Network-Monitoring: LogRhythm mit Freemium-Version seiner Software

     LogRythm Network Monitor steht jetzt in einer Freemium-Version zur Verfügung.IT-Security-Spezialist LogRhythm hat Network Monitor (NetMon) Freemium vorge­stellt. Wie die Voll­version Ausgabe stellt sie Funktionen für die Analyse von Vorgängen in einem Netzwerk bereit. Außerdem ermöglicht sie Auswertungen, die für forensische Untersuchen herangezogen werden können, etwa nach Angriffen durch Hacker oder illoyale eigene Mitarbeiter.

    Die Spezialität von NetMon sind Analysen von Layer 2 bis zur Applikationsebene (Layer 7) hinauf. Derzeit erkennt die Lösung nach Angaben des Herstellers mehr als 2.700 Applikationen. Bei diesen Anwendungen führt die Software eine tiefgreifende ("Deep Packet") Analyse der Datenpakete durch.

    Damit die Datenmengen nicht allzu sehr anwachsen, können Administratoren das Erfassen und Analysieren auf bestimmte Datenarten und Pakete von einzelnen Anwendungen begrenzen.

    Schutzfunktionen

    Network Monitor ermöglicht es unter anderem, Zero-Day-Angriffe und Denial-of-Service-Attacken zu erkennen und abzuwehren. Durch die permanente Analyse des Verhaltens von Hosts ist es zudem möglich, Aktivitäten von besonders ausgefeilter Schadsoftware zu erkennen. Denn ein Teil dieser Programme ist in der Lage, die Schutzsoftware auf "Endpoints" zu umgehen.

    Außerdem identifiziert die Software Port-Probes (Test von Ports) von Angreifern, die bereits in das Netzwerk eingedrungen sind und offene Netzwerkkanäle, über die Daten hinausgeschmuggelt werden können.

    Funktionen von NetMon Freemium

    Mit der Software von LogRhythm können Netzwerkverwalter folgende Aufgaben erledigen:

    • Die "normalen" Aktivitäten im Netzwerk erfassen (Baselining), um Auffälligkeiten zu identifizieren, die auf Attacken hindeuten,
    • nicht autorisierten oder verdächtigen Applikationen auf die Spur kommen.
    • forensische Untersuchungen durchführen. Dazu lassen sich Datenpakete im PCAP-Format erfassen und analysieren,
    • den Bandbreiten-Bedarf von Applikationen überwachen.

    Einschränkungen

    Die kostenlose Ausgabe der Network-Monitoring-Software weist im Vergleich zur Vollversion – natürlich – etliche Einschränkungen auf. So ist sie "nur" für die Verarbeitung von Daten ausgelegt, die mit bis zu 100 MBit/s übermittelt werden, nicht bis zu 10 GBit/s. Außerdem kann maximal 1 GByte PCAP-Daten für Analysezwecke erfasst werden.

    Weiterhin werden die Indizes der Metadaten beim der Freemium-Ausgabe 3 statt 30 Tage lang aufbewahrt. Eine weitere Einschränkung ist, dass die Version nicht mit der SIEM-Lösung (Security Incident Event Management) des Herstellers kombiniert werden kann.

    Die Implementierungsoptionen von LogRhythm Network Monitor (NetMon)Ein PDF-Dokument mit den wichtigsten Informationen zu NetMon Freemium und einer Tabelle mit den Funktionen der kostenpflichtigen und kostenlosen Version ist auf dieser Web-Seite von LogRhythm zu finden.

    Hardware-Anforderungen und "Bezahlung"

    Als Plattform empfiehlt der Hersteller bei der kostenfreien Variante einen Server mit vier Rechenkernen, 8 GByte RAM und zwei Gigabit-Ethernet-Adaptern. Zudem sollten 60 GByte Platz auf einer Festplatte beziehungsweise SSD vorhanden sein. Der technische Support erfolgt über das NetMon-Forum. Bei der kostenpflichtigen Ausgabe liegen die Anforderungen deutlich höher. Für sie wird beispielsweise ein 10-Core-Server-Prozessor empfohlen.

    Sowohl das Herunterladen von NetMon Freemium als auch der Zugang zum Forum erfordern eine Registrierung bei LogRhythm. Interessenten "bezahlen" folglich mit ihren Daten für die Lösung und weiterführende Informationen.

    Implementierungsoptionen der "richtigen" Lösung

    Die Vollversion von Network Monitor kann in Form einer Hardware-Appliance oder als softwarebasierte Virtual Appliance installiert werden. Die virtualisierte Version eignet sich laut Hersteller vor allem für den Einsatz in Niederlassungen.

    Außerdem lässt sich Network Monitor als virtueller Sensor zusammen mit virtuellen Switches verwenden. Diese Option kommt für die Überwachung von virtualisierten IT-Umgebungen und Cloud-Infrastrukturen in Frage.

    Keine Kommentare