
- ADAudit Plus – opisywany już w ramach AD360 moduł SIEM dla środowisk opartych o produkty Microsoft, z zaawansowanymi opcjami analitycznymi. Możliwa jest praca bezpośrednio w tym module (analogicznie jak w AD360), ale informacje przez niego gromadzone dostępne są w obrębie całego LOG360.
- M365 Security Plus – opisywany już w ramach AD360 silnik audytujący i raportujący dla usług Microsoft 365, z zaawansowanymi opcjami analitycznymi. Podobnie jak w przypadku ADAudit, zebrane informacje dostępne są globalnie, ale możliwa jest praca bezpośrednio w module.
- Exchange Reporter Plus – opisany już w ramach AD360 silnik audytujący i raportujący dla organizacji korzystających z lokalnych instancji Exchange.
Uwagę zwraca sposób pracy z LOG360. Chociaż zawiera on wszelkie znane z systemów klasy SIEM rozwiązania / interfejsy, jego modularna budowa pozwala zarówno na „klasyczne” śledzenie logów, korelacji, incydentów ze wszystkich źródeł, jak również na wykorzystanie w pełni interfejsów poszczególnych modułów. Możemy więc skoncentrować się np. na zdarzeniach w obrębie produktów Microsoft on-promise, na zdarzeniach w Azure/Microsoft 365 lub lokalnym Exchange, mając do tego przygotowane moduły, zawierające dziesiątki predefiniowanych dashboardów, raportów, wzorców alertów i innych rozwiązań. W efekcie zmienia się sposób pracy z systemem – nie jest to już tylko klasyczna konsola SIEM z alertami i możliwościami głębokiej inspekcji i „kopania w głąb”, a produkt, w którym skorzystać możemy w pełni z dobrodziejstw interfejsów przygotowanych dla zespołów Operations. Oczywiście konkurencyjne systemy również pozwalają na tworzenie dedykowanych ekranów, ale nie są to rozwiązania tak wygodne i ergonomiczne, wymagają ponadto zaprojektowania i wdrożenia, podczas gdy w LOG360 otrzymujemy je „out-of-the-box”.
Praktyka pokazuje, że pomimo iż sponsorem / właścicielem biznesowym LOG360 są zwykle działy Security, część jego funkcji jest często i intensywnie wykorzystywana przez zespoły Operations – choćby zespoły administrujące rozwiązaniami Microsoft.
Przyjrzeć się też warto rozwiązaniu Log360 Cloud, intensywnie rozwijanemu przez ManageEngine – zarówno w wersji dla klienta końcowego, jak i dla dostawcy MSP. Choć funkcjonalnie brakuje mu jeszcze dużo do wersji on-premise, pozostaje ciekawą opcją dla klientów, dla których ten właśnie zestaw funkcji jest całkowicie wystarczający, a którzy zaoszczędzić chcą na kosztach własnej infrastruktury.
Na koniec warto dodać, że opisywane produkty AD360 i LOG360 oraz ich wybrane moduły, regularnie doceniane są przez rynek, znajdując się na wartościowych pozycjach w zestawieniach Gartnera i zdobywając liczne wyróżnienia.
Uważamy, że każde przedsięwzięcie w zakresie rozwoju IT lub zwiększenia cyberbezpieczeństwa organizacji ma większe szanse powodzenia, jeżeli od początku uczestniczą w nim specjaliści klienta i profesjonalnego, doświadczonego dostawcy. Zachęcamy więc do bezpłatnych konsultacji z naszymi specjalistami, którzy pomogą Państwu w najefektywniejszym wykorzystaniu technologii, które dostarczamy. Zapraszamy do kontaktu poprzez stronę https://3pro.pl/kontakt.html.